OS, Windows Phone, web OS, per i quali sono stati creati e si dif-
fondono innumerevoli codici maligni. Per i tablet i sistemi operativi sono
gli stessi dei pc. Dal punto di vista tecnico le possibili tipologie di
attacco sono in pratica le stesse dei pc, con maggiori probabilità di
successo dovute all’uso promiscuo personale e per lavoro.
Questo comportamento, che non ha ormai più senso bloccare e/o
vietare, porta a un insieme di problemi che l’azienda/ente deve com-
prendere e gestire, tra i quali:
• la gestione dei dispositivi affidati o di proprietà degli utenti;
• la protezione dei dati aziendali, soprattutto quelli riservati e cri-
tici;
• l’utilizzo non controllabile di software e di dati pericolosi per
l’azienda/ente.
Le realtà di medie e grandi dimensioni hanno attive, o dovrebbero
avere, delle policy per la sicurezza anche sui dispositivi mobili: ma come
farle rispettare se il dispositivo non è di loro proprietà, ma del di-
pendente? Come può l’azienda proibire al dipendente di accedere
con lo smartphone o il tablet personale a certi siti e social network,
o obbligarlo a installare determinati software sul dispositivo, per esem-
pio un antivirus che dall’utente/proprietario è considerato penalizzante
in termini prestazionali?
In logica consumer, l’utente può acquistare delle applicazioni, le fa-
mose app, scaricabili e pagabili online da magazzini software pub-
blici, quali per esempio App Store, Google Play, Windows Phone
Marketplace, BlackBerry App World.
Ma quali di queste app soddisfano le policy aziendali? Come di-
stinguere i costi di acquisto delle app in carico all’azienda rispetto a
quelli personali? Come verificare che le app siano intrinsecamente si-
cure e non abbiano al loro interno codici maligni?
I rischi sono alti e seri per l’azienda. Si pensi per esempio alla possi-
bile esposizione a terzi non autorizzati di dati aziendali critici, cau-
sata dalla perdita o dal furto del dispositivo, oppure perché acce-
duti o trasmessi, senza intenzione dolosa da parte dell’utente, tramite
social network, web mail o altri canali di comunicazione non azien-
dali.
C
OSA FA E COSA NON FA L
’IT
L’enorme numero di app disponibili, oltre all’elevato numero di
operatori wireless utilizzato dalle aziende che operano soprattutto
in più Paesi, rendono praticamente proibitivo un efficiente ed efficace
supporto da parte dell’IT aziendale e dall’help desk.
Per il responsabile dei sistemi informativi e per il responsabile della si-
curezza informatica la consumerizzazione può rappresentare un reale
incubo: la soluzione più facile sarebbe proibirla, ma questo non è fat-
tibile e potrebbe essere controproducente; come proibire la consu-
merizzazione ai vertici aziendali che di fatto l‘hanno attivata? Come
dire all’amministratore delegato e ai direttori centrali di usare smar-
tphone e tablet separati per l’uso aziendale e per quello privato?
La consumerizzazione ben difficilmente è bloccabile in una moderna
struttura organizzativa; va invece gestita con buon senso.
C
OME AGIRE
Alcuni suggerimenti, derivati dalle prime esperienze concrete adot-
tati dalle aziende che hanno già affrontato il problema, possono es-
sere utili per il responsabile dei sistemi informativi.
Un primo passo è prendere coscienza del fenomeno e informare i ver-
tici dell’organizzazione, possibilmente con una proposta operativa: non
si deve solo evidenziare un problema, bisogna anche proporre una
sua soluzione valutando tempi, costi e ritorni. In tal senso occorre ri-
pensare e modificare le policy sui dispositivi mobili e sulla loro sicu-
rezza, possibilmente dopo aver svolto un’indagine-censimento dei di-
spositivi mobili usati dai dipendenti. Il coinvolgimento dell’utenza è
determinante.
Su tale base conoscitiva sono poi definibili gli standard interni del-
l’architettura ICT che distingueranno tra i dispositivi mobili conside-
rati ‘enterprise standard’, totalmente supportati dall’IT, da quelli am-
messi, supportati congiuntamente con l’utente finale, e che potranno
accedere solo ad alcune applicazioni corporate, e non ad altre: per
esempio alla posta elettronica ma non all’ERP.
Per i dispositivi enterprise standard e per le reti wireless dovranno
inoltre essere stabiliti contratti e accordi con i diversi fornitori per cer-
care di omogeneizzare i livelli di servizio necessari per l’azienda/ente.
Dovranno infine essere attivati gli opportuni strumenti informatici di
controllo e di supporto ai diversi dispositivi mobili.
maggio 2012
office automation
89
Marco Bozzetti,
L’Osservatorio Attacchi Informatici
è presente su Linkedin.
CERCA IL GRUPPO E ISCRIVITI
