Sicurezza mobile in azienda: come cambia il BYOD con BlackBerry BES 12

Sicurezza mobile in azienda: come cambia il BYOD con BlackBerry BES 12

La sempre più massiccia penetrazione di dispositivi mobile in ambito aziendale fanno suonare i campanelli d'allarme per la sicurezza delle informazioni. Alessio Pennasilico di Clusit analizza lo scenario e BlackBerry, con il nuovo BES 12, propone un modo di affrontare il problema

di Andrea Bai pubblicato il nel canale TLC e Mobile
BlackBerry
 

Il pericolo viene dallo smartphone

BYOD (Bring Your Own Device) è una delle buzzword più in voga degli ultimi anni e che descrive una pratica ben precisa: un'azienda permette e, anzi, talvolta incoraggia l'uso dei dispositivi personali degli impiegati per scopi di business. E' una conseguenza della cosiddetta consumerizzazione dell'enterprise, che ha aperto opportunità interessanti per le aziende stesse a fronte di un aumento della produttività (gli impiegati lavorano meglio con un dispositivo a cui sono abituati e che prediligono) e di risparmi (l'azienda non si accolla, o si accolla solo in parte, le spese di acquisto di nuovi dispositivi).

Una pratica però ha da subito posto sfide importanti ai dipartimenti IT, specie in termini di sicurezza ed integrità delle informazioni aziendali, e che ha visto la sua evoluzione in altre forme conosciute con gli acronimi di CYOD, COPE e COBO che approfondiremo in seguito. L'introduzione di dispositivi personali all'interno di reti aziendali presenta infatti tutta una serie di rischi che, se non opportunamente prevenuti, mitigati e gestiti, possono portare ad incidenti di sicurezza anche di grave entità con il furto o la perdita di informazioni di particolare valore per il business.

Il tema è stato affrontato da BlackBerry assieme al Clusit - Società Italiana per la Sicurezza Informatica in occasione della prima edizione del Seminario sulla Sicurezza Mobile. Alessio Pennasilico, Security Evangelist per Obiectivo Technology e membro del Comitato Direttivo e del Comitato Scientifico del Clusit, ha infatti illustrato quali siano i problemi, i rischi e le minacce che riguardano da vicino i dispositivi mobile sottolineando come le minacce evolvano allo stesso ritmo dell'evoluzione tecnologica.

Pennasilico tiene a precisare però come i rischi e i problemi di sicurezza non siano solamente ascrivibili all'aspetto tecnologico ma riguardino anche e soprattutto un aspetto culturale e, in particolare, nascano da un problema di percezione. I dispositivi di oggi, a partire dagli smartphone fino ad arrivare a prodotti che rientrano nel variegato universo di Internet of Things, vengono infatti presentati come un'evoluzione dei dispositivi che li hanno preceduti nei decenni precedenti. Siamo quindi portati a ritenerli dei semplici discendenti di elettrodomestici e dispositivi di qualche decennio fa, e di farci cullare pertanto da una errata percezione di sicurezza, poiché la realtà è molto differente: si tratta di oggetti completamente diversi, con capacità di calcolo e funzioni di connettività che definiscono di fatto una categoria di oggetti che non ha nulla a che vedere con i predecessori. Il risvolto immediato è che l'errata percezione di sicurezza ci fa dimenticare di considerare e gestire tutti i nuovi rischi introdotti da questi dispositivi.

Si tratta di una considerazione sì generica, ma che vale ovviamente anche per smartphone e tablet impiegati in ambito aziendale: chiamando in gioco in maniera preponderante i dispositivi mobile, i rischi cui un'azienda si espone sono tuttavia in gran parte sovrapponibili ai rischi intrinseci dei dispositivi mobile stessi e di cui in qualche modo abbiamo già parlato affrontando i problemi di sicurezza del mobile commerce, in questo articolo. Parliamo infatti di oggetti che sono generalmente estremamente portatili e di dimensioni contenute e che possono essere rubati o smarriti con facilità. Ma parliamo, come detto, anche di dispositivi personali e che proprio per questo motivo ospitano informazioni, dati e applicazioni del tutto estranei alle informazioni e alle applicazioni professionali. Si tratta inoltre di dispositivi che si basano in maniera preponderante su protocolli di trasmissione radio, che possono trovarsi a condividere reti wireless pubbliche creando uno scenario dove il rischio di una sottrazione di informazioni sensibili diventi particolarmente reale.

E' bene osservare, però, che si tratta di un insieme di fattori di rischio che, pur avendo un'elevata potenzialità di trasformarsi in incidente, possono essere prevenuti con una certa facilità e che, al contrario, possono risultare veramente difficili da mitigare a posteriori specie una volta che da rischi si sono trasformati in incidenti concreti. Tuttavia il problema della sicurezza in ambito mobile, specie in un contesto aziendale, si trasforma nell'annoso problema del giusto equilibrio: l'implementazione di policy comportamentali e misure di sicurezza adeguate da salvaguardare l'integrità delle informazioni di business ma, al contempo, non risultare di orpello all'esecuzione del business stesso ne' esageratamente restrittive per l'utente finale.

 
^