Punti chiave
Gli smartphone aziendali sono molto utilizzati ma altrettanto soggetti a una serie di rischi che è bene valutare, prendendo le opportune precauzioni. Se un’azienda, infatti, consente ai propri utenti di connettersi al network della compagnia, allora è fondamentale valutare i relativi rischi e sviluppare le opportune politiche di sicurezza. Come proteggere uno smartphone aziendale, quindi?
Di seguito illustreremo 10 buone pratiche da adottare per la sicurezza degli smartphone aziendali.
Proteggere uno smartphone aziendale. Tutte le pratiche migliori
Gli smartphone possono essere infettati da malware presenti nella connessione internet aziendale, da qualche PC infetto nel momento in cui vi colleghiamo lo smartphone tramite USB o anche tramite la connessione Bluetooth.
Per queste ragioni è certamente una buona idea richiedere a tutti coloro che sono soliti collegare i propri smartphone di installare un software di sicurezza sui propri devices mobile.
I software di sicurezza per i dispositivi mobile sono oggi disponibili sulle principali piattaforme dedicati agli smartphone e tra i più popolari vi sono Kasperky Mobile Security, Trend Micro Mobile Security, F-Secure Mobile Security e i prodotti della Norton per la sicurezza mobile.
Proteggere uno smartphone aziendale: non bypassare le misure di sicurezza
Molti smartphone consentono di bypassare facilmente i meccanismi di sicurezza per una maggior usabilità da parte dell’utente che, in questo modo, è in grado di settare con una certa facilità il proprio device per la connessione.
Una comodità certo che però “cancella” lo scopo per il quale queste misure di sicurezza sono state previste.
Ad esempio, è molto semplice settare uno smartphone Android con un account Exchange Server nonostante ci venga notificato che sussiste un problema con il certificato.
In questo caso ci viene chiesto di accettare tutti i certificati SSL e acconsentendo è possibile connettersi alla propria email.
Su un device mobile Windows 7 appare il medesimo messaggio ma in questo caso non vi è alcuna opzione per bypassare il problema relativo al certificato.
In questo caso è necessario importare e installare il certificato sul proprio smartphone prima di poter accedere alla casella di posta elettronica. Questa situazione può ovviamente comportare maggiori fastidi per l’utente ma garantisce livelli di sicurezza decisamente maggiori.
Navigare in sicurezza per proteggere uno smartphone aziendale
I Web Browser per la navigazione su smartphone sono decisamente migliorati e divenuti di più facile utilizzo.
Tuttavia, la rete è il principale canale di diffusione di codici infetti e dai dispositivi mobile è più difficile accorgersi, ad esempio, che si sta navigando su un sito di phishing.
Il malware può così essere facilmente diffuso alla rete aziendale dallo smartphone, per questo per proteggere la rete aziendale è fondamentale utilizzare un firewall che sia in grado di ispezionare approfonditamente i pacchetti del traffico mobile.
Proteggere uno smartphone aziendale con un wi-fi sicuro
Molti smartphone moderni utilizzano le reti 3G o 4G quando sono connessi a un network Wi-Fi.
Nel caso in cui gli utenti connettano i propri smartphone a una rete Wi-Fi non sicura possono essere soggetti ad attacchi.
Così se alcune informazioni riguardanti la rete aziendale, come ad esempio la password, sono custodite sullo smartphone, si potrebbe incorrere in un grave problema di sicurezza.
Supponiamo, infatti, che un utente si connetta alla rete aziendale utilizzando una rete Wi-Fi pubblica, i rischi di sicurezza per l’intera azienda sarebbero elevati.
Si potrebbe, quindi, consentire agli utenti di connettersi alla rete aziendale solo via SSL VPN, in modo da criptare i dati in transito dallo smartphone alla rete aziendale e impedendone la “lettura” nell’ipotesi in cui venissero intercettati.
Mettere in sicurezza i dati per proteggere uno smartphone aziendale
Proteggere uno smartphone aziendale significa anche prestare grande attenzione ai dati in esso custoditi.
Nel caso in cui si conservino dei dati relativi al lavoro sul proprio smartphone è indispensabile criptarli, sia che questi vengano custoditi nella memoria interna del cellulare sia che vengano archiviati su una memory card.
In un recente articolo è stato evidenziato come ben il 64% degli utenti non pensi a criptare i dati confidenziali presenti sui propri smartphone, mentre, di contro, ben il 76% degli utenti accede a informazioni sensibili tramite i device mobile.
In passato, la mancanza di questa misura di sicurezza sui dispositivi mobile poteva essere giustificata con il fatto che era necessario un certo livello di potenza per criptare i dati a fronte di processori troppo lenti presenti sugli smartphone.
Oggi, al contrario, gli smartphone sono dotati di hardware molto più potenti che rendono più agevole la possibilità di criptare i dati sensibili sui dispositivi mobile.
Criptare i dati sensibili e privati è fondamentale per proteggere uno smartphone aziendale da furti o visualizzazioni non autorizzateNon si deve, inoltre, dimenticare che sugli smartphone vi sono i dati memorizzati nella cache delle applicazioni in continua esecuzione; molte applicazioni mostrano gli update sullo schermo dello smartphone e potrebbero contenere quindi anche dei dati confidenziali.
Questa è un’altra buona ragione per proteggere il proprio smartphone aziendale con una password, così, ad esempio, nel caso di furto o smarrimento è possibile resettarlo ed evitare dunque che qualcuno acceda ai nostri dati personali.
Utilizzare PIN e password per proteggere uno smartphone aziendale
Gli smartphone ci seguono ovunque e sono quindi facilmente soggetti a furti o smarrimenti, con l’elevato pericolo che qualcuno possa avere accesso fisico al nostro device.
Inoltre è prassi abbastanza diffusa quella di scambiare il proprio smartphone con gli altri membri della famiglia o di prestarlo, per un certo periodo di tempo, a un amico. Se questi cellulari sono configurati con una mail aziendale o un software VPN configurato per la connessione al network aziendale, ad esempio, allora si potrebbe incorrere in un grave problema di sicurezza.
Una misura di sicurezza basic è quindi richiedere agli utenti di proteggere i propri smartphone impostando un PIN o una password per avere accesso al sistema operativo sia quando il cellulare viene accesso che quando viene bloccato.
Molti smartphone includono questa funzione ma molti utenti preferiscono non utilizzarla per non dover inserire la password o il PIN ogni volta che accendono il telefono.
PIN e la password sono, invece, misure di sicurezza fondamentali per evitare che una persona estranea o un ladro che ci ha sottratto il cellulare possa avere accesso alle nostre informazioni personali.
Riguardo agli smartphone, alcuni potrebbero presentare delle carenze rispetto a questo punto.
Ad esempio uno smartphone Android 2.0.1 soffre di un bug che permette di accedere al device senza inserire il PIN semplicemente premendo il pulsante indietro all’arrivo di una chiamata. L’iPhone presentava una debolezza simile nelle versioni 2.0.1 e 2.0.2 che, in pratica, permetteva di aggirare le misure di sicurezza premetto il tasto delle chiamate di emergenza e facendo doppio click sul pulsante Home.
Le migliori pratiche di sicurezza per proteggere uno smartphone aziendale
La sicurezza degli smartphone in ambito business richiede, quindi, un duplice approccio: proteggere gli smartphone e proteggere la rete aziendale.
Cerchiamo dunque di riassumere tutti i consigli dati in precedenza facendo una sorta di check list di tutte quelle buone pratiche che è indispensabile mettere in campo per garantire un adeguato livello di protezione sia dello smartphone che della rete aziendale.
Ecco le 10 “buone pratiche” da tenere sempre a mente:
- Utilizzare un PIN o una password per proteggere uno smartphone aziendale
- Utilizzare PIN e password forti
- Criptare i dati conservati sugli smartphone
- Installare sugli smartphone dei software di sicurezza dedicati in modo da proteggere i device da virus e malware
- Chiudere le applicazioni che non si utilizzano (in questo modo non solo si limitano gli attacchi ma si incrementa anche la durata della batteria dello smartphone)
- Spegnere il Bluetooth, il Wi-Fi e il GPS quando non vengono utilizzati
- Connettersi alla rete aziendale tramite SSL VPN
- Implementare la sicurezza degli smartphone anche con software di monitoraggio e di gestione dedicati
- Alcuni smartphone possono essere configurati utilizzando dei parametri personali di gestione così da impedire la visualizzazione, la copia o l’inoltro di dati personali da parte di estranei
- Considerare con la dovuta attenzione la possibilità di far connettere gli smartphone dei dipendenti alla rete aziendale