A pensarci, la categoria mobile security enterprise rappresenta un trittico di situazioni molto complesso da gestire. Da una parte il mondo mobile, dove ormai si è spostata la maggior parte del mondo digitale. Dall’altra quella enteprise, cioè le aziende, che muovono l’economia. E nel mezzo, per non farsi mancare nulla, la sicurezza, aspetto quanto mai delicato sia nel mobile che nell’enterprise.
Unire i tre insieme significa mirare a soluzioni che li soddisfino allo stesso tempo. Non è cosa semplice: ci sono equilibri delicati da preservare, dunque la mitigazione del rischio non può sempre avere la priorità. Quale approccio adottare, dunque, per garantire efficienza e sicurezza? Eccone uno sviluppato su tre punti.
Mobile security enterprise, un approccio in 3 step
- L’informazione al centro
Pensare alla sicurezza del device è importante, pensare al suo contenuto, però, lo è di più. La protezione dovrebbe partire proprio dal dato, secondo un principio di data protection. Occorre comprendere quali sono le informazioni sensibili gestite dall’apparato mobile, che si tratti di smartphone o tablet, procedere a una loro classificazione e stabilire un diverso approccio alla loro sicurezza in base a una rigida priorità. Solo nel momento in cui si è consapevoli del diverso valore delle informazioni gestite in mobile, si può passare oltre.
- Controllo dell’accesso
Il secondo punto risiede nel gestire l’accesso alle informazioni classificate. Pensare che sia solo una questione di PIN o di passcode al proprio dispositivo è un errore non più tollerabile, poiché occorre considerare il singolo device come la porta di accesso a dei servizi interconnessi.
La gestione unificata degli accessi, che è la tendenza del settore, deve essere inserita in modo organico in un processo che tenga conto anche di un attento controllo dei privilegi di accesso. Ai diversi servizi ovviamente, ma anche alle informazioni, sulla base delle priorità assegnate.
Si tratta di un lavoro complesso, che parte dal sistemista e dalla protezione dei database degli utenti, e arriva proprio al singolo professionista, a cui è demandata la cura sull’utilizzo dei codici di accesso, di qualsiasi forma essi siano.
Secondo recenti studi, solo il 26% delle aziende americane utilizzano sistemi di autenticazione multi-fattore, mentre solo una piccola porzione degli utenti sfrutta i sistemi di accesso biometrici già installati nel 77% dei dispositivi mobile. Sono strumenti alla portata di tutti, già presenti, e vanno sfruttati. (Fonti: LastPass, Duo Security).
- Zero Trust
“Non credere a niente e a nessuno”, descrizione sommaria del modello Zero Trust, è la filosofia utilizzata dalle aziende che hanno più a cuore i loro dati. Si tratta di un modello che, nel rispetto dei diversi privilegi di accesso alle risorse, parte dal presupposto che nessun utente può avere una credibilità e una fiducia tali da poter essere esonerato da un controllo. E questo è un concetto efficace, in particolare, nel mondo mobile enterprise e in particolare nei lavori in smart-working, dove non si può avere la certezza che un certo dispositivo sia utilizzato dal legittimo utente o non solo da questo. Un concetto che si basata su due principi, la verifica esplicita e l’ipotesi di violazione:
- con la prima, si autentica e autorizza (fasi di autenticazione e autorizzazione) ogni utente ad accedere alle risorse tramite un buon numero di diverse tecnologie di riconoscimento, che si tratti di sistemi biometrici, password, posizione GPS o altro.
- con la seconda, invece, si ipotizza cosa potrebbe accadere se quel dato accesso desse spazio a una violazione o un attacco, prevedendo dunque le possibili conseguenze ed eventuali sistemi di mitigazione.
Mobile security enterprise, consigli utili
Sulla base di questi punti è ancora più evidente quanto sia complesso il tema della mobile security enterprise, ma anche come questa sia gestibile partendo da presupposti molto semplici: tutti i sistemi sono vulnerabili e nessun utente che vi acceda può essere considerato sicuro.
Su questa base, la sicurezza del sistema, specie dal lato dell’utilizzatore finale, passa per la scelta di password forti, sistemi di accesso multi-fattore, crittografia end-to-end, accesso esclusivo ai dispositivi aziendali e l’applicazione delle best practice di sicurezza anche a dispositivi personali, che potrebbe rappresentare punti di vulnerabilità per attacchi alle risorse lavorative.
