Al giorno d'oggi, i dispositivi mobili sono parte integrante del nostro modo di lavorare e molti dipendenti trascorrono le giornate tra telefono e computer.
Nonostante la maggior parte delle organizzazioni disponga di un'affidabile strategia di cyber security per la protezione dei computer portatili e delle reti aziendali, spesso i dispositivi mobili non vengono sufficientemente protetti. E questo costituisce un grave problema perché i dispositivi mobili sono spesso esposti a rischi come attacchi di phishing e vulnerabilità dei sistemi operativi.
In questo articolo, sfateremo 6 miti comuni sulla sicurezza dei dispositivi mobili ed esploreremo le funzionalità di cui le organizzazioni hanno bisogno per migliorare la loro strategia di sicurezza mobile.
Mito n. 1: I dispositivi mobili sono più sicuri dei computer portatili e desktop
Uno dei miti più diffusi sulla sicurezza mobile è che i dispositivi mobili sono intrinsecamente più sicuri degli endpoint tradizionali come computer portatili e desktop. Ma è un equivoco pericoloso: i dispositivi mobili hanno semplicemente vulnerabilità diverse che li lasciano esposti a una serie di rischi sotto il profilo della sicurezza informatica.
Gli utenti scaricano sui loro dispositivi mobili tantissime applicazioni non verificate che non devono essere necessariamente dannose per essere rischiose. Molte applicazioni mobili chiedono autorizzazioni come l'accesso alla rubrica del telefono, ai file locali e alla posizione, cosa che potrebbe rivelarsi rischiosa se l'applicazione è compromessa. Anche i sistemi operativi (SO) non aggiornati possono rendere i dispositivi mobili vulnerabili ad attacchi zero-day.
Oltre alle vulnerabilità dei SO e delle applicazioni, i dispositivi mobili sono in qualche modo più vulnerabili agli attacchi di phishing rispetto agli endpoint tradizionali. Attacchi specifici, come smishing e quishing, rendono i dispositivi mobili obiettivi interessanti per gli aggressori e possono comportare l'installazione di malware e la compromissione degli account.
Mito n. 2: Sui dispositivi mobili non bisogna preoccuparsi dei dati sensibili
Un'altra convinzione errata consiste nel pensare che i dati sensibili non siano conservati nei dispositivi mobili e perciò non ci sia bisogno di preoccuparsi della protezione dei dati come si fa per computer mobili e desktop.
Nonostante buona parte dei dipendenti non conservi i dati sensibili direttamente sui propri dispositivi mobili, questi ultimi vengono utilizzati per accede ad applicazioni cloud su cui sono conservati tantissimi dati sensibili. Questi dispositivi sono anche strettamente legati agli utenti, dal momento che spesso vengono utilizzati come seconda forma di autenticazione per single sign-on o per la convalida di un account. Se un dispositivo mobile è compromesso, un aggressore potrebbe rubare facilmente le credenziali, accedere all'infrastruttura aziendale e mettere a rischio i dati delle applicazioni fondamentali per l'azienda. Per questo è fondamentale essere in grado di rilevare e prevenire la perdita di dati, anche sui dispositivi mobili.
Mito n. 3: Un MDM è sufficiente a proteggere i dispositivi mobili
Per il controllo dei dispositivi mobili, numerose organizzazioni hanno adottato soluzioni di mobile device management (MDM). In effetti una soluzione di MDM è ottima per tenere un inventario dei dispositivi mobili di proprietà dell'azienda. Ma non è altrettanto valida per la sicurezza mobile.
Una delle ragioni principali per cui le soluzioni di MDM non sono sufficienti sta nel fatto che al momento molti dipendenti utilizzano per il lavoro i loro dispositivi personali al posto di dispositivi di proprietà del datore di lavoro e le soluzioni di MDM non si estendono ai dispositivi personali.
Né queste possono fare molto per tracciare e risolvere i rischi per la sicurezza dei dispositivi mobili. Nonostante si possa utilizzare una soluzione di MDM per individuare e cancellare dispositivi smarriti, distribuire applicazioni aziendali e bloccarne altre, questa non è in grado di rilevare i rischi e le minacce in cui può imbattersi un dispositivo e agire di conseguenza. Per questo c'è bisogno di una soluzione di sicurezza per i dispositivi mobili che lavori insieme alla soluzione di MDM, abbinando le funzionalità di gestione ad una protezione affidabile.
Mito n. 4: I dispositivi personali sono sufficientemente sicuri
Con i programmi BYOD (Bring Your Own Device) praticamente onnipresenti al giorno d'oggi, è probabile che i dipartimenti IT e di sicurezza perdano il sonno a causa dei rischi introdotti da questi dispositivi mobili personali e non gestiti. Dopotutto, con un modello BYOD, i dipendenti sono responsabili degli aggiornamenti dei propri software e alternano costantemente l'uso personale e quello lavorativo.
Uno degli errori peggiori che un'organizzazione può commettere è quello di pensare che non si possa fare niente per includere questi dispositivi non gestiti all'interno dell'organizzazione. Un altro errore comune è quello di supporre che siano sufficientemente sicuri di per sé. La giusta soluzione di sicurezza mobile consentirà invece di proteggere i dispositivi mobili, siano essi gestiti o meno, senza compromettere la privacy dei dipendenti.
Mito n. 5: L'autenticazione con password temporanea è sufficiente per proteggere i dispositivi mobili
Dal momento che i dispositivi mobili possono essere utilizzati ovunque per accedere ai dati aziendali, è importante capire chi li stia effettivamente utilizzando. Si potrebbe pensare che l'autenticazione con password temporanea sia sufficiente per confermare l'identità, ma non è così. Non c'è modo di sapere se un dispositivo viene compromesso una volta avvenuta l'autenticazione. Eventuali minacce o rischi che il dispositivo crea all'organizzazione possono passare completamente inosservati.
Invece, bisognerebbe utilizzare un approccio zero-trust (letteralmente "a fiducia zero") basato sul continuous conditional access (ovvero l'accesso condizionato continuo). Monitorando regolarmente elementi come l'integrità del dispositivo e il comportamento dell'utente, oltre al controllo dell'identità, si avrà una migliore comprensione dei livelli di rischio di qualunque dispositivo che abbia accesso alle risorse.
Mito n. 6: Le informazioni sulle minacce per i dispositivi mobili sono utili ma non indispensabili
Alcuni team IT e di sicurezza danno la precedenza a una "threat intelligence" incentrata principalmente su computer portatili, desktop o server, ma siccome i dispositivi mobili rappresentano un obiettivo molto interessante per i cybercriminali, disporre di informazioni sulle minacce specifiche per questo tipo di dispositivi è assolutamente fondamentale.
La "threat intelligence" per i dispositivi mobili aiuta a delineare il quadro delle minacce rivolte a questi dispositivi nell'organizzazione, in modo da poter strutturare una risposta efficace. Per questo non dovrebbe essere considerata facoltativa. Con un flusso costante di informazioni aggiornate sulle minacce per i dispositivi mobili, i team IT e di sicurezza saranno in grado di identificare le tendenze negli attacchi, connettere le "kill chain" per ottenere l'ambito completo, e riconoscere l'avversario. Questo permetterà di migliorare la postura di sicurezza dei dispositivi mobili dell'organizzazione.
Mitigare i rischi per la sicurezza dei dispositivi mobili
Oggi i dispositivi mobili sono parte del lavoro tanto quanto i computer portatili e desktop, perciò non è sufficiente proteggere solamente gli endpoint tradizionali. La sicurezza dei dispositivi mobili deve essere parte della complessiva strategia di cyber security. Per comprendere il ruolo della sicurezza dei dispositivi mobili nella vostra organizzazione, date un'occhiata al nostro e-book gratuito Il manuale dell'EDR per i dispositivi mobili: Domande chiave sulla protezione dei dati (in inglese). Viene spiegato perché la corretta implementazione della sicurezza dei dispositivi mobili è fondamentale per la protezione dei dati e vengono descritte quali funzionalità sono necessari per mitigare i rischi per la sicurezza dei dispositivi mobili.