Una recente indagine condotta da F-Secure ha rilevato che solo un utente su tre adotta le misure necessarie per garantire la sicurezza dei propri smartphone. E ancora, la maggior parte degli utenti si avvale degli smartphone per supportare le attività di business, in particolare la sincronizzare la posta elettronica, i contatti e le attività.
Questa combinazione porta ad avere dati business memorizzati e non protetti su dispositivi ad alto rischio di perdita o furto.
Con il contrarsi dei budget e l'aumentare dei lavoratori mobili, molte Pmi si trovano fra l'incudine e il martello. Ignorare il predetto rischio non è più un'opzione, ma i sistemi di gestione dei dispositivi mobili sono in genere progettati per le imprese con grandi problemi e grandi budget. Cosa possono fare le aziende più piccole per avere il massimo impatto con il minimo costo?
1. Attivare PIN o password sullo smartphone
Il controllo degli accessi è il più semplice metodo di protezione che si possa applicare a qualsiasi dispositivo mobile. Tutti gli attuali sistemi operativi per telefonia mobile supportano PIN o password in fase di accensione, ma molti utenti, non si preoccupano di attivarli. È vero, l'inserimento di un codice PIN prima di controllare la posta elettronica obbliga l'utente a eseguire una procedura in più (e questo diverse volte al giorno). Ma così facendo si potrebbe inibire l'uso non autorizzato di uno smartphone perso o rubato senza un grande calo di produttività per molti dipendenti.
Anche le imprese prive del controllo sugli smartphone dei dipendenti possono istituire policy di PIN o password durante il power-on su qualsiasi smartphone utilizzato per il business. Al fine di ottimizzare le compliance, sarebbe bene distribuire istruzioni facili da seguire per il setup di PIN/password sugli smartphone accompagnate da motivazioni che coinvolgano i vostri dipendenti. Per esempio, sottolineate aspetti come la frequenza con cui i telefoni vengono persi ogni anno e spiegate le conseguenze personali e professionali che può comportare un eventuale smarrimento dello smartphone.
Fare affidamento sulla capacità dell'utente di configurare il proprio dispositivo è sempre rischioso, meglio puntare su processi di base che permettano agli amministratori di attivare PIN e password sugli smartphone.
Un esempio in questo senso potrebbe essere la fornitura ai dipendenti di uno smartphone preconfigurato o far sì che gli utenti consentano di riconfigurare i propri smartphone per l'accesso ai servizi business, come l'e-mail. Tali pratiche non sono legate alle grandi dimensioni dell'azienda e quindi possono essere molto efficaci anche nelle imprese di più piccole dimensioni. Quando possibile, bloccate i dispositivi che non potete configurare - per esempio, limitando l'accesso a Exchange ActiveSync basato sull'ID del dispositivo.
2. Effettuare un hard reset o cancellare i dati sullo smartphone smarrito
PIN e password in fase di accensione sono semplici deterrenti contro l'acceso inappropriato da parte di qualcuno che trova uno smartphone che è stato perso. Tuttavia, i controlli di accesso di base come questi non possono fermare un vero ladro: i PIN degli iPhone sono notoriamente facili da indovinare, considerando che molte delle persone usano sequenze del tipo "0000".
A seconda del tipo di cellulare e il modo in cui questo si interfaccia con la vostra rete, la seconda misura più facile da implementare è spesso una "kill pill", cioè, la capacità di invocare un hard reset o di cancellare i dati su un dispositivo mobile perso o rubato, trasformandolo oggetto high-tech inutilizzabile.
Su alcuni dispositivi, la cancellazione dei dati in modo asincrono può essere attivata in base al numero di tentativi di 'autenticazione (“tre tentativi sbagliati e perdi tutti i dati”) o da lunghi periodi di inattività. Per esempio, quando si configura un BlackBerry, è possibile attivare i comandi Secure Wipe if Low Battery e/o the Secure Wipe Delay After Lock per cancellare automaticamente i dati di tutti gli utenti se lo smartphone viene perso e non viene usato per un certo periodo di tempo.
In alcuni casi, è possibile utilizzare la sincronizzazione con il server dopo lo smarrimento per invocare una cancellazione remota, come consentono per esempio BlackBerry Remote Wipe Reset to Factory Defaults o Microsoft Exchange 2003/2007 Remote Wipe.
In alternativa, si può investire in un servizio standalone che tracci e cancelli il dispositivo mobile rubato o perso. Per attività di questo tipo, Absolute Software propone ad esempio Computrace Mobile, una versione per smartphone del popolare servizio LoJack per il monitoraggio, la cancellazione e il recovering dei notebook rubati.
3. Crittografare i dati dello smartphone
L'obiettivo della cancellazione dei dati aziendali potenzialmente sensibili è impedire che questi arrivino nelle mani sbagliate. Però l'eliminazione dei dati è un provvedimento distruttivo da usare come ultima risorsa.
In questo caso può essere d'aiuto la crittografia dei dati memorizzati. I tool OS-embedded come BitLocker e i tool open source come TrueCrypt rendono la cifratura più accessibile alle aziende di medie piccole dimensioni. Ma i tool di crittografia per i notebook non possono essere applicati agli smartphone, dove la crittografia dei dati può essere relativamente indolore o del tutto assente, a seconda del tipo di sistema operativo usato e della sua versione.
BlackBerry content protection può cifrare i dati (comprese le voci di calendario), i contatti della rubrica, le note, le attività e i messaggi di email. Sui dispositivi Windows Mobile 6.1 la crittografia di file/cartelle può essere attivata utilizzando la policy di gruppo Active Directory.
Se i vostri dipendenti rientrano in una precisa categoria, potete trovare più facile del previsto crittografare selettivamente i dati aziendali memorizzati sui loro smartphone. Se vi manca la necessaria infrastruttura server, valutate l'opportunità di rivolgervi a un fornitore esterno - ci sono molti servizi BlackBerry hosted per le aziende di più piccole dimensioni.
Un'altra possibilità è l'acquisto e l'installazione di prodotti di crittografia standalone per PDA, come AirScanner Mobile Encrypter o Softwinter Sentry 2020 per Windows Mobile.
Le tre misure che vi abbiamo esposto, da sole, non coprono tutte le minacce alla sicurezza mobile che vi potrebbero riguardare. Tuttavia, considerare questi tre aspetti fondamentali consente di limitare in maniera significativa il rischio negli smartphone business senza dover ricorrere a budget ingenti.
