Secondo la società di ricerche Canalys, le vendite di smartphone sono cresciute del 63% lo scorso anno, toccando i 64 milioni di unità a livello mondiale. Così, dopo un lungo ritardo, questi popolari dispositivi mobili vengono finalmente utilizzati per accedere alle reti aziendali.
Yankee Group stima che oltre la metà di questi telefoni è acquistata da utenti da prosumer, professionisti che acquistano e utilizzano le nuove tecnologie per la propria attività di business. Senza però un’adeguata protezione, uno smarrimento, un furto o l'incursione di un hacker può comportare la sottrazione dei dati aziendali o la penetrazione della rete. In questo articolo, esamineremo alcune misure per bloccare l'accesso alla rete aziendale da uno smartphone Windows Mobile.
Stesso nome, un altro gioco
Come i notebook, i dispositivi Windows Mobile possono eseguire applicazioni Microsoft, come Internet Explorer, Outlook e Office. Ma le versioni mobile sono di fascia bassa, per poter essere adattate a CPU, memoria, display e limitazioni di input e output. Il punto è che nessuno dei programmi di sicurezza impiegati sui laptop Windows può essere eseguito come su Windows Mobile. Inoltre, i programmi che girano sui PDA Windows Mobile non necessariamente girano su smartphone. Quando gli smartphone sono utilizzate per la comunicazione business, questa lacuna di sicurezza deve essere colmata utilizzando prodotti per l'accesso remoto che effettivamente supportano la piattaforma mobile di Microsoft.
VPN tradizionali
Il client Windows Mobile supporta IPsec con certificati o secret pre-shared, ma il caricamento di un certificato su un cellulare non è facile: i parametri sono limitati e l'amministrazione centrale assente. Il risultato è che poche imprese utilizzano questo client embedded.
Sono anche disponibili client add-on per Windows Mobile IPsec, come VPN Bluefire Mobile, NCP Secure Entry CE e AnthaVPN. Tali client sono più configurabili - migliorano l'interoperabilità - e possono essere amministrati attraverso mobile device manager. In questo senso, Microsoft ha recentemente annunciato il proprio Microsoft System Center Mobile Device Manager. Disponibile per l’estate del 2008, MSC MDM supporterà il provisioning over-the-air e il deployment del software di prossima generazione per dispositivi Windows Mobile.
VPN SSL
Molti dipendenti che lavorano da remoto utilizzano solitamente VPN SSL, che rappresenta un'altra opzione per Windows Mobile, ma ci sono alcune questioni da risolvere. Per esempio, i client temporanei VPN SSL (dissolvable) sono implementati come controlli ActiveX o tramite software Win32 che non possono essere eseguiti su Windows Mobile. L’usabilità del browser Web è poi estremamente limitata a causa delle dimensione del display.
In questo senso possono essere utili VPN SSL, come Aventail Connect Mobile di SonicWall, F5 FirePass e Check Point SecureClient Mobile, che sono progettate per funzionare su PDA Windows Mobile (e, a volte, smartphone).
VPN mobili
I prodotti VPN mobili sono pensati per soddisfare le esigenze degli utenti in movimento che si spostano da un hot spot all'altro. Per rimanere sulla rete senza interruzione, le VPN mobili contano sui software client installati e sui gateway VPN specializzati. Prodotti maturi per le VPN mobile che attualmente supportano Windows Mobile comprendono Columbitech CT Secure Smartphone, Ecutel IPRoam, IBM Lotus Mobile Connect e NetMotion Mobility XE. Secondo Microsoft, MSC Mobile Device Manager 2008 che sarà disponibile quest’anno servirà anche come gateway per le VPN mobili.
VPN alternative
Le VPN tradizionali, le VPN mobili e le VPN SSL tunnel-mode sono possono fornire l'accesso mobile a diverse applicazioni e prevenire la perdita di dati over-the-air. Tuttavia, alcuni utenti mobili necessitano solo di una o due applicazioni business sicure, cosa che può essere fatta senza una vera rete privata virtuale.
La comunicazione tra Pocket Outlook e Microsoft Exchange, per esempio, può essere codificata mediante l'invio di POP e SMTP su TLS, e in Windows Mobile 6, singoli messaggi possono essere protetti con S/MIME. Per garantire email push-based, utilizzando policy amministrate dall’IT, consultate il Microsoft Messaging and Security Feature Pack per Windows Mobile 5,0.
Il Messaging and Security Feature Pack e il Microsoft System Center Mobile Device Manager sono la risposta di Microsoft a BlackBerry Enterprise Server (BES), il quale consente di rendere sicuro il messaging over-the-air tra palmari BlackBerry e server aziendali, compreso anche Exchange. Tuttavia, prodotti come Motorola Good Mobile Messaging e Nokia Intellisync Wireless Email forniscono già funzionalità simili a quelle offerte da BES per Windows e altri dispositivi mobili. I server di messaggistica mobile come primo step consentono alle imprese di focalizzarsi in modo più specifico sul blocco dell’e-mail mobile, dei contatti e del calendario di sincronizzazione, permettendo di affrontare le altre applicazioni in un secondo momento.
Considerazioni generali
Rendere sicuro l’accesso alla rete e alle applicazioni da uno smartphone risolve solo una parte del rischio d'impresa. Per bloccare i dispositivi stessi, è importante focalizzarsi su una singola applicazione o sui tunnel VPN. Valgono comunque i seguenti consigli generali:
- Utilizzate sempre l'autenticazione e la crittografia per impedire l'accesso non autorizzato agli smarthphone, ai dati che hanno memorizzati e alla loro connettività di rete.
- Rendete la rete aziendale sicura con firewall, IPS e NAC per tenere d'occhio il traffico generato dagli smartphone. Pur essendo di piccole dimensioni, gli smartphone sono sempre computer collegati a Internet, perciò non lasciate che si trasformino in una via per aggirare le difese della vostra azienda.
