Gli smartphone svolgono un ruolo chiave nella produttività aziendale, probabilmente in misura anche superiore rispetto a quanto auspicato dai CIO e dai responsabili IT.

Ormai nei nostri telefoni– troviamo tutta una serie di applicazioni che ci aiutano a lavorare anche in mobilità, con notevole risparmio di tempistiche ed efficienza. Il rovescio della medaglia, ovviamente, è rappresentato dai rischi per la sicurezza: gli hacker ormai hanno compreso da tempo l’utilizzo che facciamo dei nostri device e cercano dunque di approfittare della situazione. Il tema è reso ancora più delicato dal fenomeno del Bring-your-own-device (BYOD), ovvero dalla pratica dei dipendenti di utilizzare i propri dispositivi personali per scopi lavorativi.

L’antidoto è rappresentato dalla mobile security: con questo termine facciamo riferimento a tutte quelle soluzioni che hanno il compito di proteggere i dispositivi mobili, come smartphone, tablet e dispositivi indossabili, da minacce e vulnerabilità legate alla sicurezza informatica. La mobile security punta a garantire la sicurezza e la privacy degli utenti che utilizzano i dispositivi mobili per lavorare, comunicare, navigare su Internet, effettuare transazioni finanziarie, e molto altro ancora.

Mobile security, i rischi

Ma quali sono i rischi a cui vanno incontro le aziende che trascurano l’attuazione di una efficace politica di mobile security? Le conseguenze possono essere numerose e anche estremamente rilevanti, a partire dalla perdita di dati sensibili. Senza una appropriata strategia di mobile security, in caso di compromissione, le informazioni aziendali, i dati dei clienti e altre informazioni riservate possono finire nelle mani sbagliate, causando gravi danni economici e violando la privacy delle persone coinvolte, con rischi anche dal punto di vista della compliance (leggi GDPR). Più in generale, senza Mobile security i device sono inevitabilmente esposti a malware e attacchi informatici di varia natura come il ransomware, che può causare anche problemi di continuità operativa.

Come noto, una conseguenza secondaria è quella reputazionale: un grave incidente di sicurezza mobile può danneggiare l'immagine e la reputazione dell'organizzazione agli occhi dei clienti, partner commerciali e del pubblico, facendola apparire come poco affidabile e attenta alla sicurezza.

Più in generale, la mancanza di autenticazione sicura e di controlli adeguati può consentire a individui non autorizzati di accedere ai dispositivi o alle reti aziendali, aumentando esponenzialmente il rischio di attacchi. Insomma, un'azienda che non riesce a garantire la sicurezza dei dispositivi mobili può trovarsi in una posizione di svantaggio rispetto ai concorrenti. Le organizzazioni devono quindi prendere sul serio la sicurezza dei dispositivi mobili e implementare una solida politica di mobile security per mitigare i rischi e proteggere i propri dati e quelli dei propri clienti.

Le azioni alla base della Mobile security

Cosa deve invece garantire una buona politica di mobile security?

Innanzitutto occorre proteggere i dati sensibili presenti nei dispositivi mobili, come informazioni personali, documenti, e-mail, messaggi e altro, da accessi non autorizzati. In secondo luogo bisogna assicurare la sicurezza delle comunicazioni, garantendo che le comunicazioni tra il dispositivo mobile e altre reti (come Internet o reti wireless aziendali) siano crittografate e sicure per evitare intercettazioni o manipolazioni da parte di terze parti. Inoltre, occorre implementare metodi di autenticazione robusti per garantire che solo gli utenti autorizzati possano accedere al dispositivo e alle sue funzionalità.

Più in generale un compito della mobile security è gestire nel complesso i device, applicando le politiche di sicurezza, effettuando aggiornamenti e limitando le funzioni o le app utilizzabili in determinati contesti. Non meno importante è la protezione della privacy: occorre assicurarsi che le informazioni personali siano trattate in modo adeguato, evitando la raccolta e l'uso non autorizzato di tali dati.

Le tecnologie alla base della Mobile Security

Garantire la mobile security in un’organizzazione non è semplice e necessita dell’impiego di diverse tecnologie, a cui spetta il compito di proteggere i dispositivi mobili e le informazioni sensibili che contengono. Tra queste un ruolo chiave è giocato dalla crittografia, che è capace di trasformare i dati in un formato illeggibile e cifrato utilizzando algoritmi crittografici, che può decodificato soltanto da chi possiede la chiave di decrittazione corretta.

La crittografia è utilizzata sia per proteggere i dati memorizzati sul dispositivo (come file e applicazioni) sia per proteggere le comunicazioni tra il dispositivo e altre reti. Sempre più utilizzate in ambito mobile security sono le VPN (Virtual Private Network), che creano una connessione crittografata tra il dispositivo mobile e una rete privata.

Questo permette agli utenti di navigare in modo sicuro su Internet e accedere a risorse aziendali sensibili, riducendo al minimo il rischio di attacchi. Ormai un classico è anche l’impiego della autenticazione a più fattori (Multi-Factor Authentication, MFA): si tratta di un metodo che prevede che l'utente fornisca più di una forma di verifica per accedere al dispositivo o alle informazioni sensibili. Ad esempio, oltre alla password, potrebbe essere richiesto di fornire una verifica tramite impronta digitale, riconoscimento facciale o un codice inviato tramite SMS. La base tecnologica delle strategie di mobile security aziendali è però rappresentata dalle piattaforme di gestione dei dispositivi mobili (Mobile Device Management, MDM), che consentono alle organizzazioni di gestire e controllare in modo centralizzato i dispositivi mobili aziendali, applicando le policy di sicurezza, eseguendo gli aggiornamenti del software e, se necessario, di bloccare o cancellare dati da dispositivi smarriti o rubati. Altrettanto importanti sono le soluzioni di Mobile Application Management (MAM), che permettono di distribuire, aggiornare e controllare le sempre più numerose applicazioni aziendali presenti nei device mobili. Naturalmente le soluzioni di sicurezza mobile includono spesso strumenti per rilevare e rimuovere malware dai dispositivi.

La Mobile Security secondo Bitdefender

Insomma, la mobile security deve consentire i dipendenti possono accedere ai dati sensibili e ai sistemi aziendali dallo smartphone con la stessa facilità con cui vi accedono dai computer dell'ufficio, contenendo però al massimo i rischi per i dati dei clienti, le proprietà intellettuali e i sistemi principali.

In quest’ottica va GravityZone Security for Mobile di Bitdefender, che garantisce un accesso sicuro ai dati aziendali, salvaguardando sia i dispositivi di proprietà dell'azienda che quelli BYOD dai moderni vettori di attacco, compresi gli attacchi zero-day, di phishing e di rete, rilevando sia le minacce note che quelle sconosciute. GravityZone Security for Mobile Devices aiuta le organizzazioni a mantenere la conformità riducendo al minimo gli interventi e lo sforzo, grazie in particolare al Control Center di Bitdefender GravityZone che consente di controllare tutti gli endpoint, fisici, virtualizzati e mobile, da una sola console.

Bitdefender fornisce inoltre policy di sicurezza facili da applicare e coerenti, come il blocco dello schermo e opzioni di autenticazione sui dispositivi mobili dell'utente per impedire l'accesso indesiderato a telefoni o tablet. Bitdefender supporta le iniziative BYOD con la gestione centralizzata delle policy di sicurezza di iPhone, iPad e dispositivi Android grazie ad azioni predefinite per dispositivi non conformi, come negare l'accesso ai servizi aziendali, bloccare permanentemente il dispositivo, o persino eliminare tutti i dati sul dispositivo in caso di furto o smarrimento.

La soluzione Bitdefender, ovviamente, è in grado di rilevare i malware, impedendo agli utenti mobile di distribuire file infetti ad altri utenti all'interno o all'esterno dell'organizzazione.

Ma soprattutto GravityZone Security for Mobile Devices non è l’ennesimo strumento che sovraccarica l'elenco di cose da fare dell'amministratore IT. Interamente integrato in Control Center, che consente al personale IT di applicare le policy di sicurezza per i dispositivi mobili senza ulteriori infrastrutture dalla stessa piattaforma di gestione utilizzata per controllare la sicurezza degli endpoint virtualizzati e fisici.