Quattro punti chiave da tenere sotto controllo, per evitare che l’ingresso di dispositivi o tecnologie consumer si trasformino in un pericolo per la sicurezza enterprise.
Secondo uno studio presentato nei giorni scorsi da Gartner, uno dei
pericoli maggiori per la sicurezza It nelle aziende è rappresentato dalla
consumerizzazione della stessa It. In altri termini, l’ingresso di nuove
tecnologie consumer in ambiti enterprise richiede ai responsabili della
sicurezza aziendale un’attenta analisi dei rischi e la valutazione delle policy
più opportune.
La premessa dalla quale parte
Gartner, è che non è sensato e del tutto poco pratico affrontare il problema
proibendo agli utenti di utilizzare i loro dispositivi negli ambiti lavorativi
oppure evitando in toto l’implementazione di alcune tecnologie.
Ha invece senso comprendere quali strumenti già presenti in
azienda (i Nac ad esempio) possono essere configurati anche per i nuovi
dispositivi. E ha senso iniziare fin da ora a tracciare linee guida che possano
servire anche a gestire il rischio nel medio termine.
Gartner ha identificato quattro aree sulle quali dovrebbe
concentrarsi in modo specifico l’attenzione degli It manager.
In primo luogo i servizi di posta elettronica
consumer, i servizi di instant messaging e quelli di Voice over Ip.
Sempre più frequentemente, è la constatazione di Gartner, questi servizi vengono
utilizzati dai dipendenti anche dal lavoro, spesso anche per scambiare documenti
professionali tra casa e ufficio. Se da un lato le aziende trovano difficile
bloccarli in toto, nondimeno devono prendere coscienza che si tratta di
potenziali vettori di codici maligni e di violazioni alle policy di riservatezza
interni. Poiché i sistemi di sicurezza tradizionali non sempre sono in grado di
proteggere adeguatamente anche questo tipo di servizi, è opportuno prendere in
esame l’ampliamento dello spettro di copertura.
Il
secondo aspetto da prendere in considerazione sono i blog e gli altri
strumenti del cosiddetto social networking. Il rischio maggiore, in
questo caso, è quello della fuga di notizie riservate. Per questo motivo,
sarebbe raccomandabile stabilire precise policy rispetto a cosa è possibile
discutere sui blog e cosa no, fermo restando che tutto quanto ha a che fare con
le attività operative dell’azienda e con la proprietà intellettuale dovrebbe
essere lasciato fuori di discussione.
Il terzo punto
di interesse è rappresentato dai cosiddetti dispositivi media-centrici,
che non solo dispongono di una grande quantità di memoria, ma sono in
grado di far girare applicazioni sempre più complesse. Questi dispositivi
diventano facili vettori di codici maligni, per questo motivo è opportuno
implementare policy adeguate che includono la restrizione all’accesso ai
cosiddetti corporate managed system, o l’adozione di una Vpn su Ssl.
Il quarto e ultimo aspetto riguarda il lavoro da
remoto. Secondo Gartner i vantaggi di consentire l’accesso remoto alle
reti e alle risorse aziendali vanno commisurati ai rischi, sia in termini di
codici pericolosi, sia in termini di perdita di informazioni sensibili. Anche in
questo caso, il suggerimento è quello di implementare Vpn su Ssl o altre
tecnologie sicure di accesso da remoto.