Molti imprenditori hanno una reazione di sorpresa quando viene chiesto loro in che modo pensano di gestire la sicurezza dei device mobili aziendali e quelli personali (cioè di proprietà esclusiva) dei dipendenti (smartphone e tablet) per proteggerli da possibili perdite e/o violazioni di dati.
Se, da un lato, è raro trovare un imprenditore che non abbia pensato a proteggere gli strumenti ICT presenti nella sede dell’azienda, dall’altro lato, non è inconsueto constatare una certa sottovalutazione per quanto riguarda l’adozione di adeguate misure di sicurezza, tecniche ed organizzative, sui device mobili.
Ciò accade, soprattutto, quando i lavoratori utilizzano device mobili di loro proprietà, vi installano le applicazioni che preferiscono e si interfacciano con le rete aziendale tramite questi dispostivi: questa prassi – tecnicamente definita BYOD (Bring your own device) – si riscontra ormai da anni e impone alle imprese, soprattutto quelle meno strutturate, un’importante sfida per individuare la miglior modalità di protezione dei dati, pur in presenza di una situazione in cui l’azienda non possiede né controlla direttamente smartphone e tablet utilizzati dai propri lavoratori.
Secondo dati recenti, le violazioni di dispositivi mobili (smartphone, tablet, notebook) producono, mediamente, costi alle aziende nell’ordine di 100mila euro nel 40% dei casi; nell’ordine di 500mila euro nel 25% dei casi.
Esaminiamo, pertanto, quali possono essere alcune soluzioni pratiche, con specifico riguardo alla mobile security, in risposta alle prescrizioni dell’art. 32 del GDPR, che impone alle aziende di mettere in atto “misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio”.
Indice degli argomenti
Gestire la sicurezza dei device mobili: controllo del flusso di dati
Laddove sia possibile (per capacità dei sistemi, dimensione dell’impresa, budget, etc.), è opportuno puntare su tecnologie capaci di controllare il flusso dei dati in ogni “tratta” e, cioè, tra un device mobile e l’altro e tra questi e le risorse aziendali di back end o il mondo esterno.
In questo modo, analogamente a quanto avviene per la rete aziendale “classica”, l’azienda potrà accorgersi di eventuali flussi anomali di traffico sui device (per intensità, modalità, tempo di utilizzo ecc.) e prendere, di conseguenza, le opportune contromisure in modo tempestivo.
In ogni caso, soprattutto nelle situazioni di BYOD e in realtà imprenditoriali meno strutturate, il titolare del trattamento deve perlomeno pretendere (e assicurarsi) che ogni device sia dotato, come misura minima di sicurezza, di un software antivirus di qualità (in commercio ve ne sono moltissimi) che permetta, tra le altre cose:
- la rilevazione di app con problemi per la privacy;
- la localizzazione da remoto dello smartphone o del tablet in caso di smarrimento o furto;
- il blocco del device e, se occorre, anche la cancellazione dei dati tramite un reset da remoto.
Implementare le funzionalità di base
Le aziende che pensano di integrare o hanno già adottato tecnologie di sicurezza mobile, si limitano, per lo più, a funzionalità di base legate al controllo degli accessi e alla mitigazione dei danni che possono potenzialmente derivare dalla perdita del device.
Sarebbe, invece, consigliabile valutare l’adozione di misure di sicurezza più incisive, quali, ad esempio, i sistemi per la crittografia del dispositivo o i sistemi per il filtraggio delle URL.
La crittografia del dispositivo consente di proteggere file e cartelle da accessi non autorizzati se il dispositivo viene smarrito o rubato. Dopo avere attivato la crittografia del dispositivo, solo gli utenti con la password o con il PIN corretto saranno in grado di accedere al dispositivo.
I più recenti dispositivi vengono crittografati per impostazione predefinita, ma, per quei dispositivi Android che non lo sono ancora, si possono seguire i seguenti passaggi:
- impostare il blocco dello schermo del dispositivo, selezionando un PIN o una password;
- tornare alla schermata di blocco e sicurezza e selezionare le voci di menu (potrebbero variare a seconda del sistema operativo installato nello smartphone) Impostazioni/Sicurezza/Crittografia dispositivo;
- seguire le istruzioni che saranno visualizzate sullo schermo.
Per i sistemi IOS, possiamo trovare la security guide direttamente sul sito ufficiale Apple.
La crittografia è sicuramente uno strumento efficace per prevenire il furto dei dati, soprattutto se accompagnata da periodici backup.
Autenticazione biometrica
L’autenticazione biometrica, già usata di default sui device più recenti ed evoluti, può essere considerata – purché adottata insieme ad opportune cautele per la tutela dei dati personali dei lavoratori che vengono registrati – una misura efficace per proteggere i device mobili.
Se non si può far ricorso all’autenticazione biometrica, è, comunque, indispensabile che l’accesso ai device sia sempre protetto, almeno, da una password alfanumerica, escludendo, di preferenza, l’utilizzo di sequenze da tracciare con il dito: queste ultime, infatti, risultano meno affidabili, dato che lasciano tracce sullo schermo che potrebbero rivelare quale sia il segno di sblocco.
Monitorare e autorizzare le app installate
Siamo tutti consapevoli del proliferare di applicazioni di ogni sorta e tipo, utili per le più svariate esigenze.
Occorre, però, che i lavoratori siano consapevoli dei rischi per la tutela dei dati personali connessi a certe tipologie di app e, quindi, è necessario che siano adeguatamente informati dal Titolare del trattamento in ordine al fatto che:
- non possono scaricare qualunque tipo di app, bensì solo quelle autorizzate dai responsabili IT;
- devono tenere conto di fattori quali l’interoperabilità con l’ambiente IT aziendale, la sicurezza, le performance e l’affidabilità della specifica app e dello store da cui proviene;
- devono prestare particolare attenzione alle autorizzazioni che vengono richieste per il funzionamento dell’app, rifiutando l’accesso a funzionalità estranee o non pertinenti con la finalità dell’app stessa.
Limitare le connessioni Wi-Fi, NFC e Bluetooth
Gli attuali smartphone, di norma, si connettono automaticamente ad internet ricercando continuamente reti wireless attive: questa funzione può, tuttavia, rivelare molte informazioni, per esempio, sull’identità dell’utente e sulla sua posizione.
Inoltre, la connessione automatica a punti di accesso non protetti potrebbe consentire l’accesso allo smartphone ed alle attività online da parte di cyber criminali: molti hotspot Wi-Fi pubblici, come quelli che si trovano in luoghi di ristoro, aeroporti e hotel, non cifrano le informazioni che inviamo su internet e raramente sono sicuri.
Per ridurre al minimo i rischi, è opportuno adottare alcuni accorgimenti, quali:
non permettere allo smartphone di connettersi automaticamente alle reti wireless ma utilizzare la funzione di attivazione/disattivazione manuale del Wi-Fi;
utilizzare la funzione Wi-Fi solo in determinati luoghi che sappiamo essere sicuri (ad esempio a casa) oppure sfruttando le funzioni di apposite app di monitoraggio delle reti wireless;
se si ha davvero la necessità di collegarsi ad un hotspot pubblico, bisogna, comunque, evitare di visitare siti non protetti da una connessione sicura (quelli, cioè, privi del protocollo HTTPS) e di effettuare operazioni bancarie o altre attività ad alto rischio.
Anche la tecnologia Bluetooth e NFC (Near Field Communication) – pur risultando utile in molti casi per la connettività perché consente di utilizzare accessori come auricolari e tastiere wireless o di effettuare pagamenti contactless – può essere sfruttata per accessi illeciti al dispositivo.
In ogni caso, è assolutamente da sconsigliare la pratica di associare il proprio smartphone ad altri dispositivi e, comunque, non deve mai essere accettata una richiesta da dispositivi sconosciuti.
È bene, quindi, che il titolare del trattamento informi adeguatamente i lavoratori dei rischi connessi a queste tipologie di connessione, raccomandi loro di tenerle spente e di attivarle solo quando serve e, quando possibile, mettere il dispositivo in modalità “non rilevabile”.
Gestire la sicurezza dei device mobili: considerazioni
Caposaldo ineludibile nell’ottica di gestire la sicurezza dei device mobili resta, in ogni caso, la formazione del personale.
Sarà, pertanto, indispensabile che il titolare del trattamento inserisca nella policy aziendale anche specifiche regole di corretto utilizzo dei device mobili, dandone il massimo risalto e diffusione all’interno dell’organizzazione e monitorandone l’effettivo rispetto, così da poter adeguatamente assolvere anche l’onere di dimostrazione, imposto dal GDPR ai titolari del trattamento, dell’adozione di tutte le misure di sicurezza adeguate al rischio e della loro verifica nel tempo.
