Poiché il 70% delle vulnerabilità di un’organizzazione è legato agli utenti finali, molte imprese rivedono le proprie strategie ponendo maggiore standardizzazione ai dispositivi così da semplificare il supporto agli end user e controllando che i device siano aggiornati.

byod

Le valutazioni sulle architetture per la sicurezza condotte da Dimension Data all’interno degli ambienti dei clienti mettono in evidenza come gli utenti finali siano sempre più l’obiettivo del cyber crimine. Questo perché, per consuetudine, gli utenti possono accedere in tempo reale ai dati aziendali e, di conseguenza, diventano il punto di accesso ideali per attacchi criminali alle aziende.

Secondo quanto affermato da Jason Harris, Managing Principal Consultant Security and End-user Computing di Dimension Data, gli utenti costituiscono il nuovo perimetro, come già evidenziato nel Global Threat Intelligence Report 2015 di NTT che mostrava che 7 su 10 vulnerabilità sono da attribuirsi agli utenti – in special modo a coloro che hanno accesso ai sistemi e ai dati sensibili – attraverso dispositivi che spesso non vengono gestiti completamente dalle aziende.

Stiamo assistendo ad una crescita del numero di utenti finali che diventano facile bersaglio. Per questo, oggi, le organizzazioni non devono preoccuparsi solo degli end point tradizionali. La portata delle minacce informatiche si è estesa ai dispositivi mobili e alle piattaforme social.”

Harris sostiene che i criminali informatici sono consapevoli che, raggiungendo gli utenti, possono avere delle possibilità per accedere ai dati o ai profili degli utenti o controllare i loro dispositivi. “Questo è un trend preoccupante. Stiamo notando alcuni gap sostanziali nella gestione di dipendenti, processi e policy, soprattutto per quello che riguarda le iniziative di Bring Your Own Device e di end user computing. La maggior parte delle organizzazioni possiedono alcune forme di governance e controllo in essere ma, oggi, le precauzioni standard sono spesso inadeguate per proteggere dalle minacce di ultima generazione.”

Harris sottolinea anche che la risposta agli incidenti rimane una delle principali lacune nella difesa delle organizzazioni. Attualmente, il 74% delle aziende non ha un piano ufficiale di risposta agli incidenti. “E’ difficile mitigare l’impatto se il dispositivo di un utente viene compromesso e non esiste un processo di risposta agli incidenti che consenta di rilevare le violazioni e metta in atto misure immediate per proteggere i dati critici.

Al contempo, Jaco Hattingh, Group General Manager, Enterprise Mobility di Dimension Data evidenzia come molte organizzazioni stanno riesaminando le proprie strategie di Bring Your Own Device con l’intento di difendere il proprio business dagli attacchi informatici rivolti agli utenti finali. “Non assistiamo alla scomparsa delle iniziative di BYOD ma, piuttosto, ad una maggiore standardizzazione dei dispositivi in grado di semplificare il supporto agli end user e garantire che siano adeguatamente aggiornati, mitigando così le minacce,” spiega Hattingh.

Peculiarità locali

Neville Burdan, General Manger: End-user Computing, Asia Pacific di Dimension Data sottolinea che la maturità della sicurezza informatica differisce da regione a regione e che intervengono interessanti fattori culturali:

  • In Australia, Nuova Zelanda, US e UK, le organizzazioni ricorrono a un approccio gestito globale che include la gestione di PC così come di tablet e dispositivi mobili.
  • Un approccio sempre più comune negli Stati Uniti è costituito dalle policy di Choose Your Own Device. Gli utenti possono scegliere il proprio dispositivo preferito tra una lista di dispositivi fornita dall’organizzazione che gestisce il dispositivo ma che offre anche un certo livello di flessibilità, per esempio, consentendo agli utenti di caricare le applicazioni personali.
  • In Asia, la consumerizzazione dell’IT sta accelerando. Le aziende sono sempre più orientate verso una strategia mobile e stanno introducendo dispositivi mobili più velocemente rispetto ai dispositivi gestiti. Questo significa che la portata degli attacchi verso gli utenti è maggiore. Inoltre, in Asia, le strategie di bring your own device si stanno trasformando in quella che viene chiamata strategia COPE, per la quale COPE denota ‘corporate-owned, personally-enabled, ovvero la scelta da parte dell’organizzazione dei dispositivi da acquistare e gestire.

Burden, Hattinghed Harris hanno stilato alcune policy fondamentali semplici da implementare ma sufficientemente efficaci per indirizzare le minacce alla sicurezza riscontrate e che consentono alle violazioni di essere identificate.

  • Le policy devono essere una priorità – Lo scopo di queste policy è amministrare o far applicare alcuni comportamenti in un’organizzazione. In questo caso, impongonoalcune condotte dei dipendenti che sono allineate con gli obiettivi globali di business; mentre, allo stesso tempo, instillano un comportamento che è sensibile al patrimonio aziendale più prezioso: l’informazione. Le organizzazioni differiscono tra loro notevolmente e le policy dovrebbero essere create tenendo in considerazione la natura delle aziende, i modelli di business e le peculiarità culturali locali associate alla propria forza lavoro mobile.
  • Risposta agli incidenti – Le organizzazioni devono sviluppare un approccio alla sicurezza ‘data-centric’, che includa controlli e monitoraggio avanzati. Questo approccio garantisce alle aziende che gli utenti, anche se autorizzati ad accedere a determinati dati o sistemi attraverso determinati dispositivi, non facciano nulla che sia completamente fuori dall’ordinario, come per esempio l’improvviso trasferimento di due Gigabytes di contenuti da un database a un dispositivo mobile connesso. In questo modo le organizzazione possono essere proattive identificando e rispondendo alle anomalie.
  •  Consapevolezza e cultura degli utenti – La consapevolezza e l’educazione degli utenti deve andare di pari passo per minimizzare i rischi. E’ importante, per le organizzazioni, incoraggiare i dipendenti a comportarsi in modo coerente, secondo processi e procedure comunicate formalmente e sviluppate e controllate centralmente che si applicano a tutti i dispositivi in uso. Questo, probabilmente, non eviterà che si verifichino tentativi di attacchi ma consentirà certamente a rendere le aziende più sicure.

Neil Campbell, Group General Manager, Security di Dimension Data conclude, “Le persone possono costituire l’anello debole o il punto di forza nella catena della sicurezza: il fattore determinante deriva proprio dall’eduzione e dalla consapevolezza. Questo era vero 20 anni fa, quando lavoravo per l’applicazione della legge nell’investigazione dei crimini informatici, e rimane attuale ancora oggi.”