L’IT Consumerization è un fenomeno non recente dove i dipendenti introducono in azienda, con o senza il consenso del management, i propri dispositivi tecnologici e li utilizzano sia per attività personali che per attività lavorative. Questo fenomeno ha portato, da un lato, ad un cambiamento delle relazioni fra i dipendenti e l’IT dove, spesso, il lavoratore è in grado di utilizzare tecnologie più recenti e più produttive di quelle fornite dall’azienda e, dall’altro, all’introduzione di nuove problematiche di sicurezza e di protezione dei dati aziendali. Con l’avvento dei mobile device questo fenomeno è esploso in modo esponenziale richiedendo alle aziende di potenziare i propri sistemi di sicurezza di introdurre nuove tipologie di policy per limitare l’accesso alle informazioni riservate da parte dei mobile device. BYOD (Bring Your Own Device) è un insieme di best practices che può aiutare le aziende a gestire in modo più efficiente e sicuro il parco dei mobile device. Questa presentazione spiega perché, oggi, nessuna azienda, sia essa di piccole o grandi dimensioni, possa evitare di introdurre delle policy BYOD per il Mobile Device Management.

1. Mobile Device Management
&
BYOD
1!
Gabriele Pellegrinetti
gpellegrinetti@tecnetdati.it

2. Agenda
• Terminologia
• L’introduzione di mobile device in
azienda
• Perché serve BYOD
• Problematiche di sicurezza e privacy
• Alcune linee guida
• Possibile soluzione BYOD
2!

3. Nuovi termini... Vecchi problemi
• Alcuni anni fa i dipendenti delle aziende iniziarono a portare i propri
PC in ufficio e ad utilizzarli sul posto di lavoro --> si parlava di BYOC
o BYOPC;
• Successivamente iniziarono ad utilizzare le proprie "chiavette"
internet per accedere alla rete e per "superare" i firewall aziendali --
> si parlava di BYON;
• Oggi i dipendenti usano, con o senza il consenso dell'azienda i propri
smartphone, tablet, eBook reader, media player... E li connettono alla
rete aziendale --> si parla di BYOD;
• L'acquisto, in massa, di dispositivi informatici da parte dell'utente e il
loro utilizzo, anche in ambiente lavorativo, prende il nome di IT
Consumerization;
• Oggi, la maggior parte degli esperti, considera BYON come parte
integrante di BYOD;
• Le pratiche utilizzate dalle aziende per l'implementazione di BYOC
non sono più sufficienti per BYOD.
3!

4. Introduzione di mobile device in azienda
• Le aziende possono adottare diverse
strategie per l'introduzione e l'utilizzo di
mobile device sul luogo di lavoro:
• dispositivi di proprietà dell'azienda;
• dispositivi di proprietà dell'utente utilizzabili sul luogo di
lavoro (BYOD);
• un approccio ibrido fra i due precedenti.
• Gli strumenti, le best practices, le tecnologie atte a
gestire i mobile device, sono gli stessi sia nel caso di
dispositivi di proprietà dell'azienda che nel caso di
dispositivi di proprietà dell'utente.
• Quello che cambia sono le policy da applicare.
4!

5. BYOD... No grazie
• Molte aziende non si sentono pronte per BYOD e decidono
di utilizzare solo dispositivi di proprietà...
• ... Quindi:
• non prevedono l'introduzione di BYOD;
• Posticipano ad un tempo futuro l'introduzione di BYOD;
• dicono di non fare BYOD.
• FALSO!!!!
• Tutte le aziende, solo per il fatto che gli utenti possano
introdurre al loro interno device di loro proprietà, sono
soggette all'applicazione di alcune pratiche BYOD;
• nella realtà, le aziende, fanno BYOD in modo
inconsapevole.
5!

6. BYOD – i 2/3 degli impiegati lo fa
• Da un'analisi emerge che il 55% degli
impiegati europei utilizza regolarmente
dispositivi personali per scopi di lavoro;
• in Italia lo fa il 67%.
• i device utilizzati?
• 36% dei casi si tratta di iPhone;
• 24% di altri smartphone (android in
primis);
• per il 23% sono iPad;
• e i restanti sono BlackBerry.
6
http://searchnetworking.techtarget.it/il-byod-2-3-degli-impiegati-lo-fa/0,1254,19_ART_149146,00.html!

7. Perché è necessario considerare alcune
pratiche BYOD
• Se all'utente è consentito introdurre i propri device in
azienda, potrebbe:
• trovare il modo di connettere il proprio device al WI-FI aziendale;
• connettere il device alla porta USB del PC di lavoro per ricaricare le batterie;
• connettere il device alla porta USB del PC di lavoro per fare vedere al collega le
ultime foto scattate al figlioletto;
• connettere il device al PC di lavoro per trasferire dati e documenti;
• utilizzare il device per connettere il PC di lavoro ad Internet in modo da
superare eventuali blocchi del firewall;
• sproteggere il dispositivo (jailbreak o rootacces) sia di proprietà che aziendale;
• ...
• Ognuna di queste pratiche è una violazione alla sicurezza
aziendale in quanto avvengono all'interno del perimetro della
stessa e possono aprire delle vie di comunicazione non
controllate con l'esterno.
• Gestire queste problematiche fa parte di BYOD.
7!

8. In ogni caso, sia con device aziendali che con
BYOD si corre il rischio di perdere il controllo
8!

9. Cosa serve per gestire i dispositivi
• Indipendentemente dall'utilizzo di dispositivi aziendali e/o
personali, questi devono essere gestiti:
• stesura di un manuale "etico" per l'utilizzo dei dispositivi;
• formazione degli utenti sui rischi di sicurezza legati all'utilizzo dei
dispositivi;
• gestione di un repository dei dispositivi e delle applicazioni;
• gestione delle policy di sicurezza, aggiornamento,...
• introduzione di sistemi di rilevamento (IDS) di violazione alla sicurezza;
• introduzione di un processo per lo sviluppo di applicazioni sicure (sia web
che native);
• introdurre un processo di testing delle applicazioni e delle configurazioni
da eseguire prima della loro propagazione sui device (complementare al
normale processo di testing);
• introdurre sistemi di mobile security (antivirus, antimalware, anti-
intrusion,...);
• introdurre un processo di data & disaster recovery.
9!

10. Un manuale etico... Soldi sprecati? E la
formazione sulla sicurezza?
• Poche aziende hanno un manuale etico per l'utilizzo dei
sistemi informativi... Anche se "suggerito" dalle
normative;
• la tecnologia non può "risolvere" tutti i problemi di
sicurezza relativi ai mobile device;
• è quindi necessario istruire l'utente:
• sui comportamenti da adottare quando si usa un dispositivo aziendale al
di fuori dell'azienda;
• sui comportamenti da adottare quando si introducono dispositivi
personali in azienda;
• quali sono i principali rischi di sicurezza;
• cosa può accadere se si adottano comportamenti errati;
• quali sanzioni sono previste dalla legge;
• come evitare di "compromettere" il proprio dispositivo e/o i sistemi
aziendali;
• ...
10!

11. Introduzione di un reporitory
• In azienda lavorano utenti:
• con ruoli differenti;
• che hanno esigenze di mobility differenti;
• che richiedono applicazioni differenti.
• Un'azienda può:
• fornire lo stesso device con configurazioni differenti a seconda del ruolo dell'utente;
• fornire device differenti a seconda del ruolo dell'utente;
• usare soluzioni ibride.
• È quindi necessario:
• avere un censimento dei dispositivi;
• avere un censimento delle applicazioni disponibili;
• avere un censimento delle configurazioni (intese come applicazioni e settings);
• gestire le associazioni profilo-device-configurazione;
• gestire l'upgrade controllato dei firmware, dei settings, delle applicazioni,..
• gestire le policy di utilizzo dei dispositivi.
• Serve quindi un repository per il Mobile Device Management.
11!

12. Le policy di sicurezza
• L'utilizzo di un dispositivo deve essere gestito tramite policy:
• sul dispositivo;
• a livello di rete aziendale.
• Le policy definiscono cosa è consentito o meno:
• a seconda del profilo dell'utente;
• a seconda del dispositivo utilizzato;
• a seconda della connessione utilizzata (3g personale, 3g aziendale, wifi, ...);
• a seconda del perimetro (sono connesso alla rete aziendale, sono a casa,...);
• Cosa devono controllare:
• le applicazioni consentite e quelle vietate;
• le risorse a cui è possibile accedere;
• i servizi web consentiti;
• ...
• Non tutte le policy sono implementabili con strumenti di MDM...
È necessario integrare tali strumenti con altri (firewall, IDS,...)
12!

13. Le tecnologie
• In ambito mobile non esistono tecnologie universali;
• se un vendor dice che il suo prodotto può gestire ogni
aspetto di BYOD e MDM... Mente spudoratamente;
• un'azienda deve selezionare, in base ai requisiti
presenti e futuri, la/le tecnologie più adatti per:
• implementare i repository;
• gestire le policy "interne" ai dispositivi;
• gestire le policy a livello di rete;
• rilevare le intrusioni;
• gestire l'installazione automatica del software e
degli upgrade;
13!

14. Sviluppo di applicazioni sicure
• I device mobile non sono sicuri;
• quando viene individuata una vulnerabilità, se va bene, viene
risolta con il rilascio della nuova versione del firmware (1-3
rilasci l'anno);
• spesso le nuove release del firmware non supportano i device
più vecchi (un device ha una vita media di un anno);
• le aziende devono, quindi, provvedere ad evitare che le
applicazioni da esse sviluppate possano essere soggette a
vulnerabilità;
• un'applicazione non sicura "apre" le porte dell'azienda a
eventuali attacchi;
• devono quindi essere adottate:
• best practices per lo sviluppo di applicazioni mobili sicure;
• test di verifica della qualità del codice per escludere o
minimizzare la presenza di falle (injection, XSS, ...).
14!

15. Un nuovo processo di testing
• Le configurazioni (firmware, setting, policy, applicazioni,...) devono
essere testate prima della propagazione sui dispositivi:
• test di corretto funzionamento;
• verifica di presenza di incompatibilità con la versione del firmware o con altre
applicazioni;
• verifica di cosa fa realmente l'applicazione (per le applicazioni acquistate o di terze
parti):
• accedono a funzioni non dichiarate (gps, contatti, fotocamera,...)?
• si connettono a server o servizi esterni di cui non necessitano?
• trasmettono o memorizzano dati riservati senza consenso?
• ...
• gli strumenti da utilizzare richiedono nuove competenze:
• analisi dei pacchetti di installazione;
• analisi a runtime dei folder delle applicazioni;
• sniffing del traffico dati fra il dispositivo e la rete;
• ...
• ovviamente queste attività devono essere fatte su un apposito
ambiente di test e non sui dispositivi assegnati agli utenti (è illegale
senza il loro consenso).
15!

16. Il mobile è il nuovo vettore di attacco utilizzato per
violare la sicurezza delle aziende
16!

17. Utilizzo di strumenti di mobile security
17!
Attacchi riusciti su mobile device nel 2012! Distribuzione del malware (fonte ESET)!
• Gli attacchi su mobile, spesso portati a buon fine grazie
all'installazione di malware sui dispositivi sono in aumento.!
• Compromettere un device vuol dire compromettere la rete a cui esso
è connesso.!
• È indispensabile introdurre in azienda strumenti per l'individuazione di
malware e altre minacce.!

18. Data & disaster recovery
• La creazione di una corretta configurazione dei device e le politiche di
sicurezza adottate, non possono nulla contro eventi inattesi come:
• il guasto del dispositivo;
• il danneggiamento di dati e configurazioni dovuti a cadute di rete, di tensione,
scaricamento delle batterie (es. durante un upgrade);
• allo stesso modo, un'attaccante potrebbe modificare dati e
configurazioni sul dispositivo in modo da garantirsi l'accesso alla rete.
• È quindi opportuno attuare un processo di data e disaster recovery
che consenta:
• il backup dei dati importanti memorizzati sul dispositivo;
• il backup dell'ultima installazione/configurazione valida;
• il ripristino del dispositivo all'ultima configurazione stabile;
• la gestione della sicurezza del repository e dei dati in esso contenuti con ripristino dello
stesso in caso di violazioni (se il repository viene violato... Tutti i dispositivi sono violati);
• ...
18!

19. Schema, ad alto livello, di una soluzione MDM
per dispositivi aziendali e/o BYOD
19!
Processo di governance!

20. Grazie per l'attenzione
20!