La privacy dei dati è una priorità assoluta per i responsabili IT. Fino a poco tempo fa, i dati privati dei dipendenti non erano nemmeno una preoccupazione, perché i server e le applicazioni aziendali non ne avevano: gli utenti non stavano mettendo le loro foto delle vacanze sui server dei documenti aziendali o i loro dati finanziari personali nel sistema finanziario aziendale. Tuttavia, con l’ascesa degli smartphone come strumenti di lavoro ufficiali o semi-ufficiali, le cose sono improvvisamente cambiate e i responsabili IT stanno ora gestendo dispositivi che potrebbero contenere più dati personali che aziendali.

Mantenere la privacy dei dati “personali” di uno smartphone non è solo etico; tale sicurezza aiuterà anche a mantenere tutto sul dispositivo, aziendale e personale, più sicuro.

Ecco 4 buone pratiche da utilizzare per mantenere la privacy dei dati “personali”

1. Inizia con le impostazioni di sicurezza di base e potenziale con un Mobile Device Management (MDM)

Anche nel programma BYOD più scarno, ci sono alcune opzioni di sicurezza di base per smartphone che ogni dispositivo dovrebbe avere in ogni momento:

  • Impostazione di codici di accesso più lunghi di quattro cifre
  • Abilitazione dell’installazione automatica della sicurezza e degli aggiornamenti del software applicativo
  • Limitare le scelte delle applicazioni a negozi attendibili

Se sullo smartphone è installato un agente MDM aziendale ufficiale , è facile controllare queste impostazioni. In caso contrario, le funzioni di gestione dei dispositivi remoti integrate quando l’utente si collega ai server di posta elettronica aziendale possono essere utilizzate per eseguire il kick su queste impostazioni di base.

Ottenere queste tre impostazioni di base su ogni smartphone dello staff farà più di ogni altra cosa per mantenere privati i dati personali. Una quarta impostazione, che abilita la crittografia, merita di essere menzionata, ma oramai tutti gli smartphone moderni lo fanno già per impostazione predefinita.

2. Protezione dei dati in movimento

I responsabili IT sanno di dover proteggere la privacy dei dati aziendali in movimento abilitando la crittografia end-to-end tra server aziendali e applicazioni smartphone aziendali. Ma non hanno quasi alcun controllo sulle applicazioni degli utenti che si trovano sugli stessi dispositivi, che meritano le stesse protezioni. I rischi sono particolarmente elevati quando si utilizzano le reti Wi-Fi pubbliche, poiché generalmente non esiste alcuna garanzia di privacy associata a questi tipi di reti.

Per aumentare la sicurezza sul Wi-Fi pubblico, i responsabili IT possono offrire servizi VPN aziendali che forniscono protezione sempre attiva crittografando e utilizzando tunneling per tutto il traffico, aziendale e Internet, su un server VPN aziendale. Ciò non solo fornisce una crittografia dei dati avanzata e la privacy di tutti i dati e metadati, ma offre anche al responsabile IT l’opportunità di applicare filtri di contenuto allo stream, bloccare siti Web dannosi e intercettare malware e virus noti.

Se il backhauling del traffico aziendale e personale verso un data center aziendale o un punto di presenza cloud non è una buona opzione, i responsabili IT possono rivolgersi a uno dei numerosi servizi VPN basati su cloud disponibili per crittografare e rendere anonimo il traffico. Una sottoscrizione aziendale a uno di questi servizi di terze parti è una piccola spesa operativa che può fornire una serie di servizi di sicurezza agli smartphone del personale.

Un’altra opzione è quella di scoraggiare del tutto l’utilizzo del Wi-Fi pubblico. Ad esempio, se stai negoziando con un operatore telefonico per un piano vocale e dati per tutto il personale, scegli uno con un limite di dati estremamente elevato, quindi gli utenti non sono tentati di saltare su ogni Wi-Fi pubblico che trovano per salvare i bit. Allo stesso tempo, è possibile utilizzare le impostazioni dello smartphone per mantenere i dati sulle reti dell’operatore e fuori dal Wi-Fi pubblico, ad esempio richiedere all’utente di avviare Impostazioni per scegliere una rete Wi-Fi, piuttosto che avere un elenco di reti ogni volta visualizzato lo smartphone si trova nel raggio di un punto di accesso.

Qualunque cosa tu faccia, esegui il backup con una forte campagna di educazione degli utenti sui pericoli delle reti Wi-Fi pubbliche . Le reti di dati del vettore non sono del tutto affidabili, ma presentano un rischio molto più basso per i dati personali. Assicurati che gli utenti comprendano che anche le applicazioni crittografate in esecuzione su reti Wi-Fi crittografate non possono essere considerate affidabili.

3. Buoni backup e cancellazione remota vanno di pari passo

La cancellazione remota è un potente strumento che gli utenti finali e gli help desk possono utilizzare quando si perde uno smartphone e questo dovrebbe essere abilitato su tutti gli smartphone. Allo stesso tempo, tuttavia, è necessario garantire il backup dei dati personali e aziendali. Il personale esiterà a segnalare un dispositivo smarrito o a cancellarlo se ritiene che perderà molti dati personali importanti. La cancellazione remota di solito include altre funzionalità, tra cui il blocco remoto e “trova il mio dispositivo”.

Google offre servizi di backup gratuiti basati su cloud che forniscono protezione continua per i dati personali. Se gli utenti sono preoccupati per l’archiviazione dei propri dati personali nel cloud pubblico o per la condivisione di così tante informazioni sulla posizione, esistono anche servizi di backup basati su cloud di terze parti per dispositivi mobili che offrono un livello più elevato di privacy e riservatezza.

Qualunque sia l’approccio giusto per gli utenti finali, utilizzare una combinazione di impostazioni, servizi aziendali e formazione degli utenti per garantire che queste funzionalità siano abilitate.

4. Fornire formazione agli utenti sul perché le pratiche comuni – come il jailbreak o il rooting dei telefoni – sono pericolose

Gli utenti finali leggeranno felicemente un elenco di una pagina di cose che dovrebbero e non dovrebbero fare con i loro smartphone personali, quindi avere a disposizione alcuni volantini o documenti online è un ottimo modo per comunicare messaggi chiave che potrebbero essere ovvi per i responsabili IT: ma non è così ovvio per gli utenti finali.

La chiave è fornire una solida logica che spieghi perché qualcosa è importante, non solo un elenco di regole da rispettare. Ad esempio, alcune frasi che spiegano i pericoli di uno smartphone con root o jailbreak o il motivo per cui gli utenti potrebbero voler trarre vantaggio dall’antivirus mobile, faranno molto per proteggere i dispositivi.

Gli utenti apprezzeranno anche l’aiuto del proprio dipartimento IT aziendale per la comprensione di argomenti complessi relativi alla privacy, come la condivisione della posizione e il monitoraggio degli utenti attraverso i cookie, che possono aiutarli a diventare utenti più attenti alla sicurezza e alla privacy.

Aiutare il personale a mantenere la privacy dei dati privati significa combinare alcune impostazioni di base, modificare alcuni comportamenti di base ed educare gli utenti sulle cose che possono fare. Combina questi tre approcci per i migliori risultati.

Enrico Costa
Sales Specialist Infrastruttura, Cloud & Security – smeup
My LinkedIn Profile

Published On: Gennaio 2nd, 2020 / Categories: Sicurezza informatica / Tags: , /

Naviga per categoria:

Seleziona una categoria d’interesse dal nostro magazine

Related Posts

Sicurezza OT nell’era dell’Industrial IoT: come proteggere i macchinari connessi della tua azienda

Aprile 17th, 2024|0 Comments
direttiva_nis2

Direttiva NIS2: comprendere la conformità e il suo impatto sulla propria azienda

Febbraio 28th, 2024|0 Comments
Rapporto_Clusit_2023

Rapporto Clusit 2023: cyber attacchi in Italia in crescita esponenziale

Dicembre 18th, 2023|2 Comments
SOC_definizione_importanza

Security Operation Center (SOC): cos’è e perché da solo non basta

Ottobre 6th, 2023|0 Comments

Il crescente pericolo del Ransomware: analisi delle minacce, impatti e strategie di difesa

Luglio 27th, 2023|0 Comments
Cyber_Security

Soluzioni ad hoc per le imprese che vogliono migliorare la sicurezza: leggi l’intervista

Aprile 18th, 2023|0 Comments
Cloud_security

Cloud Security: gli errori da non commettere

Aprile 5th, 2023|1 Comment
cloud_security

Cloud Security: vantaggi e minacce per il 2023

Febbraio 15th, 2023|1 Comment
cybersecurity-come-proteggersi

Cybersecurity: come proteggersi a casa e in azienda

Gennaio 18th, 2023|1 Comment