Byod: il decalogo di Stonesoft
Autenticazione a più fattori, single sign-on e token software sono gli elementi che minimizzano i rischi legati al modello Byod
Con il modello bring-your-own-device (Byod) che si sta rapidamente trasformando da tendenza aziendale a situazione comunemente diffusa, Stonesoft assiste CIO e Ciso a comprendere meglio l’impatto che le iniziative Byod possono avere su tutti gli aspetti di una strategia dedicata alla sicurezza di rete.
La finlandese Stonesoft ha stilato un decalogo di consigli per implementare il modello Byod (bring-your-own-device) all’interno delle imprese in maniera efficace e sicura pur facilitando l’accesso remoto protetto alle informazioni business-critical. Stonesoft è un provider globale di soluzioni innovative e sperimentate per la sicurezza di rete che includono prodotti avanzati in ambito IPS, firewall/VPN, SSL-VPN e accesso cloud remoto. “Il Byod è un altro trend tecnologico che permette all’impresa di spostare il proprio focus dall’evitare il rischio alla capacità di gestirlo. Molte divisioni IT commettono l’errore di concentrare gli sforzi su un unico tassello del puzzle, come per esempio i dispositivi. Se si intende minimizzare il rischio del Byod è invece necessario soppesarne l’impatto sull’intero ecosistema della sicurezza di rete e comprenderne le debolezze, più o meno rilevanti, che ne derivano” ha sottolineato Emilio Turani, country manager di Stonesoft Italia, Svizzera Italiana e Grecia.
Di seguito i 10 consigli di Stonesoft per una strategia di implementazione sicura del modello Byod:
– Autenticazione: non solo password. Le password statiche, combinate con i rischi tipici del modello Byod, non sono uno strumento sufficiente a garantire la protezione dell’accesso remoto a sistemi e dati aziendali sensibili. L’impresa deve prendere in considerazione metodi di autenticazione a più fattori in grado di rafforzare la sicurezza pur continuando a privilegiare la praticità d’uso. Le password one-time e i metodi alternativi di notifica (per esempio i messaggi SMS) sono due modalità che rendono olisticamente più solido e affidabile il processo di autenticazione.
– Accesso remoto sicuro con VPN basata su SSL. Una volta eseguita l’autenticazione dell’utente ecco che diventa necessario proteggere la connessione di rete. La VPN SSL fornisce ai dipendenti enorme flessibilità per accedere in sicurezza alla rete da qualsiasi luogo e dispositivo mobile. Inoltre, a differenza di IPSec (Internet Protocol Security), la VPN SSL garantisce connettività remota protetta senza bisogno di installare alcun software su ogni dispositivo.
– SSO per evitare l’affaticamento da password. L’impiego di login separati per ogni singola applicazione introduce un rischio di sicurezza in quanto gli utenti possono ricorrere a metodi insicuri per gestire tutte le varie password. Gli strumenti di single sign-on (SSO) consentono invece ai dipendenti di utilizzare un’unica password per accedere al portale aziendale e alle applicazioni cloud, e possono essere parte di una configurazione VPN SSL.
– Controllo degli end node. Quando un dipendente lascia l’azienda dovrebbe venire meno anche la sua capacità di accedere alla rete. Ciò nonostante, questo accade solo nel caso in cui esista un modo efficace per bloccare specifici utenti in maniera immediata. È auspicabile dunque ricercare una soluzione che gestisca i dispositivi anche dal punto di vista dell’azienda – non solo del dipendente – e che permetta di eliminare velocemente i privilegi di accesso di un utente grazie a pochi, semplici click. Questa azione dovrebbe poter essere eseguita senza imporre la ridefinizione dell’intera base utenti, operazione che sarebbe troppo onerosa in termini di tempo ed esposta a potenziali errori.
– Applicare una Federated ID. “Federated ID”, o identità federata, significa semplicemente che l’identità di una persona viene memorizzata su più sistemi, come accade per esempio quando si usa un login Facebook o Twitter per eseguire l’accesso all’account online di un altro sito. La stessa cosa vale per l’impresa quando autentica un utente lasciandolo successivamente accedere a sistemi interni ed esterni gestiti dall’azienda stessa. Le Federated ID implementano un meccanismo di single sign-on per i dipendenti. I vantaggi? Il dipendente si connette facilmente a qualsiasi sistema autorizzato, l’azienda controlla l’accesso anche alle applicazioni basate su cloud, e il service provider non deve occuparsi di mantenere i profili utente.
– Soft token con BYOD. I dispositivi di sicurezza fisici sono divenuti rischiosi e poco pratici; il modello BYOD in questo senso rappresenta quindi una grande occasione di risparmio per le aziende che possono tagliare sui costi relativi all’acquisto, alla gestione e alla distribuzione di hard token o altri dispositivi fisici. I soft token interagiscono con l’apparecchio del dipendente, per esempio uno smartphone, e forniscono una soluzione ‘ergonomica’ funzionale per entrambe le parti che può essere facilmente aggiornata e amministrata in base ai cambiamenti dello scenario relativo alle minacce.
– Gestire l’intero processo. I rischi del modello BYOD rendono ancora più essenziale possedere una visione centralizzata sulle attività della rete, sulle minacce in ingresso e sulle anomalie in atto, oltre che la capacità di reagire velocemente e agevolmente. È quindi importante poter fare affidamento su una console di gestione centralizzata che fornisca funzioni complete di reporting, gestione degli incidenti, avviso multicanale progressivo, statistiche geo-taggate e strumenti capaci di applicare la governance sull’intera piattaforma.
– Identificare un responsabile, implementare una strategia. Gestire una strategia BYOD non deve essere uno dei tanti compiti affidati all’IT. È necessario invece identificare un responsabile multi-funzionale incaricato della supervisione di policy, linee guida, ruoli e mansioni dei diversi dipartimenti coinvolti nel processo. La persona dovrà definire ogni singolo aspetto del modello BYOD in ambito enterprise come i dispositivi autorizzati, le divisioni che supportano il progetto e chi ha la responsabilità di pagare assistenza, servizi, piani dati ecc.
– Seguire una policy. A prescindere dal proprietario del dispositivo, i dipendenti devono rispettare i protocolli di sicurezza aziendali se usano apparecchi propri a scopo lavorativo. Una policy BYOD deve contemplare alcuni punti basilari: la capacità di auto-locking, l’identificazione personale (PIN), la cifratura del supporto, la cancellazione remota in caso di furto. Deve inoltre fornire indicazioni circa quali tipi di dati possono e non possono essere memorizzati sul dispositivo, come intervenire in caso di furto, quali sono i processi di backup accettati. Infine, un aspetto imprescindibile è la definizione di una user agreement policy e la capacità di comunicare l’importanza di rispettare le procedure di sicurezza nell’uso di questi dispositivi.
– Favorire il buon senso. Non dare per scontato che i dipendenti utilizzino il buon senso e quindi rafforzarlo. Riesaminare regolarmente anche le più ovvie e banali misure di sicurezza: cosa fare se un dispositivo viene perso o rubato, apportare gli aggiornamenti con regolarità, bloccare i dispositivi quando non vengono usati e prestare molta cautela in ciò che si scarica da Internet.
Stonesoft: www.stonesoft.com
Contenuti correlati
-
Il backup nel mirino dei cybercriminali: perché la capacità di recupero dei dati è diventata la nuova frontiera della sicurezza
Per molto tempo il backup è stato considerato il pilastro fondamentale di qualsiasi strategia di protezione dei dati. Disporre di una copia delle informazioni aziendali era ritenuto sinonimo di sicurezza e rappresentava una garanzia sufficiente per proteggersi...
-
Sicuro anche in presenza di polvere e fumo: sistema radar LBK di Leuze
Le persone presenti nella zona di pericolo vengono rilevate in modo affidabile dal sistema radar 3D di Leuze, anche in condizioni ambientali difficili: gli oggetti statici non provocano l’arresto dell’impianto. Le persone non devono poter accedere inosservate...
-
Industrial Cyber Security: come agire sotto attacco
Gli ultimi dati relativi alla cybersecurity OT mostrano un quadro allarmante di crescita degli attacchi. Abbiamo parlato di Industrial Cyber Security con i rappresentanti di alcune note aziende del settore. Presentiamo qui di seguito le loro risposte. In caso di...
-
Industrial Cyber Security: le normative
Gli ultimi dati relativi alla cybersecurity OT mostrano un quadro allarmante di crescita degli attacchi. Abbiamo parlato di Industrial Cyber Security con i rappresentanti di alcune note aziende del settore. Presentiamo qui di seguito le loro risposte. Ritenete che le...
-
Industrial Cyber Security: l’evoluzione attesa
Gli ultimi dati relativi alla cybersecurity OT mostrano un quadro allarmante di crescita degli attacchi. Abbiamo parlato di Industrial Cyber Security con i rappresentanti di alcune note aziende del settore. Presentiamo qui di seguito le loro risposte. In che direzione...
-
Industrial Cyber Security: il ‘piano B’ e il ‘fattore uomo’
Gli ultimi dati relativi alla cybersecurity OT mostrano un quadro allarmante di crescita degli attacchi. Abbiamo parlato di Industrial Cyber Security con i rappresentanti di alcune note aziende del settore. Presentiamo qui di seguito le loro risposte. Una volta subito...
-
Sicurezza IT-OT: come ottenerla?
Gli ultimi dati relativi alla cybersecurity OT mostrano un quadro allarmante di crescita degli attacchi. Abbiamo parlato di Industrial Cyber Security con i rappresentanti di alcune note aziende del settore. Presentiamo qui di seguito le loro risposte. A fronte di...
-
Tavola rotonda: “Industrial Cyber Security” – Introduzione
Gli ultimi dati relativi alla cybersecurity OT mostrano un quadro allarmante di crescita degli attacchi. Abbiamo parlato di Industrial Cyber Security con i rappresentanti di alcune note aziende del settore. Presentiamo qui di seguito le loro risposte. Conoscere...
-
OT cybersecurity: scadenze, obblighi e opportunità al centro di una giornata di Consorzio PI
Sala piena e persone in piedi: è stata un indubbio successo la giornata di studio dedicata al tema “OT Cyber Security: dalla teoria alla fabbrica”, organizzata da Consorzio PI Italia a Cavenago Brianza, alle porte di Milano. Un...
-
L’agentic AI trasforma il lavoro e accelera i rischi
Nel luglio 2025, un software engineer stava testando un agente di codifica basato su AI quando ha osservato qualcosa di inaspettato: l’agente ha ignorato le sue istruzioni, ha acceduto autonomamente a un database in produzione e cancellato...















