Oops! It appears that you have disabled your Javascript. In order for you to see this page as it is meant to appear, we ask that you please re-enable your Javascript!
Pubblicato da: System Off Site Categoria: Cybersecurity, News, Security tag: , , , Commenti: 0

Alessandro Frigerio

Alessandro Frigerio

Direttore System Off Site

Share
Share
Share
Share
Share
Share
Share
Share
Share

Esempi di criteri di sicurezza per dispositivi mobili

Come utilizzare questi criteri Esempi di criteri di sicurezza per i dispositivi mobili

Origine di questi criteri

Al giorno d’oggi, una delle maggiori sfide affrontate dai reparti IT è la protezione di dispositivi mobili quali smartphone e tablet, siano essi di proprietà dell’utente o aziendale, questi esempi di criteri vanno intesi come linee guida per le organizzazioni che desiderano implementare o aggiornare i propri criteri di sicurezza per i dispositivi mobili.
Potete adoperarli liberamente e adattarli alla vostra organizzazione.
Ove richiesto, modificare, rimuovere o aggiungere informazioni, a seconda delle vostre esigenze e approccio ai rischi.
Non sono criteri completi, bensì un modello pratico da usare come base per la creazione dei propri criteri.

Origine di questi criteri
La sfida più comune da affrontare è il fatto che gli utenti non sanno che i dispositivi mobili rappresentano una minaccia a sicurezza informatica.
Di conseguenza, non applicano lo stesso livello di sicurezza e protezione dei dati che utilizzerebbero su altri dispositivi, come ad es. i computer desktop.
Il secondo problema consiste nel fatto che, quando sono gli utenti a fornire il dispositivo, attribuiscono maggiore priorità alle proprie esigenze, piuttosto che al bisogno aziendale.
Questi criteri di massima forniscono una struttura per la protezione dei dispositivi mobili, e vanno adoperati insieme ad altri criteri che riflettano le vostre politiche aziendali relative a risorse informatiche e protezione dei dati.

Introduzione
I dispositivi mobili, come smartphone e tablet, sono strumenti aziendali importanti, e il loro utilizzo viene supportato al fine di raggiungere obiettivi.
I dispositivi mobili rappresentano però anche un rischio significativo alla sicurezza di dati e informazioni; se non vengono implementate le corrette applicazioni e procedure di sicurezza, possono infatti diventare un vettore per l’accesso non autorizzato ai dati e alla struttura informatica dell’azienda.
Le conseguenze di ciò possono essere fuga dei dati e attacco ai sistemi.
ha l’obbligo di difendere le proprie risorse informative, al fine di proteggere clienti, proprietà intellettuale e reputazione.
Questo documento illustra una serie di pratiche e requisiti per l’uso sicuro dei dispositivi mobili.

Ambito
Tutti i dispositivi mobili, siano essi di proprietà di oppure di un dipendente, aventi accesso a reti, dati e sistemi aziendali, esclusi i portatili forniti in dotazione dall’azienda e gestiti dal reparto IT. Sono inclusi smartphone e tablet.

Esenzioni: nel caso vi sia un’esigenza aziendale di esenzione da questi criteri (costi troppo elevati, troppa complessità, impatto negativo su altri requisiti aziendali), sarà necessario condurre una valutazione dei rischi, e l’eventuale autorizzazione verrà concessa dai responsabili alla sicurezza.

Criteri
Requisiti tecnici
I dispositivi devono utilizzare i seguenti sistemi operativi: Android 2.2 o successivo, IOS 4.x o successivo.
I dispositivi devono contenere tutte le password salvate dall’utente in un password store cifrato.
I dispositivi devono essere configurati con una password protetta, che sia conforme ai criteri della password.
Questa password deve essere diversa dalle altre credenziali utilizzate all’interno dell’azienda.
Ad eccezione dei dispositivi gestiti dal reparto IT, non è consentita la connessione diretta dei dispositivi alla rete aziendale interna.

Requisiti dell’utente
Agli utenti è consentito caricare sul o sui dispositivi solamente i dati essenziali allo svolgimento del proprio lavoro.
In caso di furto o smarrimento dei dispositivi, gli utenti hanno l’obbligo di avvisare immediatamente il reparto IT.
Se un utente sospetta che sia stato effettuato un accesso non autorizzato ai dati aziendali tramite un dispositivo, ha il dovere di riferirlo immediatamente, seguendo le procedure di gestione.
È proibito sottoporre i dispositivi a “jailbreaking”, o ad installazioni di software/firmware allo scopo di accedere a funzionalità il cui uso non è destinato.
È proibito scaricare sui dispositivi copie pirata di software, o contenuti illegali.
È consentito installare applicazioni solamente da fonti ufficiali e approvate dai vendor della piattaforma.
È severamente vietato installare codice proveniente da fonti non attendibili.
In caso di dubbio sull’attendibilità dell’origine di un’applicazione, contattare il reparto IT.
È necessario mantenere aggiornati i dispositivi con le patch fornite da produttori o rete. Le patch vanno come minimo controllate ogni settimana e applicate una volta al mese.
Non è consentito connettere un dispositivo a un PC privo di protezione antimalware aggiornata e abilitata, e on conforme ai criteri aziendali.
I dispositivi vanno cifrati seguendo gli standard di conformità.
Gli utenti devono adottare la massima cautela e separare sul dispositivo gli account e-mail personali da quelli lavorativi.
Nello specifico, hanno l’obbligo di accertarsi che i dati aziendali vengano inviati esclusivamente tramite il sistema di posta elettronica aziendale.
Se un utente sospetta che siano stati inviati dati aziendali da un account e-mail personale, nel corpo del messaggio o come allegato, ha il dovere di informare immediatamente il reparto IT.
(Se applicabile alla vostra organizzazione) Agli utenti non è consentito utilizzare le postazioni di lavoro aziendali per il backup o la sincronizzazione di contenuti del dispositivo come file multimediali, a meno che tali contenuti siano necessari per il legittimo svolgimento delle proprie mansioni lavorative.
Il jailbreaking di un dispositivo mobile è la rimozione dei limiti imposti dal produttore.
Questa operazione consente l’accesso al sistema operativo, sbloccando quindi tutte le funzionalità del dispositivo stesso e permettendo l’installazione di software non autorizzato.

Share
Share
Share
Share
Share
Share
Share
Share
Share