Sicurezza delle password: un must per l’Enterprise Mobility

L’analisi di Gary McConnell, managing partner Clever Consulting, su una delle più grandi spine nel fianco per l’IT di molte imprese, soprattutto nel panorama bancario.

L'esponenziale diffusione di smartphone e tablet, e il loro utilizzo negli ambienti di lavoro, ha messo le imprese di fronte al problema della tutela delle informazioni e dei dati sensibili, e alla conseguente necessità di intraprendere strategie di sicurezza per proteggersi dalla perdita o furto di dati. Una ricerca IDC ha evidenziato che nel primo trimestre 2014 sono stati venduti 281,5 milioni di smartphone, il 28,6% in più rispetto allo stesso periodo 2013. Inoltre, secondo una ricerca dell'Osservatorio Mobile Enterprise della School of Management del Politecnico di Milano, gli smartphone sono ormai largamente diffusi nelle imprese (91%), seguiti a ruota dai tablet (66%). Questi dati danno un'idea molto chiara del fenomeno e della complessità che gli IT manager devono affrontare per pianificare, soddisfare e garantire i requisiti di sicurezza richiesti dall'azienda e dall'infrastruttura IT.

Prima dell'introduzione di nuove generazioni di piattaforme di enterprise mobility, come Android, iOS e Windows Phone 8, la maggior parte delle aziende utilizzava server in-house Blackberry BES, un'architettura relativamente semplice da governare, tanto che la sua implementazione veniva spesso affidata ai responsabili della telefonia aziendale. I sistemi attuali presentano invece nuove complessità di gestione e la necessità di integrazione con i servizi aziendali di e-mail, Wi-Fi, VPN, archivi di documenti interni - come SharePoint, accesso alla Intranet aziendale e single sign-on per le applicazioni mobili.

Queste complessità hanno portato a un aumento dei rischi associati all'utilizzo di device mobili per accedere, visionare, salvare o inviare dati sensibili. La nostra esperienza ci insegna che tra le sfide che si devono affrontare per ottenere il successo di un progetto di enterprise mobility, la prima e più comune è l'aggiornamento periodico delle password, che azienda e utenti vivono in modo differente.

Molte organizzazioni si appoggiano infatti a un unico repository per le password, solitamente Microsoft Active Directory o un repository LDAP. Quando una password scade, l'utente procede immediatamente a reimpostarla sul PC, ma spesso si dimentica di effettuare l'aggiornamento anche sul proprio device. Questo fa sì che il dispositivo tenti sistematicamente di accedere alle risorse aziendali, quali e-mail o Wi-Fi, con le vecchie password memorizzate, con il risultato piuttosto frequente di bloccare l'account dell'utente. Può sembrare banale, ma problemi come questo possono minare il successo di un'iniziativa mobile, il cui obiettivo primario dovrebbe essere quello di mantenere una user experience ottimale.

Chiedere all'utente di aggiornare la password sul proprio smartphone ogni volta che cambia sulla loro Active Directory, può essere una procedura a cui non sono abituati, soprattutto se provengono da un ambiente Blackberry. Vedersi bloccare la propria utenza più volte, a causa di dispositivi mal configurati, può quindi risultare frustrante sia per l'utente finale, sia per l'IT che è chiamato a intervenire.

Ci sono diversi modi per ovviare a questo tipo di inconvenienti, uno potrebbe essere l'utilizzo di una soluzione di PKI (Public Key Infrastructure) da parte dell'azienda, cioè ladistribuzione di certificati per l'autenticazione e il loro utilizzo sui dispositivi. Queste procedure potrebbero quindi ottimizzare tutte le operazioni di autenticazione senza l'utilizzo di password, permettendo all'utente di ottenere la user experience attesa e rispondendo alle esigenze di sicurezza aziendale.

Tuttavia, questo richiede ai responsabili della gestione dell'ambiente mobile approfondite conoscenze su: Certificate Authority, protocollo SCEP, certificati lato client, connessioni tra certificati e, in generale, tutto ciò che è necessario per risolvere i problemi legati a un ambiente PKI. Inoltre, combinando l'ambiente PKI con Kerberos Constrained Delegation, viene massimizzata sia la sicurezza, sia la user experience, e introdotti contemporaneamente elementi IT che devono essere progettati, configurati e distribuiti con responsabilità e attenzione.

La nuova era mobile non prende in considerazione solo i dispositivi degli utenti finali, ma richiede una completa e approfondita conoscenza dell'infrastruttura IT aziendale: dispositivi degli utenti finali, networking, sicurezza, autenticazione, PKI, architettura e-mail, distribuzione dei contenuti e architettura dell'applicazione.

Se si vuole quindi sviluppare e implementare un progetto di enterprise mobility di successo, che rispetti tutte le esigenze di sicurezza e compliance, è necessario affidarsi a partner in possesso di competenze molto trasversali sia sull'ambiente mobile, sia sull'infrastruttura IT. Queste competenze sono necessarie alle imprese al fine di affrontare in maniere efficiente un problema solo all'apparenza semplice da gestire.