Nel mondo dell’IT è usuale sentir parlare di sicurezza come della grande “Bestia Nera” che interessa ogni infrastruttura aziendale più complessa del sito in hosting. Ogni IT manager è destinato, prima o poi, a dover fare i conti con gli utenti della rete aziendale per capire quali sono i dati accessibili e a chi, o addirittura per tracciare quali siano le informazioni in entrata e in uscita.
Prendere delle “precauzioni” in un ambiente più o meno chiuso, come una rete aziendale, è tuttavia relativamente semplice considerando la mole di documentazione, casi d’uso e Best Practices che spiegano come renderla il più sicura possibile.
Parlando di Cloud invece l’approccio cambia.
In Italia si può riscontrare ancora una certa resistenza al tema, viste le molte aziende che ai servizi SaaS o Cloud in generale preferiscono la versione on-premise. Nonostante i costi più elevati questi vengono preferiti ai servizi in Cloud, sui quali si ha un controllo limitato, mentre la versione on premise più controllabile e misurabile viene fatta rientrare nella categoria dei servizi aziendali interni.
Cosa succede, invece, quando si parla di sicurezza delle app Mobile?
Il proliferare delle app Mobile, anche grazie alla relativa semplicità del loro sviluppo, ha portato il mercato, di cui non ultime le aziende, a puntare fortemente su questo tipo di applicazioni per obiettivi di business.
Alle app Mobile più comuni e generiche, la cui sicurezza può essere importante, certo, ma non cruciale, si affiancano quelle app la cui sicurezza non solo è importante ma dovrebbe essere tassativa.
Semplificando notevolmente l’ambito, si possono riconoscere tre grandi questioni inerenti la sicurezza delle app Mobile:
– informazioni personali (sicurezza relativa alla Privacy)
o dati sensibili
o profilo utente
o condivisione della posizione tramite GPS
– pagamenti e transazioni (che permettono le transazioni degli acquisti on line. Es. Amazon, Ebay)
o gestione dati della carta di credito
o gestione dei profili dei sistemi di pagamento (es. Paypal)
– servizi finanziari e bancari (comprese le app Mobile che interagiscono con i nostri risparmi, conti correnti e online trading)
o oltre ai dati sopracitati si aggiungono potenziali criticità relative ai dati “transazionali”, ovvero quelli scambiati effettuando l’accesso o eseguendo ad esempio un bonifico
Da questa semplice suddivisione si evince un aumento della complessità nella gestione delle informazioni che implicano problemi di sicurezza.
Tali problematiche sono legate a molteplici fattori, tra cui:
– il sistema operativo mobile
– il salvataggio dei dati sul dispositivo (es. profilo utente, carta di credito, metodi di pagamento)
– malware installati sul dispositivo capaci di leggere informazioni salvate da altre app, tracciare la posizione dell’utente, tracciare i comportamenti dell’utente sul device, nonché catturare il traffico di rete in ingresso e in uscita del dispositivo stesso
– la connettività, ovvero man-in-the-middle, wifi pubbliche e non sicure, pishing.
Vuoi sapere il grado di vulnerabilità della tua app? Emerasoft e Nativeflow ti offrono un assessment gratuito. Inoltra una richiesta.
Quali precauzioni prendere per garantire la sicurezza degli utenti e delle app Mobile?
Il Data Breach Investigation Report (DBI), ricerca condotta dall’operatore di rete statunitense Verizon, ha dimostrato che la causa principale di incidenti di sicurezza dall’anno 2000 ad oggi e che ha coinvolto aziende che offrono servizi finanziari, era dovuta all’uso di applicazioni esposte da web. In particolare, il 44% del totale degli incidenti è avvenuto a causa di violazioni delle app Mobile.
Questi dati sono davvero sconfortanti e dimostrano come ad oggi l’approccio alle questioni di sicurezza in ambienti Cloud e Mobile sia lontano dalla standardizzazione e dall’esperienza maturata in altri ambiti. Ad oggi scrivere buone mobile app è facile, renderle davvero sicure è invece molto complesso.
I comuni approcci, che comprendono la crittografia, l’uso dei certificati SSL, la scrittura di app che rispettino al 100% i dettami imposti dalla casa madre, sono sicuramente ottimi per la creazione di app sicure, ma potrebbero non essere sufficienti.
Probabilmente riuscire a garantire la sicurezza totale, ad esempio di una nuova release del sistema operativo Mobile, o di una nuova app, è impossibile, perchè l’app è per sua stessa natura una risorsa rivolta ad un ampio pubblico, che la utilizza secondo le necessità differenti, mettendone a rischio la sicurezza.
L’AppDome di Nativeflow
Dal 2012, Nativeflow approccia il tema della sicurezza mobile in modo differente, ovvero si occupa non tanto di come implementare all’interno delle app mobile i protocolli e i metodi sicuri di iterazione con l’esterno, quanto di applicare tra l’app Mobile e il dispositivo un’armatura in grado di proteggere il device dai rischi insiti nell’uso dell’app e viceversa.
La soluzione di Nativeflow si chiama AppDome e consiste in una sorta di armatura intorno all’app che le permette di dialogare con l’esterno in modo criptato verso i server dei servizi (seguendo i pattern di protezione contro ad esempio man-in-the-middle, fake wifi e malware), e nel contempo di offuscare i dati salvati nei devices, in modo da renderli inaccessibili ad altre app o al sistema operativo stesso, limitando de facto, con l’uso di policy restrittive, gli accessi ai dati sensibili (malware e phising).
Nativeflow, con pochi minuti di lavoro, è in grado di fornire ad una qualsiasi applicazione Apple o Android un’armatura (o cupola, in inglese dome) che rende l’app sicura su devices da attacchi esterni.
Come funziona? Una volta terminati gli sviluppi e i test su un’app Mobile, e prima della pubblicazione sui diversi Mobile store (compresi quelli aziendali), si applica l’AppDome.
L’uso di AppDome non necessita che i team coinvolti, lo sviluppo in particolare, siano costretti a rispettare regole ferree per la sicurezza; regole che talvolta sono disattese di proposito per poter introdurre alcune funzionalità altrimenti non implementabili.
Ogni AppDome ha la durata di un anno, indipendentemente dal numero di rilasci dell’applicazione: ad ogni rilascio sarà necessario semplicemente aggiungere un passaggio in più per applicare la “cupola”. Si tratta di un servizio in abbonamento, che non impatta i processi interni aziendali: lo sforzo richiesto è prossimo allo zero e il livello di sicurezza raggiunto è senza eguali.
L’applicazione di criteri di sicurezza dovrebbe diventare prassi comune, non solamente per quelle che sono considerate le applicazioni VIP (bancarie o aziendali interne, es. Salesforce). Anche se ad oggi mancano le regolamentazioni che obbligano l’uso di sistemi e metodologie di sicurezza, questa dovrebbe essere garantita per qualsiasi servizio aperto al pubblico. Nell’attesa si confida nel buonsenso dell’IT, da anni alle prese con il tema sicurezza e consapevole che le violazioni non solo possono essere quantificate in costi vivi, ma che la perdita di credibilità si può tradurre in voce negativa di bilancio.
Vuoi saperne di più?
Per maggiori informazioni contatta Emerasoft all’indirizzo mail sales@emerasoft.com o telefonicamente allo 0110120370 (sede di Torino) o allo 0687811323 (sede di Roma).
