La consumerizzazione dell’It e i programmi aziendali volti a fronteggiare il trend del Bring your own device (Byod) hanno un consistente impatto sulla sicurezza, che i manager dell’Information technology cercheranno in molti casi di risolvere con una soluzione avanzata: l’autenticazione biometrica. Secondo l’ultima ricerca di Gartner, gli utenti si aspettano sui device mobili una user experience fluida e semplice, preoccupandosi della sicurezza meno di quanto facessero sui Pc, dove gli stessi dati di valore erano spesso protetti da complessi sistemi di password e altre misure. Perciò Gartner prevede che, entro il 2016, il 30% delle aziende userà l’autenticazione biometrica sui device mobili, mentre oggi la usa solo il 5%.
“Gli utenti mobili fanno resistenza ai metodi di autenticazione che erano tollerati sui Pc e che invece sono ugualmente necessari per rafforzare l’accesso sui terminali mobili”, sottolinea Ant Allan, research vice president di Gartner. “I manager che si occupano di security devono certo salvaguardare la user experience ma non possono compromettere la sicurezza”.
Gartner ha identificato alcuni potenziali impatti sulla sicurezza prodotti dalla consumerizzazione dell’It e ha alcune raccomandazioni per i leader della security.
User experience contro security La maggior parte delle aziende richiede sistemi di protezione “forti” sui laptop, mentre non impone lo stesso livello di sicurezza su smartphone e tablet che pure accedono alle stesse applicazioni e dati sensibili. Il moltiplicarsi dei device che accedono ai dati aziendali complica la situazione e l’esposizione delle informazioni. Il Byod si scontra con l’utilizzo dei sistemi di sicurezza, perché può intaccare la privacy e i diritti dell’utente. Ciò non toglie che la password resti necessaria. Ma quale password? Quella a quattro cifre non basta: Gartner consiglia password numeriche di otto cifre o alfanumeriche di sei cifre. “Gli hacker non sono preparati ad attaccare queste combinazioni più lunghe”, sottolinea John Girard, vice president e distinguished analyst di Gartner.
Tabula rasa: non basta Alcune aziende oggi cercano di eliminare i rischi di perdita di dati nel caso di furto di un device implementando dei controlli che fanno “tabula rasa” remota (wipe) sul device dopo un certo numero di inserimenti non corretti di password. “Ma questo sistema non elimina del tutto i rischi perché è quasi impossibile fare overwrite sulla memoria solida”, spiega Girard. “Meglio usare sistemi di cifratura non collegati all’autenticazione primaria power-on, cioè la chiave non può essere recuperata dal device dopo aver effettuato un’operazione soft di cancellazione remota”.
Gartner consiglia comunque di aggiungere un secondo metodo di autenticazione – almeno un’altra password — per l’accesso ad applicazioni e dati aziendali sensibili. Così, se l’hacker viola le difese power-on, c’è la seconda barriera. In alcuni casi, poi, può essere necessario un ulteriore livello di autenticazione. Le chiavette (token hardware) usate sui Pc sono poco pratiche su smartphone e tablet e incontrano la resistenza degli utenti, nota Allan: “Troppe cose da tenere in mano”. I token software invece, come i certificati X.509 sull’endpoint, possono essere un’opzione, ma hanno bisogno di strumenti di MDM (mobile device management) per una corretta implementazione e ulteriori controlli per fornire l’autenticazione di alto livello necessaria in certe aziende.
La biometria come soluzione di compromesso Gartner consiglia ai manager della sicurezza di prendere in considerazione i metodi di autenticazione biometrica laddove è necessaria un’autenticazione più robusta e di alto livello. Le modalità adatte in azienda possono essere le interfacce interattive, il riconoscimento vocale, la topografia facciale e la lettura dell’iride. Questi sistemi possono essere usati insieme a delle password per fornire altissimi livelli di sicurezza senza richiedere grandi cambiamenti nel comportamento dell’utente.
In più, poiché il device mobile in sè rappresenta un nodo ricco di dati contestuali rilevanti per identificare le persone, queste informazioni possono essere usate anche per aumentare la certezza del riconoscimento. In alcuni casi l’unione di autenticazione biometrica passiva e autenticazione contestuale potrebbe essere sufficiente a rendere sicuro l’accesso, senza necessità di un’autenticazione tramite password o token.
E’ comunque importante, conclude Gartner, quando si pianifica una policy di autenticazione per tutti i device attivi in azienda, compresi quelli mobili, considerare il peso che tale policy avrà sull’azienda e gli utenti, in modo che sia sostenibile. “Adottare metodi molto diversi per device diversi avrà come risultato la creazione di una policy insostenibile”, osserva Allan. “I metodi di autenticazione adatti ai dispositivi mobili devono essere adatti anche ai Pc. Combinazioni tra credenziali X.509 sull’endpoint, sistemi biometrici e autenticazione contestuale potrebbero essere la scelta migliore”.