Crescono le minacce che arrivano dalle piattaforme mobili, eppure le aziende si difendono in modo inadeguato. Lo afferma uno studio di MobileIron, fornitore di soluzioni di mobile device management e enterprise mobility management, che ha appena pubblicato la nuova edizione del suo Mobile Security and Risk Review.
Basterebbe già la semplice precauzione di aggiornare costantemente i sistemi operativi mobili per rendere l’utilizzo di smartphone e tablet più sicuro. I vendor rilasciano continuamente aggiornamenti software: sia Apple che Google hanno messo a disposizione tre update nell’ultimo trimestre (da notare che tra le aziende del report i terminali con Apple iOs hanno l’81% dello share contro il 18% di Android). Ma solo l’8% delle aziende ha implementato gli aggiornamenti e meno del 5% usa software per il rilevamento delle minacce mobili e o per l’analisi della app reputation.
“Questa carenza anche nelle più basilari pratiche della security dimostra che le aziende sono superficiali in modo allarmante, nonostante esistano tante soluzioni facilmente disponibili”, osserva James Plouffe, lead architect di MobileIron.A parte le indicazioni generiche, ci sono poi minacce specifiche che emergono di mese in mese e che devono essere affrontate. Per esempio, negli ultimi mesi sono emerse, o si sono acuite, cinque minacce: lo spyware Android GMBot (cerca di rubare i dati bancari); il malware AceDeceiver iOs (va a caccia dell’Apple Id dell’utente); la vulnerabilità SideStepper iOs (installa applicazioni non autorizzate); gravi falle di OpenSSL che permettono di decifrare il traffico dati o corrompere la memoria; e il malware Marcher Android (cerca di sottrarre le credenziali di accesso al sito della banca dell’utente).Le aziende, però, non hanno modificato o aggiornato i loro sistemi di sicurezza in linea con l’emergere delle nuove minacce e rischiano di essere sempre più esposte. Tra i dati allarmanti emersi dal report c’è un 40% di aziende che dice di non sapere che fine hanno fatto alcuni dei loro device mobili e un 27% che rivela di usare ancora vecchie policy di sicurezza. Entrambe queste percentuali sono in crescita rispetto alla fine del 2015.
Inoltre, il 26% delle aziende del sondaggio MobileIron ha detto di aver eliminato gli strumenti di enterprise mobility management da uno o più dei propri device, contro il 5% del quarto trimestre 2015. Il 10% ha riferito di avere almeno un device compromesso e più del 50% ammette che almeno uno dei propri terminali mobili non rispetta le policy di sicurezza.
Il settore più a rischio è quello della pubblica amministrazione: gli enti governativi hanno il maggior numero di device non-compliant o di device persi, policy di sicurezza non aggiornate e poche soluzioni per la gestione dell’enterprise mobility.
Che siano pubbliche o private, molte aziende cercano di proteggersi semplicemente vietando sui dispositivi corporate alcune app mobili di terze parti: secondo lo studio di MobileIron, la top ten delle app “messe al bando” è guidata da Dropbox, Facebook, Angry Birds, Skype e Line; sul versante opposto si collocano le app PocketCloud Remote Desktop, Salesforce, Breezy, Cisco Webex e Box, che sono quelle più di frequente scaricate sui device mobili usati per lavoro. Il punto però, dicono gli esperti, non è mettere o togliere una app, bensì “gestirla” con uno specifico programma che permette di controllare se ci sono accessi non autorizzati ai sistemi corporate.