Come anticipato nel post precedente, il 13 novembre scorso si è tenuto a Roma l’XI Congresso Nazionale di ANSSAIF (Associazione Nazionale Specialisti di Sicurezza in Aziende di Intermediazione Finanziaria) sul tema dei ‘Servizi digitali, Sicurezza, Rete – Quali conoscenze e quali strumenti per affrontare le nuove minacce?’. L’appuntamento, ricco di interventi illustri ed interessanti, ha visto anche la partecipazione di Prometeo Management Consulting, che ha presentato i risultati della survey online sulla sicurezza dei dispositivi mobili lanciata proprio per l’occasione. Di seguito riporto sinteticamente i principali risultati della survey, presentati nel corso del Congresso.
- Dalle interviste è emersa una carenza di consapevolezza da parte degli utenti sui rischi e sulle conseguenze del proprio comportamento in termini di Security Awareness. Le aziende possono sopperire a questa carenza attuando un adeguato piano formativo a tutti i dipendenti.
- Le carenze di sicurezza rilevate potrebbero essere risolte mediante l’implementazione di uno strumento per la gestione dei dispositivi mobili (EMM) che permetta di amministrare il device sotto tutti i punti di vista (Hardware, Software, Sicurezza).
- E’ stato rilevato che i dispositivi mobili aziendali sono utilizzati anche per fini personali esponendo l’azienda a rischi di sicurezza per i propri sistemi a cui i dispositivi hanno accesso. In particolare, il 65% degli utenti intervistati archivia dati personali sul dispositivo aziendale. E’ importante unire ad una suite di EMM anche policy e procedure aziendali al fine identificare e formalizzare l’impegno ed il commitment del top management aziendale.
Si rende necessario sviluppare una strategia mirata alla creazione e gestione di una vera e propria organizzazione mobile, minimizzando nel contempo i rischi legati alla sicurezza e all’impatto sull’infrastruttura aziendale. E’ quindi necessario considerare un approccio olistico che assicuri il rispetto di tutti gli obiettivi aziendali. Tale aspetto risulta quindi pienamente in linea con i principi di Protezione dei Dati fin dalla progettazione e Protezione dei Dati di default, introdotti dal nuovo Regolamento Europeo Generale sulla Protezione dei Dati (GDPR). Pertanto appare opportuno considerare la gestione dei dispositivi mobili di un’organizzazione all’interno del “Privacy Impact Assessment” definito dal GDPR stesso.
Quelli sopra riportati sono alcuni dei punti chiave da affrontare per assicurare la sicurezza dei dati personali nel contesto sfidante in cui siamo immersi; nel mondo del “mobile always connected” le informazioni sono disperse e sempre raggiungibili, e inevitabilmente questo richiede la consapevolezza e la responsabilizzazione degli utenti nel garantire la sicurezza dei loro stessi dati.
I agree with your conclusions. I conducted a vulnerability assessment on a number of smart phones and I found that most (80%) of devices are vulnerable. See my tweet https://twitter.com/mauriziopastore/status/672443560755638272
Consip (the ICT in hous company of italian Finance minstry, in charge of public procurement for all public organization in Italy) in the bid for mobile services and phones do not mention vulnerability and antivirua see https://www.acquistinretepa.it/opencms/opencms/main/pa/strumenti/dettaglio.jsp?idT=190012&tipoVis=doc&vetrina=PA&idL=&nome=Telefonia+mobile+6&orderBy=attivazione&__pagina=1&__element=&frompage=convenzioni.jsp&categoria=1&altribsemp=&nomebsemp=&user_id=9d621efd-c454-39a9-a475-bd1f828bb103&adfgen_menuId=0&id_cat=&id_utente_az_amm=
Very interesting, thanks for the contribution.