Showing posts with label Android. Show all posts
Showing posts with label Android. Show all posts

Friday, January 13, 2012

Android vs IOS security


Veracode published an "infographic" regarding Android VS IoS security that is very nice and full of useful advices. So I also propose it to my readers !

I anticipate you that at the end of the picture it is reported a judgment attributed to Symantec that, right now, the mobile platform is still much more secure than their counterpart PC. 

I generally agree with that but, nevertheless, if you are acting in an Enterprise as CIO or CISO there are so many challenges coming from the deployment of smartphone/tablet into your network you must not let your guard down. 

I've deeply discussed this kind of challenges in previous posts of mine, but I mainly refer to those issues coming from using a personal smartphone/tablet as a work tool. It's something that is becoming the master way for most of the people I know and unfortunately this exposes the corporate network and data to relevant risks. 

So independently from the fact that actually attacks and malwares regarding the mobile devices are not comparable in terms of numbers to the ones regarding the PC world, I can briefly summarize that 

- consumers need to adopts precautions (such as the ones suggested in the infographics down here) to avoid leakage of personal data or payment of unsubscribed premium rate services

- enterprises need to integrate their device & security management framework to guarantee that smartphone/tablet adoption and trends such as BYOD don't impact their security risk profile





Sunday, November 27, 2011

Mobile: rischi ed opportunità. Riflessioni su Mobile Device Management

Mobile Device Management  (MDM)

Un commento personale in merito all’articolo pubblicato on line qualche giorno fa da “Il Sole 24 Ore” riguardante la diffusione degli smartphone in azienda.  L’articolo riporta i risultati di un’analisi condotta da Ipass (azienda specializzata in servizi di mobilità) che evidenziano in modo analitico il sorpasso dell’iphone sul blackberry tra l’utenza di tipo business, e anche la significativa crescita dei modelli Android nell’ambito aziendale.

Questi dati sono lo specchio nudo e crudo dell’impatto dell’IT Consumerization, di tipo diretto e indiretto. 

Con questa personale distinzione faccio riferimento in primo luogo ai terminali di tipo Iphone/Android acquistati per uso personale e poi portati in ambito aziendale per un impiego anche nelle attività lavorative. In secondo luogo mi riferisco alla pressione emotiva sviluppatasi all’interno delle aziende, tale per cui l’adozione di un terminale in assoluto meno business oriented risulta comunque di maggior valore anche solo per l’apprezzamento che i dipendenti possono dimostrare a tal riguardo.

Comunque in generale dal punto di vista dell’IT manager questi cambiamenti presentano rischi ed opportunità. 

Le opportunità derivano innanzittutto dalla possibilità che tali ambienti offrono di sviluppare nuove applicazioni (o migrare le applicazioni esistenti) che permettono di utilizzare la leva della mobilità come ulteriore mezzo per un aumento della produttività aziendale. Mobile va a braccetto con collaboration e social network, e l’adozione integrata di questi modelli può consentire ad un’azienda di raggiungere nuovi livelli di efficienza.

Analogamente un’azienda può decidere di muoversi lungo questa direzione alla ricerca di nuove fonti di ricavi. L’introduzione di modelli di business innovativi, che modificano ad esempio il tradizionale rapporto esistente con i partner e i clienti grazie all’impiego di applicazioni di collaboration e social in mobilità, è molto spesso alla base dello sviluppo di nuovi servizi o comunque di ricavi incrementali anche nei servizi già erogati.

C’è però l’altra faccia della medaglia, come anticipato in precedenza. Come spesso succede accanto a delle opportunità si presentano dei rischi, ma la cosa importante è averne una chiara comprensione, e la capacità di elaborare una strategia per la gestione consapevole degli stessi.

Nel contesto appena illustrato, limitandoci al solo aspetto della mobilità, e trascurando per ora le minacce relative ai modelli/tecnologie in ambito social e collaboration, i rischi principali sono quelli richiamati da ENISA  (the European Network and Information Security Agency) e che io già illustravo in un precedente post:

·         data leakage, ovvero il furto dei dati presenti sul dispositivo

·         spyware, l’introduzione di codice malevole tramite il download di applicazioni considerate legittime dall’utente

·         Unintentional data disclosure, trasmissione di dati personali da parte di applicazioni installate

·         Improper decommissioning: rimozione inefficace dei dati personali a seugito di riassegnazione del dispositivo ad altro utente

Ci sono molti player che stanno posizionando sul mercato soluzioni di Mobile Device Management (MDM), e allora la domanda d’obbligo è se sia l’adozione di questo tipo di soluzioni a garantire ad un’azienda la gestione efficace ed efficiente dei rischi precedentemente elencati

La risposta è che di norma non è affatto questa la soluzione.

L’implementazione di un modello di governance in questo ambito dovrebbe essere supportata da soluzioni tecnologiche che consentano all’IT Manager una gestione a 360 gradi dei problemi connessi con la gestione e la sicurezza dei dispositivi. I cosiddetti pure player MDM sono molto bravi a garantire una gestione ottimale dei dispositivi mobili all’interno dei processi aziendali, ma non offrono le funzionalità di sicurezza base (es. antimalware, encryption) ed evolute (es. Data Loss Prevention, PKI, etc.), per gestire in un contesto multipiattaforma tutte le problematiche connesse con la necessità di proteggere le informazioni sensibili per l’azienda.

Il partner tecnologico ideale è quindi quello chè in grado di fornire all’azienda una soluzione che consente di implementare processi integrati degli aspetti di gestione e sicurezza, del tutto indipendenti dal tipo di terminale impiegato. Gli aspetti chiave risultano quindi essere quelli del controllo delle applicazioni, della configurazione degli asset, della protezione delle informazioni



Il link all’articolo completo a cui faccio riferimento è il seguente