Il National Institute of Standards and Technology (NIST) ha rilasciato la pubblicazione speciale degli aggiornamenti in corso alle Guidelines for Managing the Security of Mobile Devices in the Enterprise, le linee guida per la gestione della sicurezza dei dispositivi mobili in azienda pubblicate nel 2013.
Lo scopo di queste linee guida è aiutare le organizzazioni a gestire centralmente la sicurezza dei dispositivi mobili, fornendo raccomandazioni per la selezione, l’implementazione e l’utilizzo di tecnologie di gestione centralizzata. Questa pubblicazione spiega i problemi di sicurezza inerenti all’utilizzo dei dispositivi mobili e fornisce raccomandazioni per proteggere i dispositivi mobili durante i loro cicli di vita.
Le linee guida riviste aiuteranno le organizzazioni a gestire la sicurezza dei dispositivi mobili come smartphone e tablet.
Le bozze di revisione del NIST alle sue linee guida mobile sono dei grandi punti di partenza per aiutare a risolvere i problemi di sicurezza in questa nuova realtà in trasformazione.
Di seguito sono riportate alcune delle nuove linee guida del NIST che tutte le organizzazioni dovrebbero incorporare:
Mobile Phishing
“Il phishing è ora il più grande vettore di minacce per i dispositivi mobili, quindi è bene vedere il NIST riconoscerlo negli aggiornamenti redatti. Con l’aumento del telelavoro e un maggiore utilizzo dei dispositivi mobili, le agenzie devono assicurarsi di disporre delle soluzioni di sicurezza adeguate a combattere il phishing mobile ed educare i propri dipendenti a individuare attacchi di phishing mobile.
I dispositivi mobili sono particolarmente vulnerabili perché spesso bypassano i tradizionali controlli di sicurezza basati sul perimetro quando i dipendenti si connettono a reti LTE, hotspot in viaggio o a casa. Esistono anche molti altri modi per inviare attacchi di phishing oltre alla posta elettronica. Questi possono includere canali come SMS, App di messaggistica e piattaforme di social media. Inoltre, non aiuta che i dispositivi mobili abbiano un form factor più piccolo e un’interfaccia utente semplificata, il che rende più difficile per gli utenti ispezionare gli URL e l’indirizzo e-mail del mittente per identificare le minacce di phishing come potrebbero fare su un computer desktop.
Le organizzazioni devono educare gli utenti a lasciarsi alle spalle la loro formazione di phishing incentrata sul desktop, dove l’attenzione è rivolta alla posta elettronica. Invece, formare gli utenti per identificare le minacce di phishing e social engineering su tutti i canali di comunicazione mobile. Alla fine, tuttavia, siamo tutti umani e talvolta faremo clic su quel collegamento, quindi disporre di soluzioni complete di sicurezza mobile per proteggere i dati dell’agenzia è un’importante rete di sicurezza.
Difesa delle minacce mobile
Mobile Threat Defense (MTD) non esisteva nel 2013, ma oggi è fondamentale e un’importante aggiunta a NIST SP 800-124. Le agenzie devono sfruttare le soluzioni MTD per avere una protezione in tempo reale contro le minacce di dispositivi, app e reti oltre alle minacce di phishing.
Le soluzioni MTD offrono visibilità sulle caratteristiche delle app e proteggono dalle minacce derivanti da comportamenti rischiosi degli utenti, come visitare siti Web dannosi o fare clic su collegamenti caricati con malware. Strumenti come MDM, sebbene utili nella gestione dei dispositivi, non forniscono questa funzionalità.
In un ambiente di telelavoro, le misure di sicurezza basate sull’ufficio non sono più in gioco. Ecco perché le agenzie devono disporre di una soluzione MTD completa che si allinei con un modello a rischio zero.
Esistono diversi modi per compromettere la sicurezza mobile: dalle vulnerabilità nei sistemi operativi, nelle App o nelle reti. Una soluzione a rischio zero monitorerà costantemente lo stato dei dispositivi e consentirà l’accesso solo quando sono privi di compromessi.
Gli aggiornamenti di NIST sono un ottimo inizio in un mondo in costante evoluzione, riconoscendo l’ampia gamma di soluzioni disponibili. Poiché il NIST e il governo federale nel suo insieme continuano a sviluppare il loro approccio alla sicurezza mobile, sarà importante garantire che l’MTD sia una componente chiave di tutti i programmi di telelavoro”.
La Special Publication 800-124 2 Revision 2 delle Guidelines for Managing the Security of Mobile Devices in the Enterprise è consultabile al seguente link
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-124r2-draft.pdf