Proteggere i dispositivi mobili

Proteggere i dispositivi mobili – Dr. Luca Moroni CISA ITIL – Milano 11-11-2015
Proteggere i dispositivi mobili

ISACA Venice Chapter è una associazione non profit costituita in Venezia
nel novembre 2011 da un gruppo di professionisti del Triveneto che
operano nel settore della Gestione e del Controllo dei Sistemi
Informativi.
Riunisce coloro che nell’Italia del Nord Est svolgono attività di
Governance, Auditing e Controllo dei Sistemi Informativi promuovendo
le competenze e le certificazioni professionali sviluppate da ISACA©:
CISA©, CISM©, CGEIT©, CRISC©, COBIT5© Foundation
(www.isaca.org/chapters5/venice).
ISACA (Information Systems Audit & Control Association) è una
associazione internazionale, indipendente e senza scopo di lucro.
Con oltre 100.000 associati a 200 Capitoli in più di 160 Paesi, ISACA è
leader mondiale nello sviluppo delle competenze certificate, nella
promozione di community professionali e nella formazione nei settori
dell’assurance e sicurezza del governo dell’impresa, della gestione
dell’IT, dei rischi e della compliance in ambito IT (www.isaca.org).

Coordinamento: Orillo Narduzzo – Presidente ISACA Venice
Controllo Qualità: Orillo Narduzzo, Gianandrea Padovani,
Laura Quaroni
Traduzione:
• Luca Leonetti Bettoni, Ingegnere delle Telecomunicazioni
• Mauro Migliardi, Professore Universitario, Ph.D.
• Luca Moroni, CISA, ITIL v3 Foundation, Via Virtuosa
• Orillo Narduzzo, CISA CISM CGEIT CRISC CCSA
COBIT5Foundation, IT Audit Manager di Banca Popolare di
Vicenza
• Gianandrea Padovani, CISA, CISSP, ISO27000LA, Sinergy
S.p.A.
• Manuela Pietrobon, Revisore Contabile e Traduttrice
Finanziaria Professionale
• Laura Quaroni, CISA CISM CRISC ITILFoundation
LAISO27001, Resp. Security Management di Banca IFIS
Spa
• Massimo Zilio
Ringrazio il Gruppo di Approfondimento di ISACA VENICE
Chapter per la traduzione in lingua italiana del fascicolo
Proteggere i dispositivi mobili

Luca Moroni CISA, ITIL
Coordinatore del gruppi di Approfondimento per ISACA VENICE Chapter
Quaderno n.1: Vulnerability Assessment e Penetration Test. Linee guida per
l’utente di verifiche di terze parti sulla sicurezza ICT.
Quaderno n.5: Sicurezza Cibernetica Nazionale, la consapevolezza delle
Aziende nei Settori Critici del Nord Est
Nel gruppo di Approfondimento per ISACA VENICE Chapter
Proteggere i dispositivi mobili – Traduzione Italiana
Laureato in Informatica a Milano, Certificato CISA e ITIL V3 e
Certificazioni di settore
Membro di ISACA, Club Bit, Comitato Tecnico IT Fvg, CSA
Da 15 anni appassionato di Sicurezza Informatica a livello professionale
tenendo seminari nel Nord Est sull’argomento
Mi occupo di selezionare per i clienti le aziende fornitrici di tecnologie
informatiche in base alle loro competenze specifiche. Sono fautore da
sempre della aggregazioni di rete

Definizione estesa di Dispositivo Mobile
In senso più ampio, il termine “dispositivo mobile” può
essere applicato praticamente a tutto quello che si muove,
comprendendo ma non limitandosi a:
• automobili con dispositivi elettronici collegati alla rete di
telefonia mobile (es. ausili alla navigazione basati sul GPS)
• dispositivi computerizzati “indossabili” intrecciati nel tessuto
dei cosiddetti abiti e tessuti intelligenti
• giocattoli e dispositivi di robotica controllati tramite
comunicazioni wireless (es. droni e telecamere, aspirapolvere
autonomi e taglia erba)
• impianti medici controllati tramite interazione wireless (es.
pompe di insulina)
• unità militari autonome o unità civili/militari che rimpiazzano
persone intelligenti.
IoT

Il vecchio e il nuovo perimetro dell’azienda liquida
Il fatto che gli utenti siano diventati più “mobili” e flessibili ha
cambiato drasticamente i modelli di lavoro. Meno di dieci anni fa,
l’ufficio era il centro delle attività e richiedeva una presenza regolare;
adesso molti dipendenti sono liberi di scegliere il loro ambiente di
lavoro e le ore di lavoro.

I rischi legati al mobile sono sottostimati
• L’utente finale non percepisce i dispositivi mobili come oggetti
critici per la privacy e la sicurezza di informazioni sensibili;
• L’utilizzo dei dispositivi mobile si presta a perdita o utilizzo in
ambienti affollati, aumentando il rischio che informazioni
sensibili possano entrare in possesso di sconosciuti;
• I sistemi operativi sono “giovani” e non sempre maturi dal
punto di vista della sicurezza;
• La pressione di ricercatori e attaccanti sulle piattaforme è
enorme;
• Le capacità di elaborazione aumentano costantemente
permettendo la gestione di servizi sempre più complessi.
Tratto da “Security Report Applicazioni Mobile analisi del livello di sicurezza 2015” IKS

La realtà in molte aziende italiane
GESTITO NON GESTITO

Per valutare e selezionare l’approccio ottimale alla
governance della sicurezza, le imprese devono definire
in modo formale i business case (piano di intervento
aziendale) per le diverse opzioni basandosi su alcuni
parametri:
• Rischio per la sicurezza e potenziale impatto
• Considerazioni costi-benefici
• Valore aggiunto in termini di produttività/flessibilità
• Driver strategici all’uso di dispositivi mobili.
Da dove comincio?

Minacce, Vulnerabilità e Rischio Associato
Tratto da “Proteggere i dispositivi Mobili” ISACA
Focalizzarsi sul dato e la sua importanza
non sul device che lo contiene

Ci sono rischi fisici
• Perdita
• Furto
• Target ricco di informazioni sul possessore
• Recupero di informazioni compromettenti e ricattabilità
• Furto di identità legato ai profili di accesso
• Registrazione dei dati per il ripristino offerti come
servizio
• Secondo fattore di autenticazione

Ci sono rischi organizzativi
• Bring your own device (BYOD) è un'espressione per riferirsi
alle politiche aziendali che permettono di portare i propri
dispositivi personali nel posto di lavoro, e usarli per avere
gli access privilegiati alle informazioni aziendali e alle loro
applicazioni (Wikipedia)
• Molti utenti hanno un accesso privilegiato che è spesso
replicato sui loro dispositivi mobili.
• I meccanismi di sicurezza dei dispositivi sono relativamente
deboli e sono molto più difficili da gestire e controllare.
• I senior manager saranno spesso dei grandi utilizzatori di
dispositivi mobili, e qualunque compromissione, avvenuta
con successo, sui loro dispositivi può certamente causare
maggiori danni.
• Fare selezione delle app da installare
• Tipologie, modelli e piattaforme sempre nuove
• Mancanza di formazione

Metti la password sul PC? E allora……

Perché vuoi queste informazioni produttore di APP?
Le 25 App di produttività piu’ scaricate
per Android dicono che l’esigenza piu’
sentita è quella di migliorare la tastiera,
di avere un strumento migliore per
digitare sui dispositivi mobili.
Al primo posto nelle App più scaricate
per Android dei primi tre mesi del 2014
c’è “SwiftKey Keyboard”….
http://www.digitalic.it/wp/mercato-2/business/le-25-app-piu-scaricate-dai-manger-italiani-per-ios-e-android/70208

L’AD ha installato una App?
Identità = so tutto della persona
Contatti = so con chi hai i rapporti
Posizione = so sempre dove ti trovi
Foto/Multimedia = so a cosa sei interessato,
cosa ti piace, ho i dati sui tuoi asset…..
Foto = Mi stai simpatico…. ti faccio una foto
durante il consiglio di amministrazione.
Microfono = Ma mi piace anche ascoltare
quello che dici….
IO POSSO DIVENTARE TE!!

Cosa vuole dire avere le informazioni di business
Giornale di Vicenza 6/11/2015

Forse il BYOD per l’azienda non va bene
OGGI
Per la scarsa consapevolezza dei vertici
aziendali sulla sicurezza informatica
nell’uso e nei rischi connessi ai dispositivi
mobili
Cyod (Choose Your Own Device) per cui l’azienda dà al
dipendente la possibilità di scegliere un device
personale che viene autorizzato e l’impiegato lo sceglie
tra una lista approvata dal proprio datore di lavoro,
con il device che resta di proprietà aziendale;
Cobo (Corporate Owned, Business Only) per cui
l’azienda fornisce un device da utilizzare solo per il
lavoro e si fa carico di tutto;
Cope (Corporate Owned, Personally Enabled) per cui
l’azienda fornisce il device ma allo stesso tempo ne
estende le possibilità di uso ad ambiti di sfera privata o
social, pur di poterne mantenere il controllo,
generalmente per motivi di sicurezza
http://www.techweekeurope.it/software/smartphone-e-finita-
lera-byod-serve-una-strategia-enterprise-sulla-mobility-si-
muore-81649#4FZDDrIrJiMvSTtz.99

Mi sono dimenticato il rischio tecnico

Un incidente
http://securityaffairs.co/wordpress/21328/hacking/starbucks-ios-app-flaw.html

Resistenza ad attacco dall’interno
del sistema operativo

Robustezza delle comunicazioni
verso il back-end

Alcune leggi sanzionatorie in Italia
• Protezione Dati Personali (Decreto
Legislativo 196/2003 - Privacy)
• Responsabilità Amministrativa (Decreto
Legislativo 231/2001) derivante da un uso
improprio delle risorse IT da parte dei
dipendenti
• Codice della proprietà industriale (D.lgs. 10
febbraio 2005 n. 30)
• Banche (Banca d'Italia - Circolare n. 263 del
27 dicembre 2006)

Faccio una foto e la condivido
La legge (Art. 10 c.c. art. 96 L.
633/1941) stabilisce che si possano
pubblicare le immagini e i video altrui
soltanto qualora chi vi è ritratto abbia
precedentemente prestato il proprio
consenso alla pubblicazione.
Se la pubblicazione illecita
dell’immagine offende la reputazione
di chi vi è ritratto, chi l’ha diffusa, oltre
a dover risarcire il danno, deve
rispondere anche del reato di
diffamazione aggravata (Art. 595 c. p.)
e rischia la pena della reclusione da sei
mesi a tre anni o della multa non
inferiore a 516 euro.
Luca sei troppo grasso
http://www.laleggepertutti.it/45433_pubblicare-su-internet-immagini-altrui-senza-consenso-quali-rischi#sthash.9novcE8B.dpuf

Privacy cosa è cambiato con il Job Act
Riscritto l'art. 4 delle Legge n. 300/70, in materia di strumenti
di controllo
I controllo a distanza dei lavoratori possono essere impiegati
per:
esigenze organizzative e produttive;
per la sicurezza del lavoro;
per la tutela del patrimonio aziendale.
Gli strumenti possono essere installati a fronte di accordo con
la rappresentanza sindacale ma non si applicano con
riferimento a quegli strumenti che vengono assegnati ai
lavoratori ed utilizzati da questi per rendere la
prestazione lavorativa. I device non possono essere
considerati strumenti di controllo a distanza (nota di
precisazione del M.d.L. 18/6/15)
Questo purché sia stata data al lavoratore adeguata
informazione circa le modalità di uso degli strumenti e
di effettuazione dei controlli e sempre nel rispetto di
quanto previsto dal cosiddetto codice della privacy
http://www.diritto24.ilsole24ore.com/art/avvocatoAffari/mercatiImpresa/2015-07-22/la-
nuova-disciplina-controlli-distanza-come-modificata-jobs-act-101010.php?refresh_ce=1

D.LGS. 231/2001 Reati Informatici e non solo…
Art. 640-ter c.p. - Frode informatica.
Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o
intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in
un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto
profitto con altrui danno, è punito……
Art. 615-ter c.p. - Accesso abusivo ad un sistema informatico o
telematico.
Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure
di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di
escluderlo, è punito……
Art. 617 - quater c.p. - Intercettazione, impedimento o interruzione
illecita di comunicazioni informatiche o telematiche.
Chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico o
telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe, è punito….
Art. 617-quinquies c.p. - Installazione di apparecchiature atte ad
intercettare, impedire od interrompere comunicazioni informatiche o
telematiche.
Chiunque, fuori dai casi consentiti dalla legge, installa apparecchiature atte ad intercettare,
impedire o interrompere comunicazioni relative ad un sistema informatico o telematico ovvero
intercorrenti tra più sistemi, è punito….

Art. 635-bis c.p. – Danneggiamento di informazioni, dati e programmi
informatici.
Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o
sopprime informazioni, dati o programmi informatici altrui è punito…..
Art. 635-ter c.p. - Danneggiamento di informazioni, dati e programmi
informatici utilizzati dallo Stato o da altro ente pubblico o comunque di
pubblica utilità.
Salvo che il fatto costituisca più grave reato, chiunque commette un fatto diretto a distruggere,
deteriorare, cancellare, alterare o sopprimere informazioni, dati o programmi informatici
utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica utilità,
è punito……
Art. 635-quater c.p. - Danneggiamento di sistemi informatici o
telematici.
Salvo che il fatto costituisca più grave reato, chiunque, mediante le condotte di cui all’articolo
635-bis, ovvero attraverso l’introduzione o la trasmissione di dati, informazioni o programmi,
distrugge, danneggia, rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui
o ne ostacola gravemente il funzionamento è punito….
Art. 635-quinquies c.p. - Danneggiamento di sistemi informatici o
telematici di pubblica utilità.
Se il fatto di cui all’articolo 635-quater è diretto a distruggere, danneggiare, rendere, in tutto o
in parte, inservibili sistemi informatici o telematici di pubblica utilità o ad ostacolarne
gravemente il funzionamento, la pena è…..

Art. 615-quinquies c.p. - Diffusione di apparecchiature, dispositivi o
programmi informatici diretti a danneggiare o interrompere un sistema
informatico o telematico.
Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le
informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire
l’interruzione, totale o parziale, l’alterazione del suo funzionamento, si procura, produce,
riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri
apparecchiature, dispositivi o programmi informatici, è punito….
Art. 600-quater c.p. - Detenzione di materiale pornografico.
Chiunque, al di fuori delle ipotesi previste nell’articolo 600-ter, consapevolmente si procura o
dispone di materiale pornografico prodotto mediante lo sfruttamento sessuale dei minori degli
anni diciotto è punito….
Articolo 600-quater 1 c.p. – Pornografia virtuale.
Le disposizioni di cui agli articoli 600-ter e 600-quater si applicano anche quando il materiale
pornografico rappresenta immagini virtuali realizzate utilizzando immagini di minori degli anni
diciotto o parti di esse, ma la pena….

Art. 171 L. 633/41.
è punito con … chiunque, senza averne diritto, a qualsiasi scopo e in qualsiasi forma, mette a
disposizione del pubblico, immettendola in un sistema di reti telematiche, mediante connessioni
di qualsiasi genere, un'opera dell'ingegno protetta, o parte di essa;
Art. 171-bis l. 633/41.
Chiunque abusivamente … detiene a scopo commerciale o imprenditoriale o concede in locazione
programmi contenuti in supporti non contrassegnati dalla Società italiana degli autori ed editori
(SIAE), è soggetto alla pena….
Chiunque, al fine di trarne profitto, su supporti non contrassegnati SIAE riproduce, trasferisce su
altro supporto, distribuisce, comunica, presenta o dimostra in pubblico il contenuto di una banca
di dati in violazione delle disposizioni di cui agli articoli 64-quinquies e 64-sexies, ovvero esegue
l'estrazione o il reimpiego della banca di dati in violazione delle disposizioni di cui agli articoli
102-bis e 102-ter, ovvero distribuisce, vende o concede in locazione una banca di dati, è
soggetto alla pena…..
è punito…. =

Bisogna fare una Mobile Business Impact Analysis
Borgo di Hochosterwitz Carinzia - Austria

Bisogna fare una Mobile Business Impact Analysis

I domini di COBIT 5 sono:
• Valutazione, direzione e monitoraggio (EDM,
Evaluate, Direct and Monitor)
• Allineare, pianificare e organizzare (APO, Align,
Plan and Organise)
• Costruzione, acquisizione e implementazione (BAI,
Build, Acquire and Implement)
• Fornitura, servizio e supporto (DSS, Deliver,
Service and Support)
• Monitoraggio, rilevazione e valutazione (MEA,
Monitor, Evaluate and Assess).
COBIT 5 fornisce processi utili a supportare
la descrizione formale del business case.

Esempio: Allineare, Pianificare e
Organizzare (APO)

Una parte essenziale del business case è la
valutazione del rischio derivante dall’utilizzo
del dispositivo mobile. Il profilo di rischio deve
pertanto essere valutato rispetto alle esigenze
di business ed ai requisiti per consentire una
decisione informata sul livello di rischio
tollerabile e gli investimenti necessari.
Non devo solo valutare i miei device mobili
aziendali e proteggerli ma anche valutare il
rischio di quelli che entrano nel perimetro da
proteggere.
Valutazione del rischio

Valutazione del rischio
Telefoni cellulari tradizionali
Smartphones, Pocket PC
Smartphones evoluti, Tablet
IoTTratto da “Proteggere i dispositivi Mobili” ISACA

1. Conoscere il valore aggiunto e il rischio dell’uso dei dispositivi
mobili.
2. Definire chiaramente un business case per l’uso dei dispositivi
mobili.
3. Definire le caratteristiche della sicurezza dei dispositivi mobili
nell’ambito della sicurezza dell’intero sistema.
4. Definire la governance della sicurezza dei dispositivi mobili.
5. Gestire la sicurezza dei dispositivi mobili facendo leva sui fattori
abilitanti di COBIT5.
6. Considerare gli aspetti tecnologici nel contesto aziendale.
7. Conoscere l’ambito e gli obiettivi di una valutazione di affidabilità
8. Fornire una ragionevole attestazione di affidabilità per una
soluzione di sicurezza per i dispositivi mobili
Sintetizzando ecco i principi guida per la
sicurezza dei dispositivi mobili

Introduzione
1. L’Impatto dei Dispositivi Mobili sulle
Imprese e sulla Società
2. Minacce, Vulnerabilità e Rischio Associato
3. La governance della sicurezza
4. Gestione della Sicurezza per i dispositivi
mobili
5. Hardening Dei Dispositivi Mobili
6. Assurance di Sicurezza del Dispositivo
Mobile
7. Principi guida per la sicurezza dei
dispositivi mobili
Appendice A. Mappatura di COBIT 5 e COBIT
5 per la Sicurezza IT
Appendice B. Hardening dei dispositivi
mobili
Appendice C. Esempi di Audit a supporto
dell’attività Forense o di Investigazione
Indice del Libro

Domande

Grazie!
l.moroni@viavirtuosa.it
PER SCARICARE LA PUBBLICAZIONE
https://svpr-isg-a1.isaca.org/ISGweb/Purchase/ProductDetail.aspx?Product_code=WCB5SMDI

Proteggere i dispositivi mobili

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a Proteggere i dispositivi mobili

Semelhante a Proteggere i dispositivi mobili (20)

Mais de Luca Moroni ✔✔

Mais de Luca Moroni ✔✔ (17)

Proteggere i dispositivi mobili