Molti reparti IT sono sottoposti a forti pressioni per sviluppare e implementare una serie di iniziative di mobilità. Tali iniziative spesso abbracciano una vasta gamma di discipline IT. C'è lo sforzo di sviluppare app interne, fornire accesso a sistemi nuovi e legacy da dispositivi mobili come iPhone e iPad, la necessità di gestire e supportare i dispositivi degli utenti come parte dei programmi BYOD e la necessità di sviluppare soluzioni rivolte ai clienti come siti orientati ai dispositivi mobili e nativi app.
Con così tante pressioni che colpiscono contemporaneamente le organizzazioni IT, vengono fatti compromessi a causa di scadenze e budget ristretti. Secondo l'esperto di sicurezza Jeff Williams, la spinta per ottenere soluzioni il più rapidamente possibile può portare a soluzioni che presentano gravi falle di sicurezza.
In un'intervista a GovInfoSicurezza, Williams concentra la discussione sullo sviluppo di app per dispositivi mobili. Molte organizzazioni vedono i potenziali guadagni di produttività che le app mobili possono offrire loro. Nella fretta di produrre quelle app, molte di loro non ricevono i rigorosi test di sicurezza di cui hanno bisogno.
Mentre le soluzioni di gestione mobile possono aiutare a proteggere i dispositivi, Williams osserva che le app interne di un'azienda possono essere semplici vettori per attacchi se un dispositivo viene perso o compromesso e che le soluzioni di gestione dei dispositivi potrebbero offrire poca protezione in tali casi..
La maggior parte delle app mobili ha un lato server e quindi diversi client e i client potrebbero essere HTML5, iPhone, Android, Blackberry o altro. Fammi provare a dipingere un quadro per te. Immagina una sorta di bolla che si estende dal data center della tua azienda su un intero gruppo di reti – forse un po' di Wi-Fi e su reti a lunga distanza e così via – e finisce nel tuo cellulare dispositivo. Quando espandi la tua azienda e i tuoi dati attraverso questa bolla, ora è tuo compito proteggere la bolla.
Ecco alcuni dei modi in cui c'è esposizione lì. Quando l'aggressore ruba il tuo telefono o inserisce un'app dannosa sul tuo dispositivo, devi chiederti se può in qualche modo entrare in quella bolla. Vuoi assicurarti che i tuoi dati siano protetti quando sono su un dispositivo; vuoi assicurarti che i tuoi dati siano protetti quando sono in trasmissione tra il tuo data center e il dispositivo; e poi devi assicurarti che la tua applicazione stessa sia rafforzata. Deve essere un codice robusto.
Williams osserva inoltre che alcune delle sfide alla sicurezza non sono davvero problemi nuovi.
Sfortunatamente, stiamo vedendo molti degli stessi tipi di errori che abbiamo visto nel codice delle applicazioni web da un decennio fa. Molte organizzazioni sono così impegnate a lottare con BYOD e MBM. E stanno cercando di essere i primi a commercializzare, quindi hanno a che fare con qualsiasi pressione aziendale... per inserire la loro app nell'app memorizzare molto rapidamente e non stanno realmente dando allo sviluppo le risorse di cui hanno bisogno per creare codice sicuro per mobile.
Affrontando i problemi di sicurezza delle applicazioni, Williams offre alcuni consigli di buon senso, come l'archiviazione di pochi dati aziendali all'interno di un iPhone o possibile app per iPad sul dispositivo e cifrando eventuali dati presenti sul dispositivo (funzionalità che Apple mette a disposizione per sviluppare tramite vari iOS API).
Ora per le tue applicazioni, la prima cosa è che dovrebbero davvero ridurre al minimo i dati sensibili che consentirai di archiviare sul telefono. Questi sono i dati che causeranno esposizioni. La cosa migliore che puoi fare è non metterlo al telefono. Forse puoi tenerlo in memoria o tenerlo sul cloud ma non consentire che venga archiviato sul telefono. Se devi archiviare dati crittografati, penso che le organizzazioni dovrebbero fornire ai propri sviluppatori un contenitore crittografato, una sorta di soluzione che farà in modo che tutti i dati che arrivano sul telefono finiscano crittografati, quindi anche se il telefono viene perso, rubato o compromesso, quei dati sono ancora protetto.
Inoltre, sostiene il rafforzamento e il monitoraggio dei server di backend che in realtà forniscono contenuti e dati alle app mobili di un'azienda.
Anche se Williams non lo menziona esplicitamente nell'intervista, che vale la pena leggere nel suo interezza, è importante tenere presente che le app iOS interne non sono sottoposte allo stesso tipo di processo di ispezione e approvazione che Apple implementa per le app vendute tramite l'App Store iOS. Ciò significa che se gli sviluppatori commettono errori o lasciano vulnerabilità nel loro codice e le app non vengono messe attraverso un accurato processo di controllo della sicurezza, un'azienda potrebbe non rendersi conto che esiste un rischio finché non lo è anche lui tardi.
Fonte: GovInfoSicurezza