Privacy vs. sicurezza mobile: Perché non dovete scegliere

Privacy vs. sicurezza mobile: Perché non dovete scegliere

Sempre più spesso i lavoratori dipendenti utilizzano i dispositivi personali per gestire il proprio lavoro. Lookout State of Remote Work Security Report del 2023 ha rilevato che il 92% dei lavoratori remoti ha svolto attività lavorative sui propri dispositivi mobili personali. Sebbene l’introduzione di controlli di sicurezza sui dispositivi di proprietà del datore di lavoro sia un’idea ovvia, la crescente sovrapposizione tra personale e professionale significa che le aziende devono pensare a come proteggere i dispositivi di proprietà dei dipendenti che vengono utilizzati per lavoro.

Naturalmente, molte persone sono contrarie all’idea di inserire un’applicazione di sicurezza imposta dal datore di lavoro sui propri dispositivi mobili personali. Nessuno vuole avere l’impressione di essere spiato dal proprio datore di lavoro quando usa il telefono durante le ore libere.

Ma nell’attuale clima di sicurezza informatica, lasciare i dispositivi mobili personali non protetti potrebbe rivelarsi un errore oneroso. I dispositivi personali sono oggi un punto di accesso molto comune per gli aggressori. Con un numero così elevato di persone che li utilizzano per lavoro, i telefoni personali possono rappresentare una via d’accesso diretta alle risorse cloud dell’organizzazione e, se violati, i dati sensibili potrebbero essere a rischio.

Le aziende si trovano quindi tra l’incudine e il martello: possono proteggere i dispositivi mobili personali e far arrabbiare i dipendenti, oppure possono lasciarli non protetti e rischiare di diventare vittime di un attacco informatico evitabile. Con lo strumento giusto, però, non devono scegliere tra la privacy degli utenti e la sicurezza dei dispositivi mobili.

I dispositivi mobili personali non sono così privati come si pensa, ma la giusta soluzione di sicurezza può essere d’aiuto

I dispositivi mobili personali sono essenzialmente un avatar dell’utente. Sono ricchi di ogni tipo di informazione, sia personale che lavorativa. Elenchi di contatti, account di posta elettronica personali e di lavoro, account di social media, app bancarie, app di appuntamenti, app cloud di lavoro e l’elenco continua.

Se un malintenzionato viola un dispositivo mobile, ha essenzialmente accesso all’intera vita dell’utente. Purtroppo, le opportunità di violazione dei dispositivi mobili sono molteplici, tra cui:

Poiché il confine tra personale e professionale è diventato così labile, se uno dei dispositivi personali dei vostri dipendenti viene violato, significa che anche i vostri dati aziendali potrebbero essere esposti. Per questo motivo, per salvaguardare la privacy e la sicurezza dei dati, l’azienda deve adottare una strategia di sicurezza mobile che copra tutti i dispositivi degli utenti finali, compresi quelli personali.

Lookout offre una soluzione di sicurezza mobile che fornisce il meglio dei due mondi: sicurezza e privacy.

La soluzione di sicurezza mobile di Lookout è stata realizzata per proteggere la privacy. Ci siamo formati nel settore consumer, quindi il rispetto della privacy fa parte del nostro DNA. Raccogliamo solo i dati necessari per garantire una sicurezza solida, né più né meno.

Il monitoraggio della protezione per i dispositivi iOS, Android e ChromeOS può rappresentare una sfida particolare, ed è per questo che utilizziamo l’intelligenza artificiale e il machine learning  per trovare il giusto equilibrio. Grazie a questa soluzione big-data, Lookout Mobile Endpoint Security è in grado di rilevare e rispondere in modo efficiente alle minacce senza richiedere la scansione invasiva e ad alta intensità di risorse della sicurezza endpoint tradizionale.

Cosa non raccogliamo
Non trasmettiamo alcun dato personale agli amministratori. In effetti, gli amministratori non sanno affatto chi sia l’utente in questione. Ci concentriamo sui problemi, mantenendo l’anonimato degli utenti. Ciò significa che i vostri dipendenti possono essere certi che l’azienda non vedrà mai i loro dati personali, tra cui:

  • Messaggi di testo
  • Foto
  • Contatti
  • URL specifici bloccati dal phishing e dalla protezione dei contenuti
  • App

Le aziende possono anche esercitare ulteriori controlli sulla privacy per limitare ulteriormente i dati raccolti da Lookout e, integrandosi con una soluzione di mobile device management (MDM), Lookout può fornire una sicurezza completa evitando del tutto la raccolta dei dati.

Cosa raccogliamo
Naturalmente Lookout ha bisogno di raccogliere alcune informazioni, che rimangono anonime, dai dispositivi per identificare e proteggere da potenziali minacce. Queste includono:

  • Metadati delle app, per identificare le minacce alla sicurezza basate sulle app.
  • Dati sul firmware e sul sistema operativo, per rilevare firmware compromessi o sistemi operativi vulnerabili.
  • Dati di configurazione, per rilevare profili di configurazione rischiosi o dannosi.
  • Identificazione del dispositivo, per consentire la comunicazione con l’utente finale al fine di rilevare e correggere le minacce.
  • Dati sui contenuti web, per bloccare l’accesso a contenuti web dannosi o a siti di phishing
  • Dati sulla sicurezza di rete, per consentire di prendere decisioni sulla protezione dagli attacchi di rete.

Quando gli utenti installano l’app Lookout sul proprio telefono, vengono informati su tutti questi aspetti. In questo modo, possono capire perché l’app è necessaria e sentirsi a proprio agio nell’averla sul proprio dispositivo personale.

Perché la sicurezza mobile è importante

Lookout riconosce che i dispositivi personali sono personali, anche quando vengono utilizzati per lavoro. Ma in una attuale kill chain che spesso inizia con i dispositivi mobili, un singolo dispositivo personale compromesso può avere conseguenze clamorose.

Poiché i dispositivi mobili sono le chiavi di accesso al cloud, la sicurezza mobile è fondamentale sia per l’azienda che per l’utente finale. Ecco perché Lookout ha creato una moderna soluzione di sicurezza mobile che protegge i dati senza violare la privacy degli utenti finali.

Fonte: Lookout

Le previsioni di PKWARE per il 2022 per la sicurezza dei dati, la privacy e molto altro

Le previsioni di PKWARE per il 2022 per la sicurezza dei dati, la privacy e molto altro

È difficile credere che il 2021 sia già finito, il che significa che è il momento delle previsioni di PKWARE per il 2022.

Ma prima di guardare nella nostra sfera di cristallo per il 2022, vediamo cosa abbiamo previsto come tendenze per il 2021:

  • Il lavoro remoto diventa la nuova normalità – Questo si sta certamente avverando, forse anche più velocemente del previsto. Molte aziende hanno adottato un ambiente di lavoro ibrido mentre la pandemia sta calando e i lavoratori esprimono apertamente la loro preferenza nella flessibilità riguardo a dove lavorano.
  • Le soluzioni di sicurezza si concentreranno a livello di dati – Questo è più difficile da misurare dopo un solo anno, ma a causa delle maggiori richieste di soluzioni olistiche di sicurezza dei dati, le tendenze sono chiare.
  • Le aziende adotteranno approcci più ampi rispetto alla conformità normativa – Questo sta diventando molto rilevante. Da quando lo abbiamo predetto un anno fa, più stati hanno già approvato regolamenti sulla privacy dei dati per conto proprio, e un paio di proposte di legge federali sono state introdotte al Congresso, il che significa che la privacy dei dati, e quindi la conformità, dovrebbe essere nella mente di ogni azienda.

Ora passiamo a quest’anno e ciò che prevediamo si concretizzerà nella sicurezza dei dati e nella gestione della privacy.

La necessità di una maggiore visibilità dei dati

Anche se le restrizioni dovute al COVID-19 si stanno allentando in alcuni luoghi, il lavoro remoto o ibrido è ancora molto popolare tra le aziende con dipendenti che hanno la possibilità di lavorare da casa. Ma con tale flessibilità arriva una maggiore necessità di visibilità dei dati. E per visibilità, intendiamo una visione di ciò che i dipendenti stanno facendo e a quali dati stanno accedendo sui dispositivi endpoint, da dove provengono le minacce e quanti dati vengono generati in tutta l’azienda. Inoltre, dato che la quantità di dati che le aziende generano, archiviano e gestiscono continua a crescere, le aziende devono essere in grado di tenere il passo con la loro protezione e avere una comprensione più profonda di dove si trovano i dati e chi vi ha accesso.

Inoltre, dato che l’outsourcing diventa un’esigenza aziendale essenziale per le startup e altre aziende di piccole e medie dimensioni che non dispongono delle competenze del personale per funzioni come la sicurezza e i servizi cloud, avranno bisogno di avere un ulteriore livello di visibilità sui loro dati. Questo include tenere traccia di chi sta accedendo a quali dati, quanti di quei dati i loro fornitori possono vedere e quando revocare l’accesso ad essi. Questa conoscenza è fondamentale per ridurre al minimo gli effetti delle violazioni dei dati e per rimanere in conformità con le normative statali, federali e internazionali.

Luce nuova sull’applicazione della privacy

Il General Data Protection Regulation (GDPR) è entrato in vigore nel 2018, e l’Unione europea (UE) sta iniziando ad aumentare le sanzioni alle aziende che non sono conformi. Lo stesso potrebbe accadere per le leggi statali sulla privacy che sono state approvate negli Stati Uniti, come il California Consumer Privacy Act (CCPA), che è stato convertito in legge nel 2018. Sebbene gli organismi preposti all’applicazione siano stati in qualche modo esitanti a far rispettare queste leggi in modo da non danneggiare finanziariamente o addirittura far fallire le aziende, le imprese devono prestare attenzione a quelle che potrebbero essere multe più significative in futuro.

Inoltre, ci aspettiamo anche che più stati continuino ad approvare le proprie leggi sulla privacy. Al momento in cui scrivo, almeno sei stati degli Stati Uniti hanno progetti di legge sulla privacy attivi, con molti altri che di recente non sono stati approvati e che probabilmente torneranno con una nuova iterazione. C’è anche il potenziale per gli Stati Uniti di passare a una regolamentazione federale per tutti i settori nei prossimi anni, simile a molte altre grandi nazioni. Presto, oltre il 50 percento della popolazione mondiale potrebbe essere coperto da una legge sulla privacy, poiché l’India sta attualmente approvando la propria. L’UE, la Cina, il Brasile e molte altre grandi nazioni hanno già adottato queste normative.

Le aziende effettueranno azioni di marketing in merito alla loro strategia sulla privacy dei consumatori

Il livello di consapevolezza dei consumatori riguardo al modo in cui le aziende stanno proteggendo i propri dati è in aumento – le persone hanno visto apparire notifiche sui propri smartphone che chiedevano loro di condividere i dati quando, ad esempio,  aprono certe applicazioni. Alcune organizzazioni si stanno distinguendo in merito alla loro strategia sulla privacy; Apple e Google stanno prendendo la cosa molto seriamente, così come le imprese nel settore dei servizi finanziari. Le aziende stanno incoraggiando i consumatori a cambiare spesso le password e li stanno informando in anticipo sul tipo di dati che stanno condividendo quando le app e i servizi sono in uso. I consumatori scelgono sempre di più a quali aziende affidare la propria attività, in parte a causa dell’approccio dell’organizzazione alla privacy e stanno diventando meno pazienti con le aziende che non prendono sul serio la protezione dei dati.

E, sebbene i consumatori non siano necessariamente a conoscenza dei nuovi Payment Card Industry Data Security Standards (PCI DSS) 4.0 che usciranno all’inizio del prossimo anno, questi standard avranno un impatto sulla pianificazione aziendale. Ciò potrebbe includere quali progetti saranno finanziati e come le aziende evolvono la loro strategia sulla privacy e la protezione dei dati delle carte di credito a seconda della nuova flessibilità che 4.0 dovrebbe fornire.

La necessità di strumenti di rilevamento e di sicurezza dei dati

Nel complesso, ciò a cui si riducono queste tre previsioni è la necessità di soluzioni automatizzate per la sicurezza dei dati. Sapere quali dati si hanno, dove e chi vi ha accesso, assicurandosi al contempo di proteggere i dati ovunque si spostino è essenziale per qualsiasi azienda, in particolare quelle che contengono informazioni sensibili come numeri di carte di credito e dati sanitari. PKWARE dispone di tutti gli strumenti necessari per questa strategia di sicurezza dei dati completa.

Fonte: PKware

Quattro cose da considerare prima di installare le applicazioni per il tracciamento dei contatti

Quattro cose da considerare prima di installare le applicazioni per il tracciamento dei contatti

L’attuale pandemia è uno di quegli scenari che possono mettere alla prova i valori fondamentali di una società. Per la maggior parte degli account, il coronavirus è un caso limite, l’eccezione alla regola. E, tuttavia, costringe molti a ripensare al modo in cui operano nel mondo, come trattano gli altri e le regole che sono disposti (o meno) a seguire. La recente risposta pubblica al tracciamento dei contatti è un buon esempio.

1. Tracciamento della posizione e privacy dei dati
In generale, alle persone non piace essere rintracciate. Il diritto alla privacy è considerato un diritto umano fondamentale in molte parti del mondo. Legislazioni come il GDPR e il CCPA sono concepiti per far rispettare questa convinzione, definendo come i dati privati debbano essere raccolti, elaborati, condivisi e conservati. Con l’attuale legislazione sulla privacy dei dati, le linee guida e le protezioni esistenti dovrebbero essere adeguate per affrontare l’attuale crisi sanitaria globale.
Il monitoraggio del numero di casi di coronavirus, delle regioni colpite e di altre macro tendenze è essenziale per comprendere la diffusione del virus. Le macro tendenze possono informare su come il virus si sta propagando e anche sull’efficacia di alcune misure per contenere la diffusione.
Una qualche forma di localizzazione personale è stata ampiamente accettata come metodo efficace per comprendere la diffusione del virus. Tuttavia, dovrebbe essere implementato solo come opt-in, permettendo alle persone di scegliere quando condividere le proprie informazioni personali e dove si trovano. Fornire alle persone una scelta, insieme a dettagli su come i loro dati vengono gestiti e condivisi (dettagli che sono richiesti dal GDPR) dovrebbe essere una pratica standard.
La trasparenza dei metodi di raccolta dei dati è necessaria affinché gli esperti mondiali possano utilizzare con precisione i dati messi a disposizione. L’anonimizzazione è fondamentale quando si condividono i dati, ma essere in grado di correlare i casi significa anche che le entità locali devono condividere i dati in modo selettivo.

2. Tecnologia Bluetooth per la tracciamento dei contatti
In alcuni paesi, le applicazioni per tracciare il virus sono in fase di sviluppo con il sostegno ufficiale del governo. Sono state sollevate preoccupazioni in materia di privacy sul tracciamento della posizione geografica degli utenti, con persone che sostengono che l’iniziativa sia una scusa per far avanzare la sorveglianza del governo. Per questo motivo, l’approccio preferito utilizza la tecnologia Bluetooth, che può tracciare la vicinanza degli utenti ma non associare i dati di localizzazione ad un individuo.
Sono stati sviluppati diverse framework per la creazione di applicazioni per il tracciamento dei contatti. Apple e Google hanno unito le loro forze per supportare un metodo basato sul Bluetooth per tracciare la diffusione delle infezioni senza compromettere la privacy della posizione. Ciò comporta l’aggiunta di nuove funzionalità ai loro sistemi operativi mobili che consentono ad alcune app approvate dalle agenzie sanitarie governative di utilizzare il Bluetooth per registrare la vicinanza tra i telefoni e, quindi, tra le persone che li portano con sé.
In generale, queste app approvate dal governo funzionano consentendo all’utente di segnalare, in forma anonima, una diagnosi positiva di Covid-19 nell’app. In tal caso, tutti gli utenti che si sono trovati nelle vicinanze entro un certo periodo di tempo riceveranno una notifica. Il sistema è segnalato come Bluetooth-only, non raccoglie dati di localizzazione basati su GPS dagli utenti, ed è completamente opt-in.
La tecnologia funziona trasmettendo costantemente codici Bluetooth unici che derivano da una chiave crittografica che cambia una volta al giorno. Vengono monitorati costantemente i dispositivi mobili nelle vicinanze, registrando i codici di tutti gli altri telefoni che incontrano.
Quando un utente segnala una diagnosi positiva di Covid-19, la sua app carica su un server le chiavi crittografiche che sono state utilizzate per generare i suoi codici nelle ultime due settimane. Ogni app scarica quindi quelle chiavi giornaliere e cerca una corrispondenza con uno dei suoi codici memorizzati, l’app notificherà a quella persona che potrebbe essere stata esposta.

3. Potenziali problemi di prestazioni del dispositivo con il tracciamento dei contatti
Il problema con queste applicazioni è che devono essere costantemente in esecuzione in background e monitorare continuamente l’ambiente circostante per funzionare correttamente, il che significa che un potenziale effetto collaterale potrebbe essere un più rapido esaurimento della batteria del dispositivo.
I moderni sistemi operativi mobili impediscono il consumo della batteria utilizzando varie tecniche per “soffocare” le applicazioni che non sono in uso, come la riduzione dell’accesso alle risorse del sistema. Se, quanto, e in che modo dipende dalla versione del sistema operativo e dalle impostazioni del dispositivo.
Ad esempio, sappiamo che le versioni più recenti dei sistemi operativi sono più aggressive nel ridurre l’attività in background del Bluetooth per risparmiare energia. I dispositivi Android a volte utilizzano applicazioni di sistema aggiuntive denominate ” battery optimizers “, che possono limitare ulteriormente l’attività in background del Bluetooth.
Anche il livello della batteria gioca un ruolo importante, perché molti dispositivi potrebbero passare automaticamente alla modalità risparmio energetico, che disattiva i processi in background. Ciò potrebbe potenzialmente ridurre l’efficacia delle applicazioni di tracciamento dei contatti che devono essere costantemente in esecuzione in background.
Se avete deciso di optare per l’applicazione ufficiale di tracciamento contatti del vostro governo, seguite questi passi per aumentare l’efficacia dell’applicazione:

  • Mantenere la batteria carica, evitare di utilizzare vari ottimizzatori di batteria (o, in caso affermativo, creare un’eccezione per la vostra applicazione). Portare con sé un caricabatterie portatile.
  • Se sei un utente iPhone, evita di utilizzare la modalità risparmio energetico sul dispositivo, in quanto ciò può impedire l’esecuzione dell’applicazione in background.
  • Non utilizzare due o più applicazioni di tracciamento simili contemporaneamente perché potrebbe esserci un conflitto nell’uso delle risorse (accesso Bluetooth).

Gli sviluppatori di applicazioni approvate dal governo stanno lavorando sia con Apple che con Google al fine di ottenere un accesso più profondo alle risorse del dispositivo e quindi essere in grado di continuare a funzionare pienamente anche in varie modalità stand-by e a basso consumo energetico mentre l’applicazione è in esecuzione in background.

4. Rischi per la sicurezza delle applicazioni di tracciamento dei contatti
È estremamente importante non installare applicazioni che si trovano su siti non ufficiali o app store di terze parti. Le applicazioni devono essere scaricate solo dagli app store ufficiali. I criminali informatici sono molto attivi durante questa crisi Covid e cercano di sfruttare l’elevata domanda di applicazioni di tracciamento. Una tattica molto comune è quella di riconfezionare un’applicazione esistente, modificarla con codice maligno e pubblicarla su uno store non ufficiale. È sempre meglio controllare il sito web del proprio governo locale per trovare informazioni sulle soluzioni di tracciamento di contatti approvate.
Molti dei nostri clienti in diverse parti del mondo si stanno chiedendo se dovrebbero consentire ai dipendenti di installare e utilizzare le applicazioni di tracciamento dei contatti sui dispositivi di lavoro. Utilizzando App Insights, abbiamo completato le valutazioni del rischio per una piccola rappresentazione delle applicazioni di tracciamento dei contatti disponibili nei diversi paesi in cui hanno sede i nostri clienti. Le sintesi di queste valutazioni dei rischi sono disponibili nelle tabelle seguenti. I clienti Wandera possono richiedere la valutazione completa del rischio per ciascuna di queste applicazioni contattando i loro account manager. Queste informazioni saranno aggiornate man mano che raccoglieremo più richieste da parte dei clienti e man mano che le applicazioni verranno rilasciate e aggiornate.

Australia | Covid Safe

Australia | Covid Safe | Developer: Australian Department of Health | Risk Indicator: LOW
Source [version tested] Google Play [1.0.17] App Store [1.3]
# of permissions 8 4
# of extracted URLs 13 N/A
Source code availability Yes Yes
ATS assessment N/A ATS enabled
Well supported application with working bug report channel. Registration limited to Australian phone numbers only on the server side (plus few checks in the application itself).
United Kingdom | NHS Covid 19

United Kingdom | NHS Covid 19 | Developer: NHSX | Risk Indicator: LOW
Source [version tested] Google Play [1.0.17] App Store [1.3]
# of permissions 12 2
# of extracted URLs 24 N/A
Source code availability Yes Yes
ATS assessment N/A ATS enabled
The NHS app is currently still in beta and being tested on Isle of Wight. Reportedly uses data stored on a central server rather than the decentralized approach created by Apple and Google.
Italy | SM_Covid19

Italy | SM_Covid19 | Developer: Softmining | Risk Indicator: MED
Source [version tested] Google Play [3.6] N/A
# of permissions 34 N/A
# of extracted URLs 41 N/A
Source code availability Yes No
ATS assessment N/A N/A
Only test version available on request for iOS. The application is requesting user consent while launching in order for SoftMining to acquire/manipulate user data.
Spain | Corona Madrid

Spain | Corona Madrid | Developer: Comunidad de Madrid | Risk Indicator: LOW
Source [version tested] Google Play [1.0.10] App Store [1.0.10]
# of permissions 7 3
# of extracted URLs 5 N/A
Source code availability No No
ATS assessment N/A ATS disabled
This app communicates with the fewest number of external websites. It communicates only with Coronavirus Comunidad Madrid among other legitimate cloud hosts over HTTPS. It also had a low number of permissions requested.
Spain | Stop Covid19 Cat

Spain | Stop Covid19 Cat | Developer: Generalitat de Catalunya | Risk Indicator: MED
Source [version tested] Google Play [1.0.2] App Store [1.0.2]
# of permissions 12 4
# of extracted URLs 18 N/A
Source code availability No No
ATS assessment N/A ATS disabled
The app sends data to a backend server using HTTPS. Shares location data with Mubiquo, a mobile marketing company.

Come valutiamo il livello di rischio delle applicazioni

Le valutazioni del rischio consistono in due tipi principali di analisi delle applicazioni:

L’analisi statica viene effettuata tramite il reverse-engineering del codice dell’applicazione, disassemblando e decompilando il pacchetto dell’applicazione. Durante questa fase estraiamo vari metadati come la versione, i permessi, gli URL, le librerie usate, ecc. Controlliamo anche i record nello store di applicazioni corrispondente, se disponibile.
L’analisi dinamica osserva e analizza il comportamento delle app e il traffico di rete in tempo reale. Durante questa fase, possiamo identificare se l’applicazione utilizza metodi sicuri per il trasferimento di dati sensibili, se contatta solo i server remoti che dichiara di fare, ecc.

Quando si tratta di valutazioni del rischio delle applicazione, ci sono un gran numero di indicatori che consideriamo. Nei riepiloghi di cui sopra abbiamo incluso quanto segue:

Autorizzazioni delle app – Le autorizzazioni delle app regolano ciò che un’app può fare e a cosa può accedere. Questo va dall’accesso ai dati memorizzati sul telefono, come contatti e file multimediali, fino all’hardware come la fotocamera o il microfono del dispositivo. Le autorizzazioni disponibili per le applicazioni su iOS e Android sono molto diverse. Raccomandiamo sempre di verificare le autorizzazioni di ogni app per assicurarsi che non richiedano l’accesso a risorse di cui non hanno bisogno, per ridurre al minimo il rischio che le vostre informazioni sensibili siano esposte a soggetti indesiderati. Le autorizzazioni servono per le funzionalità dell’applicazione? Esistono rischi potenziali legati ai permessi sensibili (ad esempio, l’accesso agli SMS)?

URL – Il numero di URL integrati in un’app mobile è indicativo del numero di servizi web con cui l’app comunica. Numeri bassi e numeri alti non sono necessariamente indicativi di rischio, ma guardando questo numero e verificando che sia in linea con applicazioni simili è un buon punto di partenza prima di controllare ogni singolo URL sospetto. Teniamo conto del numero di siti web con cui un’applicazione comunica rispetto ad applicazioni simili per verificare la presenza di anomalie che potrebbero sollevare domande.

Disponibilità del codice sorgente – Quando il codice sorgente è disponibile al pubblico significa che qualsiasi ricercatore potrebbe guardare linea per linea ciò che lo sviluppatore ha programmato, il che può potenzialmente identificare difetti e codice dannoso nelle applicazioni. Ma come proprietà intellettuale, il codice sorgente spesso non è accessibile per i test. Se il codice sorgente è disponibile, controlliamo i componenti chiave dell’applicazione – come comunica con i server remoti, se utilizza correttamente i certificati, come vengono utilizzati i permessi, come comunica con le periferiche wireless (Bluetooth, Wi-Fi, NFC), se lo stile del codice segue le best practices, ecc.

Valutazione ATS – Sulle piattaforme Apple, una funzione di sicurezza di rete chiamata App Transport Security (ATS) è disponibile e abilitata di default. ATS è fondamentalmente un insieme di regole che assicurano che le applicazioni iOS e le estensioni delle applicazioni si connettano ai servizi web utilizzando protocolli di connessione sicuri come HTTPS. Le applicazioni iOS con ATS abilitato utilizzano la crittografia, mentre quelle con ATS disabilitato possono significare che stanno utilizzando la crittografia, ma solo per connessioni di rete selezionate.

Altri indicatori di rischio sono i seguenti:
Componenti: quali sono gli elementi costitutivi dell’applicazione? Il linguaggio utilizzato, le tecniche di programmazione, le librerie e le loro versioni, i framework, ecc. L’obiettivo è quello di verificare se l’applicazione utilizza componenti sicuri senza vulnerabilità note e/o potenziali problemi.
Comunicazione: con quali soggetti remoti comunica l’applicazione? Potrebbe essere un server su internet, un dispositivo remoto contattato tramite Bluetooth o un beacon accessibile tramite NFC. In tutti i casi monitoriamo il tipo di comunicazione, la frequenza con cui l’applicazione comunica e i dati che invia. Valutiamo anche gli URL contattati rispetto all’elenco dei servizi remoti e dei componenti applicativi per verificare se non tenta di inviare qualcosa di sensibile senza il consenso dell’utente.
Record degli App store: Chi è lo sviluppatore? Quanti installazioni ha? Con quale frequenza viene aggiornato? C’è un processo di segnalazione di bug funzionante?
Intelligence di terze parti: controlliamo quali altri rapporti o valutazioni sono stati resi disponibili da altri ricercatori.

Fonte: Wandera

Cinque tendenze che domineranno l’agenda della sicurezza del mobile nel 2020

Cinque tendenze che domineranno l’agenda della sicurezza del mobile nel 2020

A partire dal 2019 i professionisti della sicurezza di tutto il mondo stanno raccogliendo indizi che potrebbero offrire un’idea di ciò che il 2020  porterà in merito alle minacce e gli attacchi cibernetici. Man mano che i dispositivi mobili diventano più importanti e più radicati nel business, i rischi per la sicurezza aumentano. Ecco i rischi e le minacce in evoluzione che crediamo domineranno l’agenda mobile nel 2020.

1. Il Ransomware rimarrà solo una distrazione per i cellulari
Rispetto ad altre minacce mobili, i ransomware rappresentano quasi lo zero percento degli incidenti totali verificatisi. È tempo che gli utenti finali spostino la loro attenzione verso le minacce che contano davvero. I nostri dati mostrano che trojan, adware e spyware sono stati i tipi di malware più frequentemente riscontrati nel 2019. Finché le aziende saranno sviate dalla protezione dai ransomware, continueranno ad essere esposte ai tipi più diffusi di malware nel 2020.

2. La sofisticazione del phishing andrà alle stelle
Invece di minacce prodotte in massa basate su tattiche di “sparare a caso “, stiamo assistendo ad una maggiore sofisticazione da parte dell’aggressore. Gli schemi avanzati di phishing sono già apparsi negli app store, dimostrando funzionalità più sofisticate ed eludendo con successo il rilevamento. Con l’81% degli attacchi di mobile phishing già in atto al di fuori della posta elettronica, nel 2020 gli aggressori si muoveranno attraverso le app di messaggistica e i social media, dove gli utenti sono vulnerabili a profili e notifiche false abbastanza convincenti da farsi consegnare dati sensibili.

3. Il contesto diventerà determinante in caso di autenticazione
Mentre la spinta verso un futuro senza password continua, l’accesso sarà determinato dal contesto – dove si sta effettuando il login, a che ora e da quale dispositivo. Questo cambiamento nell’autenticazione cambierà la necessità delle password. Mentre i metodi di autenticazione continueranno probabilmente a muoversi verso un approccio basato sulla biometria, il fattore di autenticazione più importante diventerà il contesto in cui gli utenti cercheranno di accedere. Presto, l’apertura di diverse applicazioni non si baserà solo sul riconoscimento facciale o sull’impronta digitale, ma anche sul luogo in cui ci si trova, sulla rete a cui si è connessi, sul paese da cui si lavora.

4. Il prezzo della privacy aumenterà
In passato, gli utenti finali hanno inconsapevolmente rinunciato alle loro informazioni private in cambio di servizi “gratuiti”, ma poiché la privacy diventa un imperativo sia legale che finanziario, gli utenti dovranno pagare per servizi che una volta erano gratuiti e accantonare fondi nel loro budget per pagare la privacy stessa. Inoltre, l’idea che le imprese possano offrire un’alternativa alla monetizzazione dei loro dati personali con un’opzione a pagamento, non è più astratta.

5. Le app dannose continueranno a sfuggirci, ma gli app store ufficiali miglioreranno le loro capacità di controllo accurato dei malware
È stato dimostrato che gli app store sono un passo indietro quando si tratta di rilevare le app dannose a causa della crescente sofisticazione delle minacce. Ci sono semplicemente troppe app, troppi sviluppatori e troppi metodi di attacco perché gli app store possano stare  al passo. Ciò non significa che gli app store siano necessariamente negligenti, in quanto intervengono quando app “cattive” vengono portate alla loro attenzione. Il problema è che, mentre la sofisticazione del malware, dell’adware e del phishing continua a progredire, gli app store faticano a tenere il passo. La buona notizia è che, guardando al 2020, è probabile che gli app store ufficiali miglioreranno le loro capacità di analisi del malware per continuare a essere un’opzione più sicura rispetto al sideloading  o a store di terze parti.

Il  Verizon Mobile Security Index del 2019 ha riportato che il 33% delle organizzazioni ha ammesso di aver subito una violazione che coinvolge un dispositivo mobile. Questo numero è destinato ad aumentare dato che agli utenti è concesso l’accesso a dati sempre più sensibili dai loro dispositivi personali. Nel 2020, i professionisti della sicurezza dovranno ridefinire le priorità organizzative quando si tratta di dispositivi mobili e imparare ad evolvere per mantenere le loro informazioni sicure su tutte le piattaforme, indipendentemente dal dispositivo.

Fonte: Wandera

Semplifica la conformità GDPR, riduci la superficie di attacco

Semplifica la conformità GDPR, riduci la superficie di attacco

Il GDPR presenta una sfida complessa, creando nuove regole per le società e nuovi diritti per gli individui i cui dati sono raccolti e trattati da tali società. Più dati ha un’organizzazione, più difficile sarà affrontare questa sfida.

Il GDPR è stato promulgato in risposta alla crescita esponenziale dei dati negli ultimi due decenni e alla crescente frequenza e gravità delle violazioni dei dati, quindi sarebbe ovvio che la legge imponga un onere maggiore alle organizzazioni che gestiscono enormi quantità di informazioni. Anche se può sembrare un passo nella direzione sbagliata, la riduzione della quantità di dati raccolti e memorizzati può ridurre le probabilità di dover affrontare le sanzioni pecuniarie e la perdita di fiducia dei consumatori che ne deriverebbe a seguito di una violazione della sicurezza.

Spostare i dati fuori dalla giurisdizione dell’UE, come ha fatto Facebook, è improbabile che sia una buona soluzione a lungo termine. Il GDPR è stato menzionato frequentemente durante le udienze del Congresso di aprile su Facebook e Cambridge Analytica, segnalando che una versione americana del GDPR potrebbe presto essere in lavorazione. La mossa migliore consiste nell’affrontare direttamente la minaccia, limitando la quantità di dati che vengono controllati, esponendo il minor numero di dati possibile al furto o all’abuso e proteggendo i dati sensibili con la massima sicurezza possibile.

Mantieni i dati sensibili al loro posto

I dati strutturati rappresenteranno una sfida relativamente minore per quanto riguarda la conformità GDPR. Un tipico database aziendale viene gestito attivamente da un team di amministratori, che utilizzano strumenti progettati esattamente per il tipo di attività necessarie ai sensi del GDPR – report sui tipi e quantità di dati che un’organizzazione mantiene ed eliminazione dei dati relativi a individui specifici. Finché un database è adeguatamente protetto (inclusa la crittografia a livello di campo per i dati sensibili), è improbabile che crei spiacevoli sorprese per l’organizzazione che lo possiede.

I dati non strutturati, dati  memorizzati nei file, sono una questione diversa. Una volta che i dati vengono estratti da un database e salvati in un file, diventano molto più difficili da gestire. I dipendenti spesso salvano i file in posizioni inappropriate, li condividono con utenti non autorizzati e non riescono a proteggerli da furti o abusi. Molte delle più imbarazzanti e costose violazioni dei dati negli ultimi anni hanno riguardato file compromessi da impiegati disattenti.

Il modo migliore per gestire il rischio di dati sensibili su computer dei dipendenti, file server e account cloud è in primo luogo quello di rimuovere i dati che non dovrebbero essere presenti e crittografare i dati che rimangono. Le organizzazioni possono farlo utilizzando Smartcrypt per scansionare desktop, laptop alla ricerca di file contenenti informazioni sensibili e proteggere (o eliminare) tali file in base a politiche predefinite.

Aggiorna la tua politica di conservazione dei dati

La conservazione dei dati è uno dei temi ricorrenti mentre le organizzazioni di tutto il mondo si preparano al GDPR.

Anche se le disposizioni del GDPR in materia di conservazione dei dati non sono significativamente diverse dall’attuale direttiva UE sulla protezione dei dati, le organizzazioni dovrebbero garantire che “il periodo di conservazione dei dati personali sia limitato allo stretto necessario” e stabilire un calendario per la cancellazione dei dati. La prospettiva di pesanti sanzioni per il GDPR sta cambiando il modo in cui molte aziende pensano alla conservazione.

Quando un’organizzazione continua a conservare informazioni obsolete, non solo aumenta il carico sulle risorse di archiviazione e di trasmissione, ma si pone anche come obiettivo più ampio per hacker, spie e malintenzionati. L’unica cosa peggiore del pagamento del 4% del fatturato annuale a un’autorità di vigilanza del GDPR sarebbe il pagamento del 4% per la gestione errata dei dati che non avevi nemmeno bisogno.

Il GDPR è un’opportunità ideale per le organizzazioni per riunire i propri team di legali, di sicurezza IT e altre parti interessate per rivedere e aggiornare le politiche di conservazione dei dati. Definendo criteri che determinano il periodo di conservazione dei diversi tipi di dati, le imprese possono garantire di conservare informazioni veramente critiche, liberandosi nel contempo dei dati non necessari che possono solo potenzialmente causare problemi.

Smartcrypt di PKWARE è l’unica piattaforma per la sicurezza dei dati che integra il rilevamento, la classificazione e la protezione dei dati in un unico flusso di lavoro. Con Smartcrypt è possibile trovare, proteggere e gestire dati sensibili in tutta l’organizzazione da un unico punto di controllo.

GUARDA COME SMARTCRYPT TI PUO’ AIUTARE A SODDISFARE GLI OBIETTIVI DI CONFORMITÀ DEL GDPR

Fonte: PKWare

GDPR: la tua checklist per i prossimi 90 giorni

GDPR: la tua checklist per i prossimi 90 giorni

Dopo due anni di polemiche e confusione, l’era del GDPR sta per iniziare. A partire dal 25 maggio, l’innovativo regolamento europeo sulla protezione dei dati personali entrerà in vigore in tutti i 28 paesi membri dell’UE, cambiando radicalmente il modo in cui le aziende e le agenzie governative gestiscono i dati personali.

Da quando il regolamento è stato adottato dal Parlamento europeo all’inizio del 2016, le organizzazioni di tutto il mondo hanno lavorato per capire che cosa richiede la legge e in che modo verrà applicata. Sondaggi indicano che molte organizzazioni hanno ancora molto lavoro da fare. In un recente studio di Ernst e Young, ad esempio, il 40% delle aziende europee e l’87% delle aziende americane hanno risposto che non avevano ancora un piano di conformità GDPR.

Se la tua organizzazione si sta preparando per il GDPR, ora è il momento giusto per valutare in che modo la legge influirà sulla tua organizzazione e cosa dovrai fare per conformarti. I passaggi elencati qui possono aiutarti a stabilire la priorità delle tue attività GDPR e assicurarti che i tuoi dati siano una risorsa piuttosto che una responsabilità quando la legge diventerà effettiva.

Per ulteriori informazioni su specifiche disposizioni del GDPR e sui concetti fondamentali alla base dei regolamenti, leggi il white paper sul GDPR, Data Protection by Design.

Determina la tua posizione
Se lavori in Europa, dovrai essere conforme al GDPR. A differenza del patchwork delle leggi sulla privacy e sulla sicurezza dei dati che lo hanno preceduto, il GDPR si applicherà ugualmente a qualsiasi organizzazione che raccolga o elabori i dati personali dei cittadini dell’UE, indipendentemente dal fatto che l’organizzazione abbia sede nell’UE. Ciò include le società nel Regno Unito (che fa ancora parte dell’UE fino al completamento del processo Brexit), nonché nelle Americhe e altrove.

È anche importante sapere se la tua organizzazione è considerata un “Data Controller” (Titolare del trattamento) o un “Data Processor” (Responsabile del trattamento) ai sensi di legge. I Data Controller sono organizzazioni che prendono decisioni in merito a quali informazioni saranno raccolte dai cittadini dell’UE e in che modo verranno utilizzati i dati, mentre i Data Processor elaborano semplicemente i dati per conto dei Data Controller. Questa può essere un’analisi complicata per alcune organizzazioni, poiché una singola azienda può essere sia un data controller che data processor e può avere diverse relazioni tra controller e processor con diversi partner.

Nominare un DPO
Se la tua organizzazione è tenuta a nominare un Data Protection Officer e non l’ha ancora fatto, ora è il momento. Il DPO sarà responsabile di un’ampia gamma di attività correlate alla conformità GDPR, compresi audit interni, formazione dei dipendenti e comunicazioni con i soggetti interessati (i cittadini dell’UE i cui dati vengono raccolti o elaborati dalla propria organizzazione).

Il DPO sarà anche responsabile per il mantenimento del rapporto della vostra organizzazione con le autorità di vigilanza di GDPR che applicano la legge nei paesi in cui operate. Questo include report di routine e avvisi richiesti in caso di violazione dei dati.

Valuta le tue policy
Nel mondo post-GDPR, le organizzazioni dovranno procedere con attenzione durante la raccolta di dati su siti Web o attraverso altri canali. I Data Controller  sono tenuti ad ottenere il permesso che è “liberamente dato, specifico, informato e non ambiguo” al fine di raccogliere o utilizzare le informazioni personali di qualcuno. La legge impone requisiti di consenso ancora più stringenti per la raccolta di dati sui minori e per la raccolta di informazioni sulla salute e altre forme di dati altamente sensibili.

Le organizzazioni dovranno anche disporre di un processo per ricevere e soddisfare richieste di persone che desiderano una copia dei propri dati personali o che desiderano esercitare il proprio “diritto all’oblio”.

Valuta i tuoi dati
L’unico modo per assicurarsi che la tua organizzazione soddisfi gli obblighi di conformità alla protezione dei dati è capire esattamente quali tipi di dati hai, dove si trovano i dati e come sono protetti. La conformità GDPR richiede un approccio incentrato sui dati per la sicurezza informatica, incorporando ciascuna delle seguenti attività:

  • Discovery: le informazioni personali, come qualsiasi dato, vengono spostati oltre la posizione prevista. In molte organizzazioni, i dati sensibili vengono estratti regolarmente dai database e salvati su desktop, file server e altre posizioni in cui gli amministratori della sicurezza hanno una visibilità limitata. Strumenti intelligenti per l’individuazione dei dati possono eseguire la scansione di queste posizioni e trovare informazioni sensibili che richiedono protezione o altra gestione speciale sotto il GDPR.
  • Classificazione: i file contenenti dati personali o altre informazioni sensibili devono essere contrassegnati con metadati che indicano il tipo delle informazioni contenute in ciascun file e il modo in cui il file deve essere consultato e gestito. I tag di classificazione rendono anche la segnalazione dei dati più semplice e accurata.
  • Protezione: sebbene il GDPR non richieda specificamente la crittografia per i dati personali, lo raccomanda vivamente e fornisce anche esenzioni per le organizzazioni che lo utilizzano. Nel caso di una violazione della sicurezza, ad esempio, un’organizzazione non è tenuta a inviare notifiche di violazione se i dati rubati erano protetti da una crittografia forte. A seconda delle esigenze di conformità di un’organizzazione, alcuni dati potrebbero anche essere protetti inviandoli in quarantena, con il mascheramento o la cancellazione.

Smartcrypt di PKWARE è l’unica piattaforma di sicurezza dei dati che integra rilevamento dei dati, classificazione e protezione in un unico flusso di lavoro. Con Smartcrypt puoi trovare, proteggere e gestire i dati sensibili dell’intera organizzazione da un unico punto di controllo.
Guarda come Smartcrypt può aiutarti a raggiungere gli obiettivi di conformità GDPR.

Rimani informato
Forse l’unica cosa certa del GDPR è che nessuno sa esattamente cosa succederà dopo il 25 maggio. Quante società usciranno dal mercato europeo invece di gestire i requisiti GDPR? Quante persone vorranno esercitare il loro diritto all’oblio? Con quale frequenza le autorità di vigilanza impongono la sanzione massima per non conformità?
Mentre ci avviciniamo alla data in cui entrarà in vigore la legge, osserviamo nuove indicazioni dal gruppo di lavoro GDPR dell’UE e dalle autorità di vigilanza con cui collaborerà la vostra organizzazione. Assicurati di controllare regolarmente le best practices in materia di protezione dei dati e i suggerimenti su come aumentare la fiducia dei clienti rispettando i tuoi obblighi di conformità.

Fonte: PKWare