Le "app ombra" mettono in pericolo l'IT aziendale

Oggi i dipendenti comunicano con i clienti tramite WhatsApp o utilizzano applicazioni come Dropbox o Google Drive per condividere e modificare i documenti. Tuttavia, l'uso in gran parte incontrollato e non autorizzato di questo shadow IT mobile aumenta la superficie di attacco, soprattutto quando i dipendenti utilizzano i loro dispositivi per scopi lavorativi e privati, ad esempio attraverso modelli BYOD (bring your own device) o COPE (corporate-owned, personally enabled). Spesso non protetti, consentono agli aggressori di entrare in azienda "dalla porta di servizio" e, nel peggiore dei casi, di accedere ai dati aziendali. Anche le normative legali o i requisiti di conformità vengono elusi dall'uso incontrollato di varie app.

Lo specialista della sicurezza Soluzione virtuale mostra i cinque maggiori rischi posti dalle "app ombra":

• E-mail non criptate: Le e-mail professionali inviate tramite uno smartphone privato offrono agli aggressori preziose informazioni sull'azienda, a partire dall'oggetto e dal testo della mail fino agli allegati dei documenti interni. Il problema di solito risiede nell'inadeguatezza della sicurezza: non esiste una crittografia end-to-end delle e-mail né le precauzioni di sicurezza delle reti WLAN pubbliche sono sufficienti a impedire l'intercettazione dei dati. Nessuna azienda vuole che i segreti aziendali vengano letti e inoltrati in e-mail non criptate.
• Applicazioni affamate di dati: Oltre agli attacchi mirati da parte dei criminali, esistono anche "vie legali di fuga delle informazioni". Molte app hanno funzioni integrate per l'esfiltrazione dei dati, ossia l'estrazione dei dati. Nel caso di WhatsApp, ad esempio, si tratta dell'accesso all'elenco dei contatti, che può contenere anche contatti aziendali. Si tratta di una violazione delle disposizioni del GDPR, che stabilisce che i dati personali non possono essere semplicemente elaborati e trasmessi senza consenso. Di conseguenza, l'azienda non ha più il pieno controllo sui dati e quindi non può documentare dove sono conservati i dati personali e non può cancellarli. Il GDPR richiede inoltre una rigorosa separazione dei dati privati da quelli aziendali. Se le aziende non si adeguano, possono essere ritenute responsabili di gravi sanzioni. Deve essere chiaro ai responsabili che WhatsApp non è consentito per uso lavorativo.
• Archiviazione di documenti sensibili: Se i dipendenti conservano sul dispositivo mobile documenti con dati aziendali sensibili, il rischio che queste informazioni finiscano nelle mani sbagliate in caso di furto è elevato. Nel peggiore dei casi, chiunque può visualizzare i dati. Inoltre, se un dispositivo viene smarrito, danneggiato o rubato, tutti i dati memorizzati su di esso sono perduti, a meno che non vengano effettuati backup in tempo reale. Una perdita di dati di questo tipo danneggia enormemente la reputazione di un'azienda.
• Attacchi di phishing nel browser: I criminali sono ormai così astuti da "contrabbandare" nel browser interfacce utente ingannevolmente simili. L'ignaro utente si collega quindi a una pagina falsa con i suoi dati di accesso. I truffatori possono utilizzare i dati così ottenuti per un tentativo di estorsione, ad esempio, o pubblicarli su Internet.
• Dipendenti cessati: I dipendenti che se ne vanno durante una controversia spesso ritengono di essere stati trattati ingiustamente e potrebbero volersi vendicare del loro ex datore di lavoro. Se ci sono dati aziendali sul loro smartphone privato, hanno abbastanza munizioni per azioni di vendetta che possono causare enormi danni all'azienda sia dal punto di vista finanziario che della reputazione.

Grande disattenzione

La disattenzione dei dipendenti nell'uso di smartphone e tablet è spesso dovuta a una mancanza di conoscenza. Per questo la formazione è ancora più importante. È altrettanto importante coinvolgere i singoli reparti nella scelta degli strumenti. Questo è l'unico modo per garantire che vengano fornite app utili e che vengano rispettati gli standard di sicurezza. Una soluzione facile da usare e da implementare è un'applicazione contenitore. Crea un'area crittografata sul dispositivo mobile alla quale le altre app non possono accedere.

Quattro consigli

"Il mio consiglio alle aziende: In primo luogo, controllare l'uso dell'IT. In secondo luogo, sensibilizzate e formate i vostri dipendenti. Terzo: scoprire le ragioni dello shadow IT mobile. Quarto: consentire invece di proibire - offrire alternative interessanti. In fin dei conti, c'è una sola soluzione al problema dello shadow IT: il reparto IT deve fornire ai dipendenti le applicazioni necessarie per il loro lavoro e facili da usare", spiega Günter Junk, CEO di Virtual Solution AG.

Comunicato stampa Soluzione virtuale