cisco connected world - international mobile security

© 2013 Cisco e/o i relativi affiliati. Tutti i diritti riservati. Il presente documento contiene informazioni pubbliche di Cisco. Pagina 1 di 8

White paper

Cisco Connected World - International Mobile Security Punti salienti del sondaggio e considerazioni per l'IT aziendale

Riepilogo esecutivo

Per comprendere più a fondo le crescenti problematiche di sicurezza insite nell'integrazione di dispositivi mobili

nelle operazioni aziendali, Cisco ha recentemente condotto un sondaggio internazionale in cui è stato analizzato

l'atteggiamento e l'esperienza degli utenti finali in tutto mondo. Nel sondaggio Cisco Connected World -

International Mobile Security sono stati affrontati numerosi argomenti, tra cui:

● Atteggiamento dei dipendenti nei riguardi dell'uso di dispositivi privati ("personali") e di dispositivi forniti

dall'azienda per accedere alla rete aziendale

● Tipi di dispositivi personali e aziendali utilizzati per accedere alla rete

● Comportamento online dei dipendenti che usano dispositivi mobili

● Percezione della sicurezza dei dispositivi mobili da parte dei dipendenti

A fronte della crescita costante del numero di dispositivi mobili presenti sul luogo di lavoro, i reparti IT e le aziende

per cui operano possono sfruttare queste informazioni per individuare la strategia ottimale affinché i dipendenti

possano avere un accesso di rete produttivo, flessibile e sicuro da qualsiasi dispositivo.

Introduzione

Mobilità aziendale e "consumerizzazione dell'IT", ovvero l'uso di dispositivi consumer e di applicazioni cloud da

parte dei dipendenti all'interno dell'azienda, sono realtà ormai consolidate in tutto il mondo. Tuttavia, i reparti IT,

soprattutto nelle grandi imprese, hanno il difficile compito di tenere il passo con queste tendenze e fare i conti con il

loro impatto, quali il deterioramento del perimetro di sicurezza tradizionale, la proliferazione degli endpoint da

proteggere e la crescente esigenza dei lavoratori di accedere alle risorse aziendali in qualsiasi momento e in

qualsiasi luogo utilizzando i dispositivi mobili che preferiscono.

Gli amministratori IT resta ancora il compito di trovare il giusto equilibrio tra la protezione dei dati aziendali sensibili

e la necessità di consentire ai dipendenti di accedere agli strumenti e alle informazioni di cui hanno bisogno per

lavorare in modo produttivo. C'è sempre il rischio che i dispositivi mobili vengano smarriti o rubati, rischio che

quindi grava anche sui dati e sulle credenziali di accesso che vi sono contenuti. Quando i dipendenti usano reti

pubbliche per trasmettere i dati ai dispositivi mobili, la sicurezza delle informazioni aziendali sensibili potrebbe

essere messa a repentaglio. Gli utenti che accedono a Internet da dispositivi mobili personali, inoltre, sono

costantemente esposti al rischio di imbattersi in minacce basate sul Web, tra cui malware preposti al furto di dati.


Trovare un equilibrio è comunque fondamentale perché non si tratta solo di un problema di sicurezza. L'evoluzione

determinata dall'integrazione della tecnologia dei dispositivi mobili nelle operazioni aziendali pone le basi per un

processo di innovazione costante e conveniente in grado di rafforzare la collaborazione e incrementare la

produttività della forza lavoro. In un mondo sempre più connesso le aziende che adottano la tecnologia mobile

saranno in grado di mantenere la propria competitività, attirando e fidelizzando i migliori talenti.

Cisco Connected World Technology Report1 ha cominciato a esaminare l'evoluzione dell'atteggiamento di studenti

e giovani professionisti (forza lavoro emergente o utenti finali) in tutto il mondo nei confronti di lavoro, tecnologia e

sicurezza. Il sondaggio Cisco Connected World - International Mobile Security ha invece esteso la ricerca all'intera

forza lavoro, rilevando che le aziende non hanno implementato del tutto molte procedure basilari di sicurezza, sia

per i dispositivi mobili che per l'accesso remoto ai dati aziendali. Emerge con particolare evidenza che le aziende

devono prestare maggiore attenzione alla creazione e all'applicazione di policy che siano solide ma comunque

flessibili, sensibilizzando gli utenti alle minacce potenziali e alle best-practice per evitarle.

Uso di dispositivi personali e dispositivi aziendali per lavoro

I risultati del sondaggio Cisco Connected World - International Mobile Security mostrano una distribuzione

pressoché identica tra gli intervistati in termini di utilizzo di dispositivi aziendali o personali, come laptop, computer

desktop, smartphone o tablet, per lo svolgimento delle mansioni lavorative quotidiane. In alcuni casi si rileva l'uso

combinato di più dispositivi.

La portata di questi risultati, naturalmente, risiede nel fatto che utilizzare un dispositivo personale per scopi

lavorativi è sempre più la normalità ormai. Circa la metà (45%) degli intervistati, infatti, ha dichiarato che il datore di

lavoro fornisce loro un certo budget per l'acquisto di laptop, smartphone e altri dispositivi a loro scelta, anziché

fornire a tutti le stesse apparecchiature. La maggior parte dei datori di lavoro, inoltre, copre i costi di abbonamento

ai servizi voce e/o dati per i dispositivi personali che i dipendenti utilizzano per lavoro.

Oltre la metà degli intervistati sostiene che i dispositivi aziendali dovrebbero essere fruibili per scopi personali.

Inoltre, praticamente tutti gli intervistati attribuiscono una certa importanza alla possibilità di accedere ai medesimi

dati, desktop e applicazioni nonché di ottenere la stessa esperienza utente sia quando usano dispositivi aziendali

che quando usano dispositivi personali.

Considerazioni per l'IT:

● Come è possibile proteggere applicazioni e dati su tutti i dispositivi?

Accesso remoto uniforme

Secondo il sondaggio Cisco Connected World - International Mobile Security, le aziende stanno compiendo passi

in avanti per quanto riguarda il supporto del crescente bacino di lavoratori mobili e remoti. Oltre la metà degli

intervistati ha segnalato di essere attualmente in grado di connettersi agevolmente alla rete aziendale da qualsiasi

luogo e in qualsiasi momento. Tra i paesi inclusi nel sondaggio, gli intervistati in Brasile, India e Stati Uniti hanno

meno difficoltà nell'accesso remoto alle informazioni presenti nella rete aziendale. Se ne può evincere che i loro

datori di lavoro possono contare su una connettività sicura per i dipendenti remoti o mobili. Ma potrebbe anche

indicare l'esatto contrario.

1 Cisco Connected World Technology Report, 2012: http://www.cisco.com/en/US/netsol/ns1120/index.html.

http://www.cisco.com/en/US/netsol/ns1120/index.html


È interessante notare che, se da un lato, la maggior parte degli intervistati ritiene che l'accesso remoto sia un

privilegio e non un diritto, molti di essi hanno comunque aspettative elevate nei confronti della connettività remota e

lamentano che manca un accesso semplificato da parte dei propri datori di lavoro. In particolare, gli intervistati in

Cina, molti dei quali considerano l'accesso remoto come un diritto, hanno segnalato le restrizioni IT come maggiore

causa di frustrazione. Altri hanno citato le policy aziendali, le limitazioni di budget e le normative di settore come i

principali ostacoli all'agilità dell'accesso remoto.


● Come è possibile proteggere i lavoratori remoti senza compromettere l'esperienza utente?

Connessioni sicure

Se, da un lato, sempre più dipendenti avvertono l'esigenza di utilizzare i dispositivi che preferiscono all'interno

dell'azienda, molti sono anche consapevoli del rischio che la tendenza "Bring Your Own Device" (BYOD)

rappresenta per il datore di lavoro. La maggior parte degli intervistati ritiene che uno smartphone personale con

connessione Internet comporti un rischio maggiore per la sicurezza rispetto a uno smartphone aziendale.

Circa la metà (46%) degli intervistati ritiene che la connessione laptop cablata sia la modalità più sicura per

connettersi in remoto. Tuttavia, la maggioranza degli intervistati (60%) talvolta usa connessioni wireless di altri

quando opera in remoto. È interessante notare che la metà degli intervistati in India abbia dichiarato di utilizzare

"sempre" la connessione di altri. Le motivazioni addotte per l'uso di tali connessioni wireless sono principalmente

due: l'inaccessibilità di altre connessioni Internet e la comodità.


● Come è possibile garantire l'accesso remoto sicuro mediante connessioni wireless?

● Come è possibile implementare strategie di accesso sicuro valide sia per i dispositivi aziendali che per

quelli personali?

Comportamenti online e minacce

Dal sondaggio Cisco Connected World - International Mobile Security emerge che la maggior parte dei dipendenti,

pur essendo consapevole dei rischi rappresentati dai dispositivi mobili per la sicurezza aziendale, adotta

comunque comportamenti rischiosi quando usa dispositivi mobili. Il 26% degli intervistati sull'intero campione del

sondaggio rivela infatti di prestare meno attenzione al rischio quando opera su dispositivi aziendali rispetto ai

dispositivi personali. La motivazione addotta dagli intervistati che hanno segnalato minore prudenza online quando

usano dispositivi aziendali è la convinzione di poter contare sul supporto dal reparto IT in caso di difficoltà, a cui

probabilmente si aggiunge l'idea che il software attuale di difesa dalle minacce possa contribuire a incrementare il

livello di protezione. Di seguito sono indicati alcuni esempi di comportamento mobile "rischioso".

● Uso di applicazioni di collaborazione: il 40% degli intervistati utilizza applicazioni di collaborazione, quali

conferenze vocali, video e Web, messaggistica, applicazioni mobili e social software aziendale sui

dispositivi mobili utilizzati per lavoro. In molti casi le applicazioni di collaborazione sono basate sul Web e

l'IT potrebbe non avere alcun controllo su di esse o addirittura non essere consapevole del loro utilizzo. Gli

intervistati, soprattutto in Cina, che non utilizzano applicazioni di collaborazione o dispositivi personali

riferiscono che il deterrente principale è rappresentato dai rischi di sicurezza.


● Download di dati aziendali sensibili su dispositivi mobili: la maggior parte degli intervistati (il 63%) ha

affermato di scaricare dati aziendali sensibili sul proprio computer personale o dispositivo mobile almeno in

qualche occasione. Questo dato è più marcato e frequente in alcune aree geografiche, soprattutto in India,

dove la maggior parte degli utenti finali (58%) scarica "sempre" dati aziendali sensibili. In tutti i paesi

oggetto del sondaggio gli intervistati hanno affermato che tale comportamento è determinato dalla necessità

di ottenere le informazioni ovunque a prescindere dal rischio per la sicurezza.

● Mancata protezione dei dati dopo il download su dispositivi mobili: circa il 10% dei partecipanti al

sondaggio ha affermato di non adottare alcuna misura per proteggere i dati scaricati sul proprio dispositivo

mobile wireless. Una delle ragioni è evidente ed è facilmente ricollegabile al grado di formazione degli utenti:

circa la metà di coloro che non utilizzano mai la crittografia o di non impostare password sui propri

dispositivi wireless ha indicato anche di non essere in grado di farlo.

Tra le problematiche di sicurezza più significative sono state citate anche le minacce Web: circa la metà dei

lavoratori intervistati ha riscontrato problemi relativi alle minacce Web, quali virus e phishing, quando usa un

dispositivo aziendale. L'incidenza è risultata addirittura superiore per quanto riguarda i dispositivi personali. La

minaccia di download dannosi dal Web su un dispositivo aziendale o personale è risultata meno frequente, in

quanto interessa solo un terzo degli intervistati.

Per quanto riguarda gli avvisi di sicurezza, quando viene visualizzato un popup di avviso su un dispositivo

aziendale o personale, la maggior parte degli intervistati visualizza o esamina attentamente l'intero contenuto

prima di decidere come procedere. Gli intervistati in India e nel Regno Unito, tuttavia, in genere sembrano essere

meno attenti rispetto ai lavoratori di altri paesi, dato che accettano gli avvisi popup senza leggere i dettagli.


● Come è possibile garantire un "comportamento adeguato" tra i dipendenti che usano dispositivi mobili?

● Come è possibile proteggere i dati aziendali sui dispositivi personali dei dipendenti?

● Gli avvisi di sicurezza presentati ai dipendenti sono efficaci?

● La formazione impartita agli utenti è sufficiente?

Smarrimento o furto dei dispositivi

La perdita di un dispositivo utilizzato per lavoro, sia personale che aziendale, può avere gravi implicazioni di

sicurezza, ad esempio può essere compromessa la proprietà intellettuale e quindi si può danneggiare la

reputazione dell'azienda, il marchio o la competitività. La violazione delle misure di conformità per la sicurezza dei

dati è un altro problema di notevole rilevanza per le aziende, poiché può ridurre il grado di fiducia dei clienti e

comportare sanzioni onerose e ripercussioni legali.

Eppure, la maggior parte (60%) dei dipendenti che hanno partecipato al sondaggio Cisco Connected World -

International Mobile Security di recente ha adottato comportamenti tecnologici rischiosi usando un dispositivo per

lavoro. In genere, infatti, si tende a usare la connessione wireless di terzi per attività lavorative in remoto o dalla

propria abitazione, si autorizzano persone esterne all'azienda a usare il dispositivo o si lascia dispositivo all'interno

dell'automobile. Inoltre, negli ultimi 12 mesi, circa la metà dei partecipanti ha segnalato di avere subito la perdita o

il furto di un PDA o tablet aziendale o personale utilizzato per lavoro. Per oltre un terzo dei partecipanti, il furto o lo

smarrimento ha riguardato uno smartphone aziendale o personale.


Nel complesso, i partecipanti ritengono che la perdita di un dispositivo aziendale rappresenti un rischio

leggermente maggiore rispetto alla perdita di un dispositivo personale utilizzato per lavoro. Secondo circa due terzi

degli intervistati, perdere un dispositivo aziendale o personale all'esterno del luogo di lavoro, annotare le

credenziali di accesso su un foglio di carta o lasciare il dispositivo incustodito all'interno di un'automobile

rappresentano i rischi principali per la sicurezza aziendale.


● Che tipo di controllo abbiamo sui dispositivi che vengono smarriti o rubati?

Preoccupazioni dovute alle minacce alla sicurezza

Se, da una parte, la maggioranza degli intervistati sembra consapevole del fatto che la perdita di un dispositivo al

di fuori del luogo di lavoro o l'adozione di comportamenti tali da mettere a repentaglio il dispositivo o le credenziali

di accesso può rappresentare un rischio per la sicurezza aziendale, dai risultati del sondaggio emerge anche che

molti non pensano alla sicurezza correlata al dispositivo, tanto nel caso di un dispositivo aziendale quando nel

caso di un dispositivo personale.

In generale, i partecipanti al sondaggio Cisco Connected World - International Mobile Security hanno addotto una

serie di motivi per la loro scarsa attenzione verso le minacce alla sicurezza. Innanzi tutto, il rischio non è

considerato tale da destare preoccupazione. Alcuni hanno affermato di non prestare sempre attenzione alla

sicurezza del dispositivo perché il reparto IT non ha fornito informazioni in merito a tali minacce.


● In che modo è possibile migliorare le comunicazioni sulle possibili minacce alla sicurezza correlate ai

dispositivi?

Atteggiamenti verso l'IT sul lavoro

I risultati del sondaggio Cisco Connected World - International Mobile Security indicano che le policy e le

procedure implementate dalle aziende per proteggersi dalle minacce sono tutt'altro che uniformi. E anche laddove

sono in essere, gli accordi sulla sicurezza vengono spesso ignorati o disapplicati o risultano inefficaci.

Il 58% degli intervistati ha dichiarato di avere firmato, al momento dell'assunzione, un accordo specifico sulla

sicurezza riguardante i dati interni. Se la maggioranza dei partecipanti (77%) sostiene di osservare sempre tali

accordi, circa un quarto del campione non sempre li rispetta. In quest'ultima categoria il principale motivo addotto

(42%) è che ci si dimentica ogni tanto.

Secondo i risultati del sondaggio, la maggior parte degli intervistati (84%) fa affidamento sulla capacità del reparto

IT di identificare le minacce alla sicurezza. Oltre la metà dei partecipanti ha dichiarato che il reparto IT impartisce

loro una formazione periodica sui rischi e sui controlli per la sicurezza. Inoltre, per circa la metà dei dipendenti

intervistati il reparto IT svolge un ruolo attivo, comunicando informazioni sui rischi e sulle minacce potenziali. In

virtù di tale approccio i tre quarti di questi intervistati usano maggiore cautela.


● Come è possibile applicare le policy?

● La formazione impartita agli utenti è efficace e viene erogata in modo proattivo?


Conclusioni

Come dimostrato dai risultati del sondaggio Cisco Connected World - International Mobile Security, la mobilità è

un'opportunità complessa che rappresenta una sfida per le aziende e i reparti IT in tutto il mondo. Non esiste un

percorso universalmente valido per raggiungere garantire sicurezza nell'uso di dispositivi mobili: ogni azienda

globale deve sviluppare una propria strategia di sicurezza mobile che includa policy, formazione e tecnologia e che

supporti le esigenze dei dipendenti, aiutandoli a restare produttivi e a raggiungere gli obiettivi aziendali

fondamentali. Tutto questo sicuramente richiederà tempo. 23

Nel frattempo molte aziende stanno compiendo passi importanti sia rielaborando il proprio modello di sicurezza in

funzione delle esigenze del mondo connesso di oggi, sia tentando di trovare un terreno comune con i dipendenti

che richiedono l'accesso alle applicazioni e ai dispositivi che preferiscono per svolgere il proprio lavoro.

Parallelamente alla ricerca di risposte "ottimali" alle numerose sfide e considerazioni IT evidenziate in questo

studio, tali aziende stanno ricalibrando le policy di utilizzo e i codici di condotta, dando maggiore risalto alle attività

tese a prevenire la perdita di dati e adoperandosi affinché la sicurezza aziendale diventi un punto focale per tutti i

dipendenti a tutti i livelli dell'organizzazione.

Cisco Secure Access

La soluzione Secure Access di Cisco può aiutare le aziende e i reparti IT a soddisfare le crescenti esigenze in

termini di utenti e dispositivi, riducendo nel contempo il rischio e le violazioni della sicurezza realizzando una solida

base che consente agli utenti di connettersi sempre, ovunque e da qualsiasi dispositivo. Realizza BYOD, cloud e

collaborazione, contribuendo a trasformare il luogo di lavoro con la massima tranquillità.

● L'infrastruttura unificata basata su policy assicura l'implementazione di policy di accesso sicuro coerenti

sull'intera rete dell'azienda (cablata, wireless o VPN) per dispositivi e utenti.

● Per implementare efficacemente la sicurezza sono previsti livelli supplementari affinché l'esperienza utente

sia altamente produttiva e senza compromessi sia in sede che fuori sede.

● Le gestione semplificata offre una visibilità estesa che consente di risolvere più rapidamente i problemi,

permettendo alle aziende focalizzare l'attenzione sull'innovazione in tutta tranquillità.

Il fulcro della soluzione Secure Access di Cisco è rappresentato dalla potente combinazione tra client Cisco

AnyConnect® Secure Mobility, firewall di nuova generazione Cisco ASA serie 5500-X, Cisco ISE (Identity Services

Engine) e Cisco TrustSec®.

Per ulteriori informazioni su Cisco Secure Access e i relativi componenti, visitare il sito Web all'indirizzo

http://www.cisco.com/en/US/netsol/ns1204/index.html - ~Products.

Cisco BYOD Smart Solution

Cisco è tra le prime aziende del settore a supportare le imprese nella gestione del fenomeno BYOD, offrendo

opzioni di implementazione flessibili per le soluzioni di mobilità/BYOD e una scelta semplificata tra approccio

basato su piattaforma o servizi.

Cisco offre inoltre un approccio completo per la progettazione, la gestione e il controllo efficaci dell'accesso a una

rete BYOD. Cisco BYOD Smart Solution fornisce il sistema di gestione più sicuro e completo del ciclo di vita degli

2 I report annuali sulla sicurezza Cisco per il 2011 e il 2013 possono essere scaricati all'indirizzo:

http://www.cisco.com/en/US/prod/vpndevc/annual_security_report.html. 3 Report annuale sulla sicurezza Cisco 2013: http://www.cisco.com/en/US/prod/vpndevc/annual_security_report.html.

http://www.cisco.com/en/US/netsol/ns1204/index.html#~Products,

http://www.cisco.com/en/US/products/ps6120/index.html



http://www.cisco.com/en/US/netsol/ns1051/index.html

http://www.cisco.com/en/US/netsol/ns1204/index.html#~Products

http://blogs.cisco.com/security/consider-the-best-approach-for-your-byod-mobility-environment/

http://www.cisco.com/en/US/prod/vpndevc/annual_security_report.html

http://www.cisco.com/en/US/prod/vpndevc/annual_security_report.html


endpoint e della rete per le aziende. Semplifica le operazioni IT con una gestione del ciclo di vita end-to-end e della

rete, offre un'esperienza utente su misura senza compromessi e consente alle aziende di proteggere i dati con

policy unificate e controlli essenziali per supportare un ambiente di lavoro "oltre il BYOD".

Ulteriori informazioni su Cisco BYOD Smart Solution.

Iniziativa "Any Device" di Cisco

Cisco è una delle tante aziende in tutto mondo che operano per garantire la mobilità sicura a tutti gli utenti a prescindere dal luogo in cui si trovano e dal dispositivo che desiderano utilizzare. Cisco gestisce attualmente più di 64.000 dispositivi mobili e i dipendenti possono scegliere il dispositivo che preferiscono e connettersi in modo sicuro ai servizi vocali, video e di dati da qualsiasi luogo, grazie alla policy Any Device.

Il percorso BYOD intrapreso da Cisco è stato descritto negli ultimi due report annuali sulla sicurezza Cisco.

2 Quando Cisco raggiungerà

le ultime fasi di questo percorso pianificato, per cui saranno necessari diversi anni, l'azienda sarà sempre più indipendente dai servizi e dalle sedi e i dati aziendali saranno comunque sicuri.

3

METODOLOGIA

Il sondaggio 2012 Cisco Connected World - International Mobile Security è stato condotto in 10 paesi, nelle lingue locali, coinvolgendo più di 4.600 partecipanti. I destinatari sono stati selezionati secondo i seguenti criteri:

● Residenti in Australia, Brasile, Cina, Francia, Germania, Giappone, India, Italia, Regno Unito o Stati Uniti

● Età non inferiore a 21 anni

● Dipendenti full-time

● Alle dipendenze di un'azienda con 10 o più dipendenti

● Non impiegati nel settore delle ricerche di mercato, della consulenza IT o in organizzazioni no-profit

● Utenti di dispositivi aziendali o personali per attività inerenti al lavoro

● Operativi in remoto più volte all'anno

http://www.cisco.com/web/solutions/trends/byod_smart_solution/index.html

http://www.cisco.com/web/about/ciscoitatwork/borderless_networks/docs/Cisco_IT_Insights_BYOD_Updated.pdf

http://www.cisco.com/web/about/ciscoitatwork/borderless_networks/docs/Cisco_IT_Insights_BYOD_Updated.pdf


Stampato negli Stati Uniti C11-728986-01 08/13