cisco connected world - international mobile security
DESCRIPTION
Per comprendere più a fondo le crescenti problematiche di sicurezza insite nell'integrazione di dispositivi mobili nelle operazioni aziendali, Cisco ha recentemente condotto un sondaggio internazionale in cui è stato analizzato l'atteggiamento e l'esperienza degli utenti finali in tutto mondo. Maggiori informazioni qui http://cs.co/900596VTTRANSCRIPT
© 2013 Cisco e/o i relativi affiliati. Tutti i diritti riservati. Il presente documento contiene informazioni pubbliche di Cisco. Pagina 1 di 8
White paper
Cisco Connected World - International Mobile Security Punti salienti del sondaggio e considerazioni per l'IT aziendale
Riepilogo esecutivo
Per comprendere più a fondo le crescenti problematiche di sicurezza insite nell'integrazione di dispositivi mobili
nelle operazioni aziendali, Cisco ha recentemente condotto un sondaggio internazionale in cui è stato analizzato
l'atteggiamento e l'esperienza degli utenti finali in tutto mondo. Nel sondaggio Cisco Connected World -
International Mobile Security sono stati affrontati numerosi argomenti, tra cui:
● Atteggiamento dei dipendenti nei riguardi dell'uso di dispositivi privati ("personali") e di dispositivi forniti
dall'azienda per accedere alla rete aziendale
● Tipi di dispositivi personali e aziendali utilizzati per accedere alla rete
● Comportamento online dei dipendenti che usano dispositivi mobili
● Percezione della sicurezza dei dispositivi mobili da parte dei dipendenti
A fronte della crescita costante del numero di dispositivi mobili presenti sul luogo di lavoro, i reparti IT e le aziende
per cui operano possono sfruttare queste informazioni per individuare la strategia ottimale affinché i dipendenti
possano avere un accesso di rete produttivo, flessibile e sicuro da qualsiasi dispositivo.
Introduzione
Mobilità aziendale e "consumerizzazione dell'IT", ovvero l'uso di dispositivi consumer e di applicazioni cloud da
parte dei dipendenti all'interno dell'azienda, sono realtà ormai consolidate in tutto il mondo. Tuttavia, i reparti IT,
soprattutto nelle grandi imprese, hanno il difficile compito di tenere il passo con queste tendenze e fare i conti con il
loro impatto, quali il deterioramento del perimetro di sicurezza tradizionale, la proliferazione degli endpoint da
proteggere e la crescente esigenza dei lavoratori di accedere alle risorse aziendali in qualsiasi momento e in
qualsiasi luogo utilizzando i dispositivi mobili che preferiscono.
Gli amministratori IT resta ancora il compito di trovare il giusto equilibrio tra la protezione dei dati aziendali sensibili
e la necessità di consentire ai dipendenti di accedere agli strumenti e alle informazioni di cui hanno bisogno per
lavorare in modo produttivo. C'è sempre il rischio che i dispositivi mobili vengano smarriti o rubati, rischio che
quindi grava anche sui dati e sulle credenziali di accesso che vi sono contenuti. Quando i dipendenti usano reti
pubbliche per trasmettere i dati ai dispositivi mobili, la sicurezza delle informazioni aziendali sensibili potrebbe
essere messa a repentaglio. Gli utenti che accedono a Internet da dispositivi mobili personali, inoltre, sono
costantemente esposti al rischio di imbattersi in minacce basate sul Web, tra cui malware preposti al furto di dati.
© 2013 Cisco e/o i relativi affiliati. Tutti i diritti riservati. Il presente documento contiene informazioni pubbliche di Cisco. Pagina 2 di 8
Trovare un equilibrio è comunque fondamentale perché non si tratta solo di un problema di sicurezza. L'evoluzione
determinata dall'integrazione della tecnologia dei dispositivi mobili nelle operazioni aziendali pone le basi per un
processo di innovazione costante e conveniente in grado di rafforzare la collaborazione e incrementare la
produttività della forza lavoro. In un mondo sempre più connesso le aziende che adottano la tecnologia mobile
saranno in grado di mantenere la propria competitività, attirando e fidelizzando i migliori talenti.
Cisco Connected World Technology Report1 ha cominciato a esaminare l'evoluzione dell'atteggiamento di studenti
e giovani professionisti (forza lavoro emergente o utenti finali) in tutto il mondo nei confronti di lavoro, tecnologia e
sicurezza. Il sondaggio Cisco Connected World - International Mobile Security ha invece esteso la ricerca all'intera
forza lavoro, rilevando che le aziende non hanno implementato del tutto molte procedure basilari di sicurezza, sia
per i dispositivi mobili che per l'accesso remoto ai dati aziendali. Emerge con particolare evidenza che le aziende
devono prestare maggiore attenzione alla creazione e all'applicazione di policy che siano solide ma comunque
flessibili, sensibilizzando gli utenti alle minacce potenziali e alle best-practice per evitarle.
Uso di dispositivi personali e dispositivi aziendali per lavoro
I risultati del sondaggio Cisco Connected World - International Mobile Security mostrano una distribuzione
pressoché identica tra gli intervistati in termini di utilizzo di dispositivi aziendali o personali, come laptop, computer
desktop, smartphone o tablet, per lo svolgimento delle mansioni lavorative quotidiane. In alcuni casi si rileva l'uso
combinato di più dispositivi.
La portata di questi risultati, naturalmente, risiede nel fatto che utilizzare un dispositivo personale per scopi
lavorativi è sempre più la normalità ormai. Circa la metà (45%) degli intervistati, infatti, ha dichiarato che il datore di
lavoro fornisce loro un certo budget per l'acquisto di laptop, smartphone e altri dispositivi a loro scelta, anziché
fornire a tutti le stesse apparecchiature. La maggior parte dei datori di lavoro, inoltre, copre i costi di abbonamento
ai servizi voce e/o dati per i dispositivi personali che i dipendenti utilizzano per lavoro.
Oltre la metà degli intervistati sostiene che i dispositivi aziendali dovrebbero essere fruibili per scopi personali.
Inoltre, praticamente tutti gli intervistati attribuiscono una certa importanza alla possibilità di accedere ai medesimi
dati, desktop e applicazioni nonché di ottenere la stessa esperienza utente sia quando usano dispositivi aziendali
che quando usano dispositivi personali.
Considerazioni per l'IT:
● Come è possibile proteggere applicazioni e dati su tutti i dispositivi?
Accesso remoto uniforme
Secondo il sondaggio Cisco Connected World - International Mobile Security, le aziende stanno compiendo passi
in avanti per quanto riguarda il supporto del crescente bacino di lavoratori mobili e remoti. Oltre la metà degli
intervistati ha segnalato di essere attualmente in grado di connettersi agevolmente alla rete aziendale da qualsiasi
luogo e in qualsiasi momento. Tra i paesi inclusi nel sondaggio, gli intervistati in Brasile, India e Stati Uniti hanno
meno difficoltà nell'accesso remoto alle informazioni presenti nella rete aziendale. Se ne può evincere che i loro
datori di lavoro possono contare su una connettività sicura per i dipendenti remoti o mobili. Ma potrebbe anche
indicare l'esatto contrario.
1 Cisco Connected World Technology Report, 2012: http://www.cisco.com/en/US/netsol/ns1120/index.html.
© 2013 Cisco e/o i relativi affiliati. Tutti i diritti riservati. Il presente documento contiene informazioni pubbliche di Cisco. Pagina 3 di 8
È interessante notare che, se da un lato, la maggior parte degli intervistati ritiene che l'accesso remoto sia un
privilegio e non un diritto, molti di essi hanno comunque aspettative elevate nei confronti della connettività remota e
lamentano che manca un accesso semplificato da parte dei propri datori di lavoro. In particolare, gli intervistati in
Cina, molti dei quali considerano l'accesso remoto come un diritto, hanno segnalato le restrizioni IT come maggiore
causa di frustrazione. Altri hanno citato le policy aziendali, le limitazioni di budget e le normative di settore come i
principali ostacoli all'agilità dell'accesso remoto.
Considerazioni per l'IT:
● Come è possibile proteggere i lavoratori remoti senza compromettere l'esperienza utente?
Connessioni sicure
Se, da un lato, sempre più dipendenti avvertono l'esigenza di utilizzare i dispositivi che preferiscono all'interno
dell'azienda, molti sono anche consapevoli del rischio che la tendenza "Bring Your Own Device" (BYOD)
rappresenta per il datore di lavoro. La maggior parte degli intervistati ritiene che uno smartphone personale con
connessione Internet comporti un rischio maggiore per la sicurezza rispetto a uno smartphone aziendale.
Circa la metà (46%) degli intervistati ritiene che la connessione laptop cablata sia la modalità più sicura per
connettersi in remoto. Tuttavia, la maggioranza degli intervistati (60%) talvolta usa connessioni wireless di altri
quando opera in remoto. È interessante notare che la metà degli intervistati in India abbia dichiarato di utilizzare
"sempre" la connessione di altri. Le motivazioni addotte per l'uso di tali connessioni wireless sono principalmente
due: l'inaccessibilità di altre connessioni Internet e la comodità.
Considerazioni per l'IT:
● Come è possibile garantire l'accesso remoto sicuro mediante connessioni wireless?
● Come è possibile implementare strategie di accesso sicuro valide sia per i dispositivi aziendali che per
quelli personali?
Comportamenti online e minacce
Dal sondaggio Cisco Connected World - International Mobile Security emerge che la maggior parte dei dipendenti,
pur essendo consapevole dei rischi rappresentati dai dispositivi mobili per la sicurezza aziendale, adotta
comunque comportamenti rischiosi quando usa dispositivi mobili. Il 26% degli intervistati sull'intero campione del
sondaggio rivela infatti di prestare meno attenzione al rischio quando opera su dispositivi aziendali rispetto ai
dispositivi personali. La motivazione addotta dagli intervistati che hanno segnalato minore prudenza online quando
usano dispositivi aziendali è la convinzione di poter contare sul supporto dal reparto IT in caso di difficoltà, a cui
probabilmente si aggiunge l'idea che il software attuale di difesa dalle minacce possa contribuire a incrementare il
livello di protezione. Di seguito sono indicati alcuni esempi di comportamento mobile "rischioso".
● Uso di applicazioni di collaborazione: il 40% degli intervistati utilizza applicazioni di collaborazione, quali
conferenze vocali, video e Web, messaggistica, applicazioni mobili e social software aziendale sui
dispositivi mobili utilizzati per lavoro. In molti casi le applicazioni di collaborazione sono basate sul Web e
l'IT potrebbe non avere alcun controllo su di esse o addirittura non essere consapevole del loro utilizzo. Gli
intervistati, soprattutto in Cina, che non utilizzano applicazioni di collaborazione o dispositivi personali
riferiscono che il deterrente principale è rappresentato dai rischi di sicurezza.
© 2013 Cisco e/o i relativi affiliati. Tutti i diritti riservati. Il presente documento contiene informazioni pubbliche di Cisco. Pagina 4 di 8
● Download di dati aziendali sensibili su dispositivi mobili: la maggior parte degli intervistati (il 63%) ha
affermato di scaricare dati aziendali sensibili sul proprio computer personale o dispositivo mobile almeno in
qualche occasione. Questo dato è più marcato e frequente in alcune aree geografiche, soprattutto in India,
dove la maggior parte degli utenti finali (58%) scarica "sempre" dati aziendali sensibili. In tutti i paesi
oggetto del sondaggio gli intervistati hanno affermato che tale comportamento è determinato dalla necessità
di ottenere le informazioni ovunque a prescindere dal rischio per la sicurezza.
● Mancata protezione dei dati dopo il download su dispositivi mobili: circa il 10% dei partecipanti al
sondaggio ha affermato di non adottare alcuna misura per proteggere i dati scaricati sul proprio dispositivo
mobile wireless. Una delle ragioni è evidente ed è facilmente ricollegabile al grado di formazione degli utenti:
circa la metà di coloro che non utilizzano mai la crittografia o di non impostare password sui propri
dispositivi wireless ha indicato anche di non essere in grado di farlo.
Tra le problematiche di sicurezza più significative sono state citate anche le minacce Web: circa la metà dei
lavoratori intervistati ha riscontrato problemi relativi alle minacce Web, quali virus e phishing, quando usa un
dispositivo aziendale. L'incidenza è risultata addirittura superiore per quanto riguarda i dispositivi personali. La
minaccia di download dannosi dal Web su un dispositivo aziendale o personale è risultata meno frequente, in
quanto interessa solo un terzo degli intervistati.
Per quanto riguarda gli avvisi di sicurezza, quando viene visualizzato un popup di avviso su un dispositivo
aziendale o personale, la maggior parte degli intervistati visualizza o esamina attentamente l'intero contenuto
prima di decidere come procedere. Gli intervistati in India e nel Regno Unito, tuttavia, in genere sembrano essere
meno attenti rispetto ai lavoratori di altri paesi, dato che accettano gli avvisi popup senza leggere i dettagli.
Considerazioni per l'IT:
● Come è possibile garantire un "comportamento adeguato" tra i dipendenti che usano dispositivi mobili?
● Come è possibile proteggere i dati aziendali sui dispositivi personali dei dipendenti?
● Gli avvisi di sicurezza presentati ai dipendenti sono efficaci?
● La formazione impartita agli utenti è sufficiente?
Smarrimento o furto dei dispositivi
La perdita di un dispositivo utilizzato per lavoro, sia personale che aziendale, può avere gravi implicazioni di
sicurezza, ad esempio può essere compromessa la proprietà intellettuale e quindi si può danneggiare la
reputazione dell'azienda, il marchio o la competitività. La violazione delle misure di conformità per la sicurezza dei
dati è un altro problema di notevole rilevanza per le aziende, poiché può ridurre il grado di fiducia dei clienti e
comportare sanzioni onerose e ripercussioni legali.
Eppure, la maggior parte (60%) dei dipendenti che hanno partecipato al sondaggio Cisco Connected World -
International Mobile Security di recente ha adottato comportamenti tecnologici rischiosi usando un dispositivo per
lavoro. In genere, infatti, si tende a usare la connessione wireless di terzi per attività lavorative in remoto o dalla
propria abitazione, si autorizzano persone esterne all'azienda a usare il dispositivo o si lascia dispositivo all'interno
dell'automobile. Inoltre, negli ultimi 12 mesi, circa la metà dei partecipanti ha segnalato di avere subito la perdita o
il furto di un PDA o tablet aziendale o personale utilizzato per lavoro. Per oltre un terzo dei partecipanti, il furto o lo
smarrimento ha riguardato uno smartphone aziendale o personale.
© 2013 Cisco e/o i relativi affiliati. Tutti i diritti riservati. Il presente documento contiene informazioni pubbliche di Cisco. Pagina 5 di 8
Nel complesso, i partecipanti ritengono che la perdita di un dispositivo aziendale rappresenti un rischio
leggermente maggiore rispetto alla perdita di un dispositivo personale utilizzato per lavoro. Secondo circa due terzi
degli intervistati, perdere un dispositivo aziendale o personale all'esterno del luogo di lavoro, annotare le
credenziali di accesso su un foglio di carta o lasciare il dispositivo incustodito all'interno di un'automobile
rappresentano i rischi principali per la sicurezza aziendale.
Considerazioni per l'IT:
● Che tipo di controllo abbiamo sui dispositivi che vengono smarriti o rubati?
Preoccupazioni dovute alle minacce alla sicurezza
Se, da una parte, la maggioranza degli intervistati sembra consapevole del fatto che la perdita di un dispositivo al
di fuori del luogo di lavoro o l'adozione di comportamenti tali da mettere a repentaglio il dispositivo o le credenziali
di accesso può rappresentare un rischio per la sicurezza aziendale, dai risultati del sondaggio emerge anche che
molti non pensano alla sicurezza correlata al dispositivo, tanto nel caso di un dispositivo aziendale quando nel
caso di un dispositivo personale.
In generale, i partecipanti al sondaggio Cisco Connected World - International Mobile Security hanno addotto una
serie di motivi per la loro scarsa attenzione verso le minacce alla sicurezza. Innanzi tutto, il rischio non è
considerato tale da destare preoccupazione. Alcuni hanno affermato di non prestare sempre attenzione alla
sicurezza del dispositivo perché il reparto IT non ha fornito informazioni in merito a tali minacce.
Considerazioni per l'IT:
● In che modo è possibile migliorare le comunicazioni sulle possibili minacce alla sicurezza correlate ai
dispositivi?
Atteggiamenti verso l'IT sul lavoro
I risultati del sondaggio Cisco Connected World - International Mobile Security indicano che le policy e le
procedure implementate dalle aziende per proteggersi dalle minacce sono tutt'altro che uniformi. E anche laddove
sono in essere, gli accordi sulla sicurezza vengono spesso ignorati o disapplicati o risultano inefficaci.
Il 58% degli intervistati ha dichiarato di avere firmato, al momento dell'assunzione, un accordo specifico sulla
sicurezza riguardante i dati interni. Se la maggioranza dei partecipanti (77%) sostiene di osservare sempre tali
accordi, circa un quarto del campione non sempre li rispetta. In quest'ultima categoria il principale motivo addotto
(42%) è che ci si dimentica ogni tanto.
Secondo i risultati del sondaggio, la maggior parte degli intervistati (84%) fa affidamento sulla capacità del reparto
IT di identificare le minacce alla sicurezza. Oltre la metà dei partecipanti ha dichiarato che il reparto IT impartisce
loro una formazione periodica sui rischi e sui controlli per la sicurezza. Inoltre, per circa la metà dei dipendenti
intervistati il reparto IT svolge un ruolo attivo, comunicando informazioni sui rischi e sulle minacce potenziali. In
virtù di tale approccio i tre quarti di questi intervistati usano maggiore cautela.
Considerazioni per l'IT:
● Come è possibile applicare le policy?
● La formazione impartita agli utenti è efficace e viene erogata in modo proattivo?
© 2013 Cisco e/o i relativi affiliati. Tutti i diritti riservati. Il presente documento contiene informazioni pubbliche di Cisco. Pagina 6 di 8
Conclusioni
Come dimostrato dai risultati del sondaggio Cisco Connected World - International Mobile Security, la mobilità è
un'opportunità complessa che rappresenta una sfida per le aziende e i reparti IT in tutto il mondo. Non esiste un
percorso universalmente valido per raggiungere garantire sicurezza nell'uso di dispositivi mobili: ogni azienda
globale deve sviluppare una propria strategia di sicurezza mobile che includa policy, formazione e tecnologia e che
supporti le esigenze dei dipendenti, aiutandoli a restare produttivi e a raggiungere gli obiettivi aziendali
fondamentali. Tutto questo sicuramente richiederà tempo. 23
Nel frattempo molte aziende stanno compiendo passi importanti sia rielaborando il proprio modello di sicurezza in
funzione delle esigenze del mondo connesso di oggi, sia tentando di trovare un terreno comune con i dipendenti
che richiedono l'accesso alle applicazioni e ai dispositivi che preferiscono per svolgere il proprio lavoro.
Parallelamente alla ricerca di risposte "ottimali" alle numerose sfide e considerazioni IT evidenziate in questo
studio, tali aziende stanno ricalibrando le policy di utilizzo e i codici di condotta, dando maggiore risalto alle attività
tese a prevenire la perdita di dati e adoperandosi affinché la sicurezza aziendale diventi un punto focale per tutti i
dipendenti a tutti i livelli dell'organizzazione.
Cisco Secure Access
La soluzione Secure Access di Cisco può aiutare le aziende e i reparti IT a soddisfare le crescenti esigenze in
termini di utenti e dispositivi, riducendo nel contempo il rischio e le violazioni della sicurezza realizzando una solida
base che consente agli utenti di connettersi sempre, ovunque e da qualsiasi dispositivo. Realizza BYOD, cloud e
collaborazione, contribuendo a trasformare il luogo di lavoro con la massima tranquillità.
● L'infrastruttura unificata basata su policy assicura l'implementazione di policy di accesso sicuro coerenti
sull'intera rete dell'azienda (cablata, wireless o VPN) per dispositivi e utenti.
● Per implementare efficacemente la sicurezza sono previsti livelli supplementari affinché l'esperienza utente
sia altamente produttiva e senza compromessi sia in sede che fuori sede.
● Le gestione semplificata offre una visibilità estesa che consente di risolvere più rapidamente i problemi,
permettendo alle aziende focalizzare l'attenzione sull'innovazione in tutta tranquillità.
Il fulcro della soluzione Secure Access di Cisco è rappresentato dalla potente combinazione tra client Cisco
AnyConnect® Secure Mobility, firewall di nuova generazione Cisco ASA serie 5500-X, Cisco ISE (Identity Services
Engine) e Cisco TrustSec®.
Per ulteriori informazioni su Cisco Secure Access e i relativi componenti, visitare il sito Web all'indirizzo
http://www.cisco.com/en/US/netsol/ns1204/index.html - ~Products.
Cisco BYOD Smart Solution
Cisco è tra le prime aziende del settore a supportare le imprese nella gestione del fenomeno BYOD, offrendo
opzioni di implementazione flessibili per le soluzioni di mobilità/BYOD e una scelta semplificata tra approccio
basato su piattaforma o servizi.
Cisco offre inoltre un approccio completo per la progettazione, la gestione e il controllo efficaci dell'accesso a una
rete BYOD. Cisco BYOD Smart Solution fornisce il sistema di gestione più sicuro e completo del ciclo di vita degli
2 I report annuali sulla sicurezza Cisco per il 2011 e il 2013 possono essere scaricati all'indirizzo:
http://www.cisco.com/en/US/prod/vpndevc/annual_security_report.html. 3 Report annuale sulla sicurezza Cisco 2013: http://www.cisco.com/en/US/prod/vpndevc/annual_security_report.html.
© 2013 Cisco e/o i relativi affiliati. Tutti i diritti riservati. Il presente documento contiene informazioni pubbliche di Cisco. Pagina 7 di 8
endpoint e della rete per le aziende. Semplifica le operazioni IT con una gestione del ciclo di vita end-to-end e della
rete, offre un'esperienza utente su misura senza compromessi e consente alle aziende di proteggere i dati con
policy unificate e controlli essenziali per supportare un ambiente di lavoro "oltre il BYOD".
Ulteriori informazioni su Cisco BYOD Smart Solution.
Iniziativa "Any Device" di Cisco
Cisco è una delle tante aziende in tutto mondo che operano per garantire la mobilità sicura a tutti gli utenti a prescindere dal luogo in cui si trovano e dal dispositivo che desiderano utilizzare. Cisco gestisce attualmente più di 64.000 dispositivi mobili e i dipendenti possono scegliere il dispositivo che preferiscono e connettersi in modo sicuro ai servizi vocali, video e di dati da qualsiasi luogo, grazie alla policy Any Device.
Il percorso BYOD intrapreso da Cisco è stato descritto negli ultimi due report annuali sulla sicurezza Cisco.
2 Quando Cisco raggiungerà
le ultime fasi di questo percorso pianificato, per cui saranno necessari diversi anni, l'azienda sarà sempre più indipendente dai servizi e dalle sedi e i dati aziendali saranno comunque sicuri.
3
METODOLOGIA
Il sondaggio 2012 Cisco Connected World - International Mobile Security è stato condotto in 10 paesi, nelle lingue locali, coinvolgendo più di 4.600 partecipanti. I destinatari sono stati selezionati secondo i seguenti criteri:
● Residenti in Australia, Brasile, Cina, Francia, Germania, Giappone, India, Italia, Regno Unito o Stati Uniti
● Età non inferiore a 21 anni
● Dipendenti full-time
● Alle dipendenze di un'azienda con 10 o più dipendenti
● Non impiegati nel settore delle ricerche di mercato, della consulenza IT o in organizzazioni no-profit
● Utenti di dispositivi aziendali o personali per attività inerenti al lavoro
● Operativi in remoto più volte all'anno
© 2013 Cisco e/o i relativi affiliati. Tutti i diritti riservati. Il presente documento contiene informazioni pubbliche di Cisco. Pagina 8 di 8
Stampato negli Stati Uniti C11-728986-01 08/13