G DATA Scheda tecnica #0273 Mobile Device Management
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
G DATA
Scheda tecnica #0273
Mobile Device Management
TechPaper_#0273_2015_04_21
G DATA - Sviluppo applicazioni
Sommario
1.
Introduzione ..................................................................................................................................... 3
2.
Dispositivi mobili nelle aziende ...................................................................................................... 3
2.1.
Vantaggi ......................................................................................................................................................................4
2.2.
Rischi ............................................................................................................................................................................4
3.
Gestione dei dispositivi mobili ........................................................................................................ 5
3.1.
Distribuzione e amministrazione .......................................................................................................................5
3.2.
Antifurto ......................................................................................................................................................................6
3.3.
App................................................................................................................................................................................6
3.4.
Protezione in tempo reale e on demand ........................................................................................................7
3.5.
Gestione e filtraggio dei contatti .......................................................................................................................7
4.
Utilizzo di G Data Mobile Device Management .............................................................................. 8
4.1.
Android........................................................................................................................................................................8
4.1.1.
Distribuzione e amministrazione .......................................................................................................................8
4.1.2.
Antifurto ................................................................................................................................................................... 10
4.1.3.
App............................................................................................................................................................................. 11
4.1.4.
Protezione in tempo reale e on demand ..................................................................................................... 13
4.1.5.
Gestione e filtraggio dei contatti .................................................................................................................... 14
4.2.
iOS .............................................................................................................................................................................. 15
4.2.1.
Distribuzione e amministrazione .................................................................................................................... 15
4.2.2.
Antifurto ................................................................................................................................................................... 15
4.2.3.
Gestione di app, protezione e contatti ......................................................................................................... 16
G Data - Scheda tecnica #0273: Mobile Device Management
1. Introduzione
Tradizionalmente, gli amministratori di reti e sistemi aziendali hanno gestito gruppi omogenei di
dispositivi client. Il processo di pianificazione e il provisioning dei client di rete si occupava quasi
esclusivamente di computer desktop. Questa prevedibilità semplificava la distribuzione dell'infrastruttura
di rete e di componenti hardware e applicazioni dei client, garantendo l'uniformità tra tutti i dispositivi
collegati. Tuttavia, da quando gli smartphone e i tablet hanno invaso il mondo dell'elettronica di
consumo, il panorama tecnologico è diventato più complicato. Alcuni trend come la consumerizzazione
dell'IT o il BYOD (Bring Your Own Device) hanno introdotto nelle aziende una varietà di dispositivi. Gli
amministratori devono fornire un ampio accesso alle risorse, garantendo al contempo la sicurezza.
Questa Scheda tecnica ha lo scopo di evidenziare le tendenze nell'uso di smartphone e tablet nelle reti
aziendali (Capitolo 2) e le strategie per gli amministratori che devono affrontare l'aumento dell'uso di
dispositivi mobili (Capitolo 3). Il Capitolo 4 illustra l'uso di G Data Mobile Device Management.
2. Dispositivi mobili nelle aziende
La velocità degli ambienti aziendali nell'adottare nuove tecnologie è notevolmente inferiore rispetto a
quella dei consumatori con i nuovi dispositivi. Perfino un prodotto che può essere facilmente incorporato
nei flussi di lavoro deve essere testato per evitare conflitti nell'infrastruttura aziendale, un processo che
può comportare costi e tempi elevati. Da quando Apple ha reso popolare la categoria dei dispositivi con il
lancio dei prodotti iPhone e iPad, centinaia di milioni di utenti domestici e aziendali sono rimasti
affascinati dalla combinazione di tecnologia avanzata e semplicità d'uso. Tuttavia, molte società stanno
ancora lottando per integrare correttamente questi dispositivi nell'ambiente aziendale. Il ritardo
nell'adottare le nuove tecnologie provoca spesso tensioni tra le aspettative degli utenti finali e le
funzionalità offerte dalle soluzioni aziendali distribuite attualmente. Questa discrepanza è ben illustrata
da due trend principali: consumerizzazione dell'IT e BYOD.
La cosiddetta consumerizzazione dell'IT, ossia l'influenza dei dispositivi usati privatamente nelle soluzioni
IT aziendali, è cresciuta immensamente. Gli utenti finali sono ormai abituati ad avere a disposizione,
anche in mobilità, Internet, messaggistica e posta elettronica basati sul cloud e un'enorme quantità di
app da personalizzare per l'esperienza mobile. Nonostante nessun amministratore possa negare la
comodità di questi servizi, alcuni dei vantaggi correlati contrastano con le strutture IT aziendali. La
velocità con cui vengono rilasciate nuove app per piattaforme mobili supera di molto le capacità degli
amministratori di testare singole app in merito a compatibilità e sicurezza. L'uso dei servizi cloud spesso
significa archiviare i dati su server gestiti da terzi. Anche se gli utenti si aspettano questi servizi dai loro
dispositivi, non tutte le società sono tecnicamente pronte per offrirli nel rispetto dei criteri IT aziendali.
Anche quando i dispositivi e i servizi mobili non sono distribuiti attivamente nell'ambiente aziendale, ciò
non significa che gli amministratori non abbiano a che fare con essi. Questa tendenza è detta BYOD
(Bring Your Own Device): gli utenti finali portano con sé in ufficio i propri dispositivi e pretendono di
poter usare l'infrastruttura aziendale, come l'accesso Wi-Fi e le condivisioni di rete. In modo analogo,
molte configurazioni dei server di posta consentono l'accesso remoto tramite dispositivi mobili,
indipendentemente dal fatto che questi siano o meno gestiti. BYOD spesso causa reazioni impulsive: per
essere certi che i dati sensibili non vengano intercettati o che non vengano introdotti dei programmi
Copyright © 2015 G DATA Software AG 3
G Data - Scheda tecnica #0273: Mobile Device Management
dannosi, i dispositivi mobili vengono tutti bloccati dall'infrastruttura aziendale o le funzionalità vengono
rigorosamente limitate da criteri severi.
Per quanto possa sembrare strano, è importante rendersi conto che l'uso di dispositivi mobili aziendali
non è un fenomeno solo bianco o solo nero. Può sembrare che BYOD e consumerizzazione dell'IT
destabilizzino un ambiente perfettamente organizzato, ma vi sono numerosi vantaggi nel distribuire
dispositivi aziendali o nel gestire quelli privati. L'utilizzo di una soluzione di gestione mobile può
promuovere i lati positivi dell'uso di dispositivi mobili, limitandone contemporaneamente gli effetti sulla
restante infrastruttura IT.
2.1. Vantaggi
L'integrazione di smartphone e tablet nel flusso di lavoro aziendale offre ovviamente dei vantaggi, non
importa se questi siano distribuiti centralmente o portati dai dipendenti. L'offerta di un accesso mobile
alle risorse dell'azienda può migliorare notevolmente la produttività di lavoratori e contraenti. Una
combinazione tra i controlli di accesso e la gestione dei dispositivi consente un utilizzo sicuro ed
efficiente dei propri dispositivi per accedere alle risorse aziendali quando si è fuori ufficio. Viaggiare non è
più sinonimo di mancanza di comunicazione: i dipendenti possono gestire le email, i calendari e le
notifiche.
Nell'ambito dell'usabilità, spesso i dispositivi e le applicazioni aziendali richiedono più tempo di
apprendimento, mentre la tecnologia di consumo è progettata per fornire un livello di familiarità agli
utenti finali. Ciò riduce la curva di apprendimento per i dipendenti e consente loro di abituarsi
rapidamente all'uso dei dispositivi aziendali.
Infine, in un ambiente BYOD, le aziende risparmiano poiché non devono investire notevolmente nella
distribuzione dei dispositivi. Anziché acquistare e distribuire nuovi smartphone e tablet, i dispositivi dei
dipendenti possono essere dotati di un software di gestione da installare e usare direttamente per scopi
aziendali. Anche in caso di perdita o furto del dispositivo, l'azienda non sarà più responsabile di sostituire
uno smartphone o un tablet.
2.2. Rischi
iAnche se l'adozione dei dispositivi mobili può avere
molti effetti positivi sulla produttività di un'azienda,
vi sono alcune sfide. Nello studio "2015 Global
Information Security Workforce Study" condotto
dalla (ISC)2 Foundation1, i dispositivi mobili
compaiono al quarto posto nell'elenco dei principali
problemi inerenti la sicurezza. Come i PC, i dispositivi
mobili sono soggetti al malware. In particolare,
Android e iOS sono a rischio: con una percentuale
congiunta di mercato del 96,3%2, rappresentano un
target primario per i criminali. Nel 2014 gli esperti
1
Fonte: (ISC)2 Foundation, https://www.isc2cares.org/IndustryResearch/GISWS/
2
CY14. Fonte: IDC, https://www.idc.com/getdoc.jsp?containerId=prUS25450615
Copyright © 2015 G DATA Software AG 4
G Data - Scheda tecnica #0273: Mobile Device Management
della sicurezza G Data hanno esaminato oltre 1,5 milioni di nuovi campioni di malware per Android, un
aumento del 30% rispetto al 20133. Il malware per Android è utilizzato per una varietà di scopi scellerati,
tra cui:
• rubare i dati, come email, dati di accesso e documenti riservati
• causare costi eccessivi inviando SMS a numeri di telefono di svariati servizi (esteri)
• spiare le app di online banking
• bloccare dispositivi con lo scopo di ottenere un riscatto (ransomware).
Tuttavia, il malware non è l'unica minaccia per i dispositivi mobili. Quando si naviga in Internet, i siti web
di phishing cercano di convincere l'utente a immettere i dati personali in moduli apparentemente
innocui. E perfino quando il dispositivo è sicuro, non significa che possa essere usato in modo sicuro
all'interno del contesto aziendale. Quando i dipendenti usano i dispositivi mobli per accedere a
documenti aziendali, è necessario essere certi che le informazioni sensibili non possano trapelare, né
accidentalmente (ad es. caricandoli in un servizio di
condivisione file), né intenzionalmente (minaccia
interna).
Oltre ai rischi correlati alla sicurezza, i dispositivi
mobili possono anche influenzare la produttività. È
opportuno limitare l'uso di app in modo che i
dipendenti non trascorrano troppo tempo su giochi o
altri passatempi. La gestione dei contatti può
contribuire a limitare l'uso delle funzioni di telefonia
allo stretto necessario, risparmiando tempo e costi.
I vantaggi offerti dai dispositivi mobili in un'azienda supera i rischi. Tuttavia, occorre ugualmente
attenuare questi ultimi. Una politica di gestione integrata dei dispositivi mobili può aiutare a gestire sia i
rischi per la sicurezza che i problemi di produttività e a garantire un uso sicuro ed efficiente di
smartphone e tablet.
3. Gestione dei dispositivi mobili
Per un amministratore, ignorare la consumerizzazione e il BYOD è praticamente impossibile. Gli utenti
finali continueranno a chiedere smartphone e tablet aziendali che aderiscano al tipo di usabilità a cui
sono abituati. Se questi dispositivi non sono distribuiti, essi porteranno in azienda i propri.
Considerando i vantaggi che i dispositivi mobili possono offrire per la produttività, l'obiettivo di una
gestione di tali dispositivi dovrebbe essere quello di massmizzare la produttività, garantire la sicurezza
e minimizzare i costi.
3.1. Distribuzione e amministrazione
Prima di poter gestire gli smartphone o i tablet tramite una soluzione di gestione dei dispositivi mobili,
questi devono essere distribuiti. La distribuzione comporta una singola connessione iniziale tra il
dispositivo e il server, dopo la quale il dispositivo invierà periodicamente dei report al server e potrà
3
Fonte: Rapporto sui malware di G DATA, 2° Trimestre 2014
Copyright © 2015 G DATA Software AG 5
G Data - Scheda tecnica #0273: Mobile Device Management
essere gestito in remoto. La comunicazione tra il server e il dispositivo avviene sotto forma di traffico
Internet (quando è possibile instaurare una connessione diretta al server), di messaggi push (spesso
basata su soluzioni di messaggistica cloud specifica del provider) o messaggi SMS (quando non è
disponibile nessuna connessione Internet mobile). Una connessione permanente tra il dispositivo e il
server non è necessaria: il dispositivo è in grado di adempiere ai criteri del server anche se non vi è
alcun contatto. Ossia, i dispositivi sono sempre protetti, perfino al di fuori dell'ambiente aziendale.
La distribuzione dovrebbe essere semplificata il più possibile. Prima di consegnarli ai dipendenti, i nuovi
dispositivi gestiti dall'azienda dovrebbero sempre essere dotati di funzioni di gestione. È necessario
negare ai dispositivi BYOD l'accesso alla rete e alle risorse aziendali fino a quando non saranno dotati
delle funzionalità di gestione. Opzionalmente, si potrebbe creare una rete guest per i dispositivi che
non soddisfano i requisiti o che vengono usati dai visitatori.
Per evitare un sovraccarico, gli amministratori devono scegliere una soluzione di gestione dei
dispositivi in grado di integrarsi con le strutture di gestione esistenti. Si dovrebbe evitare l'uso di più
terminali back-end. La soluzione ideale sarebbe gestire i dispositivi mobili usando lo stesso tipo di
interfaccia e di funzioni di reporting disponibili per altri tipi di dispositivi in rete, al fine di supportare
un flusso di lavoro integrato e una configurazione conforme.
Per i dispositivi BYOD è necessario considerare anche l'aspetto legale. Dato che questo tipo di dispositivi
non sono di proprietà dell'azienda, gli amministratori non hanno automaticamente il diritto di gestirli.
Specialmente i permessi, come la cancellazione in remoto, possono essere controversi. In base alla
situazione legale, le società potrebbero essere obbligate a chiedere all'utente finale il permesso per
registrare un dispositivo in un sistema di gestione dei dispositivi mobili. Si consiglia di definire un
accordo di licenza per l'utente finale (EULA) che stabilisca le azioni che l'azienda deve poter eseguire sul
dispositivo. L'utente finale può accettare o rifiutare l'accordo, ma se rifiuta l'EULA le risorse aziendali non
saranno disponibili. Anche per i dispositivi non BYOD, un EULA potrebbe essere utile.
3.2. Antifurto
Con i dispositivi mobili, aumentano i livelli di rischio per l'infrastruttura fisica e i flussi di lavoro basati sulle
informazioni. Tra i dipendenti che portano fuori ufficio file riservati e i dispositivi mobili che vengono
persi o rubati, è molto facile che informazioni confidenziali fuoriescano accidentalmente. Per essere sicuri
che le email, i documenti e altre comunicazioni aziendali non siano accessibili quando un dispositivo
viene smarrito o rubato, è possibile definire diverse misure. Innanzitutto, può essere utile provare a
recuperare il dispositivo. Si può localizzarlo usando la tecnologia GPS o attivando un allarme sonoro. Se
non esiste l'opzione per localizzare il dispositivo o se l'operazione non produce risultati utili, lo si può
bloccare per renderlo inutilizzabile. Come ultimo provvedimento, si può resettare il dispositivo con i
valori di fabbrica, cancellando tutti gli altri dati.
3.3. App
Una parte del fascino dei dispositivi mobili è la possibilità di espandere le funzionalità installando le app.
Ciò può rivelarsi estremamente utile perfino in un contesto aziendale: gli strumenti per la produzione o le
app di configurazione possono incrementare notevolmente i tipi di utilizzo di tali dispositivi. Al tempo
stesso, i dispositivi aziendali devono essere in un ambiente controllato, in modo che le app non possano
causare problemi di compatibilità, lasciar fuoriuscire informazioni sensibili o diffondere il malware. La
gestione delle app è un metodo avanzato per controllare la funzionalità di un dispositivo mobile e
Copyright © 2015 G DATA Software AG 6
G Data - Scheda tecnica #0273: Mobile Device Management
trovare un equilibrio tra sicurezza e usabilità.
Separare le app buone dalle app nocive può essere un compito impegnativo. Alcune app, come i giochi,
sono chiaramente inadatte per un ambiente aziendale. Altre possono servire ad alcuni scopi, ma anche
comportare possibili rischi per la privacy, come i servizi di archiviazione online dei file. Perfino le app che
inizialmente sembrano prive di rischi potrebbero rivelarsi in un secondo tempo compromesse, sia perché
l'app stessa contiene delle falle nella sicurezza, sia perché i suoi servizi di back-end vengono
compromessi o perché le informazioni vengono trasmesse senza sufficiente protezione. Anche la
produttività è un fattore da considerare: ad esempio, i dipendenti che hanno bisogno di uno smartphone
solo per telefonare e fissare appuntamenti avrebbero accesso solo ai componenti del telefono e del
calendario, mentre i dipendenti che lavorano sui documenti in viaggio avrebbero accesso al browser, alle
app dell'ufficio e ad altri componenti necessari.
3.4. Protezione in tempo reale e on demand
Come i client desktop e laptop, i client mobili sono vulnerabili agli attacchi online. In particolare, i
dispositivi Android con privilegi root non hanno meccanismi di protezione sufficienti contro le app
dannose provenienti da fonti sconosciute, ma perfino le app nocive che riescono a infiltrarsi negli app
store ufficiali possono comportare gravi implicazioni. In modo simile, i siti web possono provare a
introdurre del malware, sfruttare le vulnerabilità del sistema operativo o ingannare in altro modo l'utente
finale. Come con i computer desktop, i siti web di phishing cercano di persuadere gli utenti a digitare
password o altri dati sensibili. Per contrastare queste minacce, è opportuno configurare misure di
protezione per tutti i dispositivi gestiti.
La protezione in tempo reale protegge costantemente i dispositivi senza richiedere l'interazione
dell'utente e comprende tecnologie come la protezione da phishing e i controlli automatici antivirus. La
protezione on demand, invece, viene attivata solo quando avviata da un utente finale o da un
amministratore. Ad esempio, è possibile avviare manualmente un controllo antivirus per assicurarsi che
non siano state installate app nocive sul dispositivo.
Le soluzioni di protezione in tempo reale e on demand sono molto diverse in base alla piattaforma client.
Mentre i client Android sono particolarmente esposti ad app nocive, i dispositivi iOS sono più vulnerabili
a perdite di dati e attacchi di phishing. Le soluzioni di gestione dei dispositivi mobili dovrebbero essere in
grado di adattarsi in modo ottimale alla piattaforma mobile: un modulo "taglia unica" non può far fronte
al vasto numero di minacce che incombono su un dispositivo.
3.5. Gestione e filtraggio dei contatti
Per i dispositivi utilizzati in un contesto aziendale, il controllo dei flussi di comunicazione può risultare
essenziale. Se occorre impedire completamente la comunicazione, la soluzione è bloccare le app, ma in
alcuni scenari è opportuno distribuire un filtro più specifico. Anziché bloccare completamente le app
dello smartphone, se questo viene usato soltanto per la comunicazione correlata al lavoro, è possibile
filtrare le chiamate in entrata e in uscita quando non soddisfano i criteri aziendali. Ad esempio, una
società che fornisce ai propri dipendenti degli smartphone per comunicare con i dirigenti quando sono in
trasferta potrebbe bloccare tutte le telefonate ad eccezione di quelle effettuate con i contatti aziendali
approvati in precedenza.
Per la gestione dei contatti è fondamentale una rubrica gestita. È possibile sincronizzare i contatti
Copyright © 2015 G DATA Software AG 7
G Data - Scheda tecnica #0273: Mobile Device Management
memorizzati sul dispositivo con il server centrale e gli amministratori possono inoltrare via push i numeri
di telefono più recenti ai dispositivi. Come la gestione delle app, la gestione dei contatti può essere
utilizzata per singoli dispositivi, ma si combina meglio con una gestione basata su gruppi. È possibile
autorizzare o bloccare in una sola volta singoli numeri di telefono per gruppi di dispositivi o inoltrare a
tutti i dispositivi una rubrica telefonica aziendale completa.
4. Utilizzo di G Data Mobile Device Management
G Data offre un modulo per la gestione dei dispositivi mobili come parte delle sue soluzioni aziendali. G
Data AntiVirus Business, G Data Client Security Business, G Data Endpoint Protection Business e G Data
Managed Endpoint Security includono tutti il componente Mobile Device Management con il supporto di
iOS e Android. Questo componente si integra perfettamente con le altre parti delle soluzioni aziendali e
può essere gestito dalla stessa applicazione (G Data Administrator). Si tratta di un vantaggio evidente se
confrontato con le soluzioni standalone, le quali richiedono un'amministrazione separata e spesso
necessitano di una curva di apprendimento notevole.
4.1. Android
G DATA Mobile Device Management per Android viene eseguito tramite G Data Internet Security per
Android. Le funzionalità dell'app vengono gestite centralmente tramite G Data Administrator e offrono
un'intera suite di funzioni per la sicurezza e la produttività per tutti i dispositivi Android a partire dalla
versione 2.3.
4.1.1. Distribuzione e amministrazione
Il primo passo consiste nel distribuire G Data Internet Security per Android su tutti i dispositivi Android.
Per assicurarsi che solo i client di rete autorizzati possano collegarsi al server, è necessario definire una
password sul lato server prima di eseguire la distribuzione sui client. In seguito, la stessa password dovrà
essere immessa nell'app per consentirne l'autenticazione con G Data ManagementServer. Le installazioni
dei client vengono avviate tramite G Data Administrator. Il processo di distribuzione è eseguito via email.
È possibile inviare a uno o più indirizzi email un'email di attivazione contenente un link per il file di
installazione. Dopo avere scaricato il file sul client Android e avere confermato le autorizzazioni
necessarie, G Data Internet Security per Android verrà installato e potrà essere avviato dal menu delle
app di Android. La distribuzione viene completata collegando l'app Android con ManagementServer, che
si collegherà al server e scaricherà immediatamente la configurazione predefinita per la gestione dei
dispositivi mobili.
Non appena è collegato a ManagementServer, il dispositivo viene visualizzato automaticamente in G
Data Administrator. Dato che i dispositivi Android vengono mostrati come client nel normale elenco dei
client, possono essere spostati nei gruppi. Si consiglia di creare un gruppo dedicato, con sottogruppi dei
diversi tipi di accesso dei vari dispositivi (aziendale, privato o misto) per i diversi reparti che utilizzano
dispositivi Android o per altre divisioni. Ciò permette un'amministrazione efficiente e il dispositivo eredita
automaticamente le impostazioni corrette.
Copyright © 2015 G DATA Software AG 8
G Data - Scheda tecnica #0273: Mobile Device Management
Figura 1: G Data Administrator, impostazioni per Android, Criteri
Per ogni dispositivo o gruppo, è possibile definire un tipo di telefono in IMPOSTAZIONI DI ANDROID >
CRITERI. Per i dispositivi che sono stati forniti dall'azienda per il solo uso aziendale, si consiglia il tipo di
telefono AZIENDALE. Questa impostazione blocca i menu delle impostazioni lato client di Internet
Security per Android in modo che gli utenti non possano inavvertitamente modificare in remoto le
impostazioni gestite quando sono collegati alla rete aziendale. Per i dispositivi non forniti dall'azienda si
può usare il tipo di telefono PRIVATO che permette all'utente finale il pieno accesso alle impostazioni di
Internet Security per Android. Il tipo di telefono MISTO serve per i dispositivi forniti dall'azienda che
vengono utilizzati per la comunicazione sia aziendale che privata.
Alcune impostazioni di base dovrebbero essere configurate direttamente dopo la distribuzione di un
nuovo dispositivo. È necessario definire sempre un piano di aggiornamento e di sincronizzazione.
Entrambe le impostazioni dipendono dal tipo di utilizzo del dispositivo. I dispositivi che si collegano
spesso a una rete wireless (WLAN) si possono configurare in modo che i database antivirus vengano
aggiornati automaticamente e i dati sincronizzati con ManagementServer ogni paio d'ore. I dispositivi
usati prevalentemente al di fuori della rete aziendale o che si collegano a Internet usando un piano dati
mobile si possono configurare in modo che vengano aggiornati con minore frequenza, o manualmente,
o solo quando collegati via Wi-Fi. Lo stesso principio si può applicare alla sincronizzazione: è possibile
configurare impostazioni diverse per il Wi-Fi e i piani dati mobili. Se necessario, è possibile assegnare ai
dispositivi un accordo di licenza per l'utente finale. Nel rispetto delle norme, le aziende potrebbero essere
obbligate ad informare gli utenti finali che i loro dispositivi possono essere gestiti in remoto.
Copyright © 2015 G DATA Software AG 9
G Data - Scheda tecnica #0273: Mobile Device Management
4.1.2. Antifurto
È possibile attivare le misure antifurto sia automaticamente che manualmente. Alcune possono essere
configurate in modo che vengano eseguite quando accade qualcosa al dispositivo (come la sostituzione
della SIM). Altre si possono attivare inviando un comando da G Data Administrator tramite Google Cloud
Messaging. Infine, è possibile inviare i comandi via SMS.
Per abilitare tutte le misure, è necessario configurare diverse impostazioni in IMPOSTAZIONI DI ANDROID
> ANTIFURTO. Per usare i comandi via SMS è necessario immettere una password remota di
manutenzione (un codice PIN numerico). Se non definito in modo esplicito, questo funziona anche come
password di blocco schermo. È necessario impostare un numero telefonico fidato per essere certi che il
comando di reset della password remota di manutenzione non possa essere inviato da altri. Il reset della
password verrà eseguito solo se inviato dal numero di telefono fidato. Occorre infine specificare un
indirizzo email per ricevere il feedback delle azioni eseguite.
Quando un dispositivo viene smarrito o rubato, il metodo più rapido per eseguire un'azione su di esso è
l'invio di un SMS. Gli amministratori possono scegliere i singoli comandi che si possono inviare al
dispositivo. Sono disponibili le seguenti misure:
• Invio all'amministratore di un'email con i dati sulla posizione.
• Reimpostazione del dispositivo con i valori di fabbrica. Tutti i dati personali verranno
cancellati.
• Attivazione di un allarme sonoro.
• Disattivazione di tutte le suonerie, ad eccezione di quella dell'allarme sonoro.
• Abilitazione del blocco schermo usando la relativa password.
• Impostazione della password di blocco schermo.
Figura 2: G Data Administrator, impostazioni per Android, Antifurto
Copyright © 2015 G DATA Software AG 1
0
G Data - Scheda tecnica #0273: Mobile Device Management
Se un dispositivo viene rubato, spesso la scheda SIM viene rimossa per evitare che il legittimo
proprietario possa contattare il dispositivo tramite il numero di telefono. Ciò significa che i messaggi SMS
non verranno recapitati al dispositivo. Come contromisura, è possibile definire alcune azioni che vengono
attivate automaticamente in caso di sostituzione della SIM. È possibile abilitare il blocco schermo,
rendendo così il dispositivo inaccessibile, e localizzare il dispositivo. Oltre alle misure basate sulla SIM e
sugli SMS, G Data Administrator è in grado di avviare diverse azioni. Non è necessario che il dispositivo sia
collegato alla rete di ManagementServer: viene utilizzato Google Cloud Messaging, un servizio online di
Google che permette di inviare comandi ai dispositivi Android4.
Dato che le azioni antifurto possono compromettere gravemente l'uso del telefono (ad esempio
cancellandone i dati), è opportuno informare l'utente finale tramite l'EULA.
4.1.3. App
G Data Mobile Device Management per Android offre svariate possibilità di gestione delle app. Per prima
cosa, può servire per redigere un inventario delle app usate dai dispositivi mobili in rete. Ogni app
installata viene elencata con nome, versione e dimensioni. È opportuno che gli amministratori ottengano
per ciascuna app le informazioni su fornitore, funzioni e cronologia di versione, ovviamente se le fonti di
informazione sono disponibili. Per molte app sono reperibili sufficienti dettagli negli app store ufficiali,
per altre può essere necessario cercare la pagina Home del fornitore. In base a queste informazioni e
all'uso previsto del dispositivo (a seconda del gruppo e tipo di dispositivo e dell'area di rete), è possibile
aggiungere le app a una lista bianca o a una lista nera, che consente di bloccare le app elencate. Usando
la password definita, viene bloccata l'esecuzione delle app.
Figura 3: G Data Administrator, impostazioni per Android, App
4
È necessario disporre di un account Google Cloud Messaging che può essere registrato gratuitamente con Google in
https://code.google.com/apis/console/.
Copyright © 2015 G DATA Software AG 1
1
G Data - Scheda tecnica #0273: Mobile Device Management
La scelta di usare una Blacklist o una Whitelist dipende dai limiti di blocco imposti al dispositivo. Quando
si usa la gestione app in modalità Blacklist, essa può essere configurata per dispositivi multiuso sui quali
l'utente finale sarà in grado di installare nuove app senza un'approvazione preventiva.
Fondamentalmente, il rischio è che tutte le app possono essere installate ed eseguite. Solo quando un
amministratore le blocca, agli utenti verrà proibito l'accesso. Un metodo più sicuro ma più restrittivo è la
Whitelist: nessuna app può essere usata se non è stata aggiunta alla Whitelist. Questa modalità è
particolarmente utile nel caso in cui un dispositivo sia configurato per un singolo utilizzo. Gli
amministratori possono preinstallare le app necessarie, elencarle nella Whitelist e rifiutare l'accesso a
tutte le altre.
Se l'obiettivo è quello di bloccare solo alcune note app dannose, consentendo all'utente una relativa
libertà, l'approccio con una Blacklist è quello adatto. Infine, l'app Impostazioni di Android e Internet
Security devono essere anch'esse protette da password al fine di evitare interventi da parte dell'utente
finale nelle impostazioni. Se si inserisce nella Blacklist l'app store ufficiale, si è certi che nessun'altra app
potrà essere installata. Per avere il totale controllo sulle app di un dispositivo, l'approccio con la Whitelist
è l'opzione più affidabile. Le app nella Whitelist si possono usare senza limitazioni, ma le altre app
verranno bloccate. Questa è l'impostazione più utile per i dispositivi configurati per la massima sicurezza
o per un singolo flusso di lavoro. Ad esempio, un dispositivo che deve essere usato solo dai
rappresentanti di vendita può essere in modalità Whitelist e consentire l'uso solo del componente
telefono e del front-end del database vendite.
Copyright © 2015 G DATA Software AG 1
2
G Data - Scheda tecnica #0273: Mobile Device Management
4.1.4. Protezione in tempo reale e on demand
La protezione dal malware in tempo reale è disponibile tramite i moduli PROTEZIONE WEB e CONTROLLO
ANTIVIRUS. Inoltre, tramite la scheda CRITERI, è possibile limitare ulteriormente le funzionalità di G Data
Administrator.
Figura 4: G Data Internet Security per Android, Sicurezza, Scansione antivirus
La Protezione Web fornisce la protezione in tempo reale tramite il browser Android. Dato che la
protezione Web può produrre una piccola quantità di traffico dati, può essere configurata in modo che
funzioni solo quando il dispositivo è collegato via Wi-Fi. La scansione antivirus controlla l'eventuale
presenza di malware nelle app scaricate e ne blocca l'installazione, se individuate come pericolose.
La protezione dal malware on demand è disponibile sotto forma di controllo antivirus completo per
l'intero dispositivo. È opportuno eseguire un controllo periodico di tutte le applicazioni per assicurarsi
che non vi siano malware rimasti nei supporti di archiviazione (come la scheda SD). In base alla frequenza
con cui il dispositivo viene usato e vengono installati e salvati nuovi programmi, è possibile impostare
l'intervallo su 1 giorno, 3, 7, 14 o 30 giorni. Nella maggior parte dei casi, si consiglia di eseguire una
scansione giornaliera: la scansione non deve causare rallentamenti rilevanti e deve fornire la massima
protezione. Per assicurarsi che la scansione antivirus non consumi la batteria del dispositivo, è possibile
configurarla in modo che venga eseguita solo quando il dispositivo è in carica.
Per i dispositivi Android, i pericoli maggiori provengono dai dispositivi con privilegi root. Se l'utente
finale ha l'accesso di root al dispositivo, qualunque misura di sicurezza a livello di sistema operativo e di
app può essere facilmente aggirata e se il malware riesce a infettare il dispositivo, ottiene virtualmente
l'accesso illimitato alle funzioni del sistema operativo. Perciò, per mantenere il controllo sui dispositivi
Copyright © 2015 G DATA Software AG 1
3
G Data - Scheda tecnica #0273: Mobile Device Management
mobili gestiti, si raccomanda di utilizzare la scheda CRITERI per rifiutare l'accesso alla rete ai dispositivi
con privilegi root. Inoltre, l'amministratore può abilitare o disabilitare l'accesso alla videocamera (per i
dispositivi con Android 4.0 o versione successiva) e/o utilizzare la crittografia per proteggere i dati
archiviati sul dispositivo.
4.1.5. Gestione e filtraggio dei contatti
Per gestire i contatti nei dispositivi Android si può usare la rubrica telefonica aziendale. Anche senza
applicare dei filtri, bloccare la rubrica incorporata nel dispositivo e inserire la rubrica telefonica aziendale
in Internet Security per Android può essere un metodo efficace per garantire il controllo delle
informazioni sui contatti. Insieme al modulo filtro delle chiamate, offre ampie possibilità di gestione e
filtraggio dei contatti.
Figura 5: G Data Administrator, impostazioni per Android, Filtro chiamate
La base di tutte le funzionalità è il database dei contatti. Funziona come snodo centrale per tutti i contatti
aziendali e permette di creare rubriche telefoniche per diversi dispositivi, chiamate mirate e filtri per SMS.
Per le organizzazioni con un numero limitato di contatti, o per piccole rubriche telefoniche gestite,
l'inserimento manuale dei contatti è un metodo pratico per popolare rapidamente il database dei
contatti. Se la rete utilizza Active Directory, è possibile importare i contatti. Una volta definiti tutti i
contatti, è possibile distribuirli ai dispositivi appropriati. Ad esempio, è possibile fornire a tutti i dispositivi
un elenco completo degli interni diretti dei colleghi. In alternativa, in combinazione con un blocco di app
della rubrica standard e l'uso di un filtro chiamate, è possibile consentire a gruppi di dispositivi l'accesso
solo a determinati numeri telefonici distribuiti esplicitamente nella rubrica del telefono.
Si può usare il filtro chiamate anche per un filtraggio più ampio della comunicazione in entrata e in uscita.
Funziona come filtro sulla rubrica telefonica incorporata. Anziché bloccare completamente l'app della
rubrica di Android, il filtro permette un controllo dettagliato sui flussi di comunicazione. Ad esempio, se si
Copyright © 2015 G DATA Software AG 1
4
G Data - Scheda tecnica #0273: Mobile Device Management
abilita la modalità Whitelist, non saranno consentite chiamate né in entrata, né in uscita, a parte per quei
numeri aggiunti alla Whitelist. In modalità Blacklist, la comunicazione è generalmente consentita, ma è
possibile bloccare numeri specifici. Un filtro aggiuntivo permette la comunicazione con i contatti della
rubrica di Android e Internet Security, bloccando tutti gli altri (ad eccezione dei contatti inclusi nella
Whitelist).
4.2. iOS
G Data Mobile Device Management per iOS è stato progettato come soluzione agentless per iOS 7.0 e
versioni superiori. Con G Data Administrator è possibile distribuire i profili di criteri a uno o più dispositivi
iOS. Ciò permette agli amministratori di gestire in maniera flessibile i dispositivi, pur mantenendo la
massima influenza sul loro utilizzo.
4.2.1. Distribuzione e amministrazione
Le distribuzioni di client iOS si possono avviare da G Data Administrator. Il processo di distribuzione è
eseguito via email. Nell'area di gestione dei client, selezionare un nodo in MOBILE DEVICE MANAGEMENT
PER IOS, fare clic sul pulsante INVIA LINK DI INSTALLAZIONE AI CLIENT MOBILI nella barra degli strumenti
e inserire un elenco di indirizzi email. Per personalizzare l'aspetto della richiesta MDM sul dispositivo, è
possibile specificare alcuni parametri. Nella richiesta MDM verranno visualizzati NOME, DESCRIZIONE e
ORGANIZZAZIONE, come pure in seguito nella scheda GENERALI delle IMPOSTAZIONI DI IOS. È possibile
usare L'ACCORDO DI LICENZA PER L'UTENTE FINALE per informare l'utente finale sul fatto che il
dispositivo verrà gestito in remoto.
Quando l'utente apre il link dall'email di installazione in un dispositivo iOS, il dispositivo verrà
immediatamente visualizzato in G Data Administrator (con lo STATO DI PROTEZIONE nella scheda CLIENT
che ne indica lo stato in attesa). Non appena l'utente finale accetta la richiesta MDM, sarà possibile gestire
completamente il dispositivo iOS tramite G Data Administrator.
Quando un dispositivo iOS viene selezionato in G Data Administrator, diventa disponibile una serie di
moduli MDM per iOS. La scheda CLIENT (IOS) mostra un riepilogo di tutti i dispositivi iOS gestiti. Per
ciascun client sono visualizzate diverse proprietà specifiche del dispositivo, come il numero IMEI, la
versione di iOS e il nome del prodotto. La colonna STATO PROTEZIONE fornisce degli avvisi per i
dispositivi privi di un profilo criteri, nonché allarmi sullo stato delle installazioni MDM. Tramite il modulo
IMPOSTAZIONI DI IOS, gli amministratori possono configurare misure antifurto (vedere il Capitolo 4.2.2),
nonché profili di criteri (vedere il Capitolo 4.2.3). È possibile usare il modulo REPORT (IOS) per registrare lo
stato dei vari messaggi push, il principale metodo di comunicazione tra G Data ActionCenter e i
dispositivi iOS. I report includono lo stato di distribuzione dei profili e le conferme della funzione
antifurto.
4.2.2. Antifurto
Quando un dispositivo viene smarrito o rubato, la prima cosa da fare è assicurarsi che nessuno possa
accedere ai dati sul dispositivo. In seguito, si può localizzare il dispositivo usando il GPS (per trovare e
recuperare il dispositivo) o usare una misura più drastica, ossia cancellarlo (nel caso sia impossibile
localizzarlo e recuperarlo). Agli utenti registrati in iCloud, Apple offre la funzione Trova il mio iPhone che
permette di accedere a un sito web dedicato e bloccare, seguire o cancellare un dispositivo.
Copyright © 2015 G DATA Software AG 1
5
G Data - Scheda tecnica #0273: Mobile Device Management
Figura 6: G Data Administrator, impostazioni per iOS, Antifurto
Come alternativa alla funzione Trova il mio iPhone, il modulo IMPOSTAZIONI DI IOS permette agli
amministratori di attivare alcune funzioni antifurto nella scheda ANTIFURTO senza la necessità di
collegarsi a un sito web esterno. Per attivare le funzioni di blocco e reset, selezionare la relativa opzione e
fare clic su ESEGUI FUNZIONE. Per i dispositivi rimasti bloccati a causa di un codice di accesso
sconosciuto, usare l'opzione RIMUOVI CODICE.
4.2.3. Gestione di app, protezione e contatti
Diversamente dai dispositivi Android, iOS ha un concetto di gestione unificata della sicurezza che
permette agli amministratori di consolidare le impostazioni di protezione coprendo un vasto numero di
moduli in un solo profilo. Questi profili possono essere in seguito applicati a più dispositivi, riducendo il
tempo necessario per proteggere tutti i dispositivi iOS in rete. G Data Administrator dispone della scheda
PROFILI per creare e modificare i profili.
Ogni profilo può contenere fino a cinque criteri, ciascuno dei quali si occupa di un tipo specifico di
impostazioni per la sicurezza:
• RESTRIZIONI DELLA FUNZIONALITÀ: limita l'uso di iCloud, garantisce l'uso sicuro della
schermata di blocco, controlla molte altre funzioni.
• IMPOSTAZIONI CODICE: impone gli standard per l'uso dei codici di accesso, come numero
minimo di caratteri complessi, lunghezza minima e intervallo dopo il blocco del dispositivo.
• RESTRIZIONI PER LE APP: blocca o consente Safari (incluse le funzioni come cookie, pop-up e
JavaScript) e iTunes Store.
• RESTRIZIONI PER I CONTENUTI MULTIMEDIALI: determina quali tipi di contenuti
multimediali sono permessi (app, filmati, programmi TV).
• WI-FI: inserisce le informazioni sulla rete Wi-Fi, permettendo ai dispositivi iOS di collegarsi
automaticamente a una specifica rete Wi-Fi.
Copyright © 2015 G DATA Software AG 1
6
G Data - Scheda tecnica #0273: Mobile Device Management
Figura 7: G Data Administrator, impostazioni per iOS, Profili
Dato che Apple permette agli utenti di rimuovere in qualsiasi momento i profili MDM dai loro dispositivi,
è opportuno che gli amministratori creino un profilo di sicurezza con obbligo di non rimuovere MDM. Si
consiglia di aggiungere il criterio Wi-Fi ad ogni profilo per consentire ai dispositivi di connettersi alla rete
Wi-Fi (protetta) specificata. Quando un utente finale tenta di eludere parti del criterio per la sicurezza,
rimuovendo il profilo MDM da un dispositivo iOS, l'accesso Wi-Fi viene automaticamente eliminato,
limitando gravemente l'accesso del dispositivo alle risorse aziendali. In questo modo i dispositivi non
sicuri non possono accedere a condivisioni di rete sensibili o ad altri dati riservati.
Copyright © 2015 G DATA Software AG 1
7Puoi anche leggere
