“Gartner Security and Risk Management Summit” Dubai (15-16 September 2014).
Una particolare attenzione alle applicazioni mobili, durante il Gartner Summit 2014 App e Sicurezza sotto esame: nel 2015, ltre il 75% delle applicazioni mobili, che hanno accesso ai dati aziendali non supererà i test sugli standard minimi di sicurezza. Le ricerche confermano le gravi falle nella sicurezza: poichè i dipendenti continuano a scaricare Mobile App che possono accedere a risorse aziendali oltre ad eseguire attività senza che ci sia una garanzia sulla loro sicurezza, espongono l’azienda a gravi violazioni ed attacchi, che chiaramente si trasformano in danni economici elevati.
“Le aziende che abbracciano il mobile computing e strategie BYOD sono vulnerabili alle violazioni della sicurezza a meno che non adottano metodi e tecnologie per i test di sicurezza delle applicazioni mobili e la garanzia di rischio”, sostiene Dionisio Zumerle, principal research analyst di Gartner. “La maggior parte delle imprese sono inesperte in sicurezza delle applicazioni mobili. Anche quando è intrapreso un test di sicurezza delle applicazioni, viene spesso fatto casualmente da sviluppatori che sono per lo più interessati alla funzionalità delle applicazioni, non la loro sicurezza. “
Per Gartner nonostante i test di sicurezza statici e mobili come i DAST e SAST stiano includendo le app. mobili e nonostante stiano prendendo piede nuovi sistemi di analisi delle app, vi è oggi un minimo utilizzo di questi sistemi di controllo. La tecnologia di controllo monitora un’applicazione in esecuzione per rilevare comportamenti dannosi e/o rischiosi creati in background da un’applicazione in background. Un esempio: quando un’applicazione audio suona musica accede contemporaneamente anche ai contatti o alla geolocalizzazione e trasmette tali dati ad un certo indirizzo IP esterno. Il test del livello client – il codice e l’interfaccia utente grafica (GUI) – dell’applicazione che gira sul dispositivo mobile non è sufficiente. Deve essere testato anche lo strato server. I client mobili comunicano con i server per accedere alle applicazioni e ai database di un’impresa. La mancata protezione di un server comporta il rischio di perdere i dati di centinaia di migliaia di utenti contenuti nelle banche dati dell’impresa. Codice e interfacce utente di queste applicazioni lato server dovrebbero quindi essere testati con tecnologie SAST e DAST.
Nell’era digitale il mobile computing è d’obbligo, ma è anche possibile proteggere il patrimonio informativo aziendale.
“Gli utenti dovrebbero scaricare e utilizzare solo le applicazioni che hanno superato con successo i test di sicurezza condotti da fornitori di test di sicurezza delle applicazioni specializzate.”
Gartner prevede che entro il 2017, le violazioni endpoint si sposteranno su tablet e smartphone – oggi si verificano tre attacchi ai dispositivi mobili per ogni attacco a un desktop. Le caratteristiche di sicurezza che i dispositivi mobili offrono oggi non saranno sufficienti a mantenere le violazioni al minimo.
Gartner raccomanda che le imprese si concentrino sulla protezione dei dati sui dispositivi mobili attraverso soluzioni utilizzabili ed efficienti.