Il 17 Aprile ZeroUno ha organizzato, con il patrocinio di CLUSIT, una serata dal titolo “Azienda aperta, mobile e collaborativa: come garantire la sicurezza?” La serata è stata senz’altro interessante (anche la cena 😉 ), nonostante alcuni degli interventi fossero purtroppo abbastanza fuori tema. La serata mi ha permesso di mettere a fuoco uno dei motivi della mia attuale “antipatia” per palmari, smartphone e compagnia. Il primo motivo è che si tratta per la quasi totalità di sistemi chiusi, non solo nel senso del codice e dei protocolli, ma anche nella possibilità di esaminare semplicemente cosa c’è installato in termini di file. Una tale mancanza di controllo su un apparato su cui metto i miei dati mi disturba profondamente. Tuttavia, la riflessione che deriva dalla serata organizzata da ZeroUno è legata all’amministrazione dell’apparato. Nessun cellulare o smartphone che io conosca implementa una distinzione fra utente e amministratore. Da un punto di vista aziendale, questo vuole dire che l’utente ha accesso alla configurazione dell’apparato, e l’azienda non è in grado di controllarlo. Si ripropongono quindi i problemi di utenti che installano software non fidato, e in particolare il rischio che vengano installati trojan horse e simili, nonché tutti i problemi dei quali cominciavamo a liberarci sui PC aziendali. Ci sono voluti anni, in pratica la diffusione di Windows XP, perché la distinzione fra utente e amministratore fosse disponibile sui PC comunemente utilizzati, ed altri anni perché un numero significativo di aziende cominciasse ad approfittare di questa possibilità. Ora, soprattutto gli utenti più critici cominciano a portare i loro dati in apparati che non solo sono nuovamente fuori controllo, ma hanno anche una connettività enormemente più sviluppata e “trasparente” dei sistemi desktop. E siamo solo all’inizio: una serie di apparati nati inizialmente per scopi domestici/ludici o simili, nati quindi come al solito senza alcuna attenzione alla sicurezza, si stanno diffondendo in contesti più critici: un esempio importante sono i vari lettori multimediali portatili, la cui capacità di memoria è una tentazione troppo grande per chi deve portarsi dietro dei dati.
La mia impressione è che i rischi per l’utente mobile, più che dalla connettività, derivino da questa mancanza di controllo sugli apparati: se gli apparati fossero controllati, probabilmente il tipo di connettività che hanno non dovrebbe preoccupare più di quella di un normale PC. Non resta che aspettare: prima o poi anche su questi apparati ci sarà una separazione fra configurazione e utilizzo (in fondo, si tratta di una password in più). Ma temo che nel frattempo sarà venuto fuori qualche altro apparato con cui ripetere da capo tutti i soliti errori.
