APP e cybercrime, come comportarsi

Secondo l’ultima indagine di Forrester sullo stato della sicurezza delle applicazioni mobili, The State of application security 2018, gli sviluppatori danno priorità alla velocità di rilascio, anziché alla robustezza del software.
Il software diventa, quindi, bersaglio del cybercrime e una fonte di pericolo per le aziende, implicano per l’azienda responsabilità ben precise in base alle varie normative per la protezione della privacy.

Seguendo il flusso di pensieri dell’analisti di Forrester, solo con l’incorporazione dei tool di SCA o di static application security testing (SAST) negli strumenti e nei processi di sviluppo si avrà un evidente miglioramento della sicurezza delle applicazioni.

Recenti scoperte sulla sicurezza indicano che i principali siti web delle aziende non superano i test di conformità PCI DSS, mentre il backend delle app mobile hanno problemi di privacy o gravi errori di configurazione legati alla crittografia e all’insufficiente rafforzamento della sicurezza dei server web.

Gli 8 passi per la sicurezza delle applicazioni mobile

Le soluzioni MDM (Mobile Device Management) ed EMM (Enterprise Mobility Management) sono efficaci contro le minacce convenzionali, ma non necessariamente riescono a rilevare malware di recente creazione o attacchi zero-day né a riconoscere quando è in corso un attacco

Alle aziende che hanno come obiettivo garantire la sicurezza applicazioni mobile, SANS Institute (l’organizzazione dedita a fornire educazione informatica e addestramento in materia di sicurezza informatica) raccomanda otto passi: i “Top 8 Steps for Effective Mobile Security”

  1. rendere obbligatoria l’autenticazione dell’utente sul dispositivo;
  2. monitorare l’accesso e l’uso del dispositivo;
  3. garantire l’applicazione delle patch;
  4. proibire l’accesso gli application-store di terze parti non controllate;
  5. controllare l’accesso fisico;
  6. dimostrare la compliance al GDPR, dell’applicazione ai criteri di security;
  7. prepararsi a gestire gli incidenti; dispositivi persi o rubati;
  8. implementare il supporto di gestione e operativo.

Educare i dipendenti a seguire semplici procedure di sicurezza (evitare di cliccare sui link, utilizzare codici di accesso sicuri, comprendere il rischio che comporta accedere a reti Wi-Fi pubbliche e app store non approvati) fa la differenza. È anche importante imparare a riconoscere attività che potrebbero suggerire un attacco mobile e stabilire se i sistemi già esistenti in azienda siano in grado di fare intelligence delle minacce.