Skip To Content

Linee guida per l'implementazione mobile

L'utilizzo del sistema GIS mobile offre flessibilità e fornisce funzionalità vantaggiose nell'ambito di un sistema GIS aziendale. La sicurezza gioca un ruolo importante nel garantire che venga mantenuta la riservatezza, l'integrità e la disponibilità dei dati in un ambiente mobile in evoluzione. In questo documento sono riportate alcune procedure consigliate per mitigare i rischi specifici dei dispositivi mobili nell'ambito di un sistema GIS aziendale.

Di seguito sono riportate le raccomandazioni e le funzionalità generali per la sicurezza dei dispositivi mobili che consentono di migliorare il livello di sicurezza di una distribuzione mobile. Per un elenco completo dei rischi dei dispositivi mobili e le relative strategie di riduzione, consultare OWASP Mobile Top 10.

Una soluzione aziendale Mobile Device Management (MDM) è un ottimo punto di partenza per proteggere i dispositivi mobili. MDM consiste nell'amministrazione dei dispositivi mobili in un'organizzazione. Questo concetto viene in genere applicato tramite un software che consente la centralizzazione e l'ottimizzazione delle funzionalità e la gestione della sicurezza per i dispositivi mobili. Il software solitamente include un componente server che invia comandi di gestione ai dispositivi mobili che dispongono di un componente client per ricevere ed eseguire i comandi di gestione.

Una soluzione MDM tipicamente include le seguenti funzionalità:

  • Monitoraggio, reboot e crittografia del dispositivo
  • Applicazione delle politiche di password, reimpostazione della password
  • Impostazioni WiFi/configurazioni di reti private virtuali (VPN) predefinite
  • Funzioni di rimozione blocco e pulizia
  • Applicazione delle impostazioni di backup
  • Rilevamento jailbreak

Il Mobile Application Management (MAM) fornisce un ulteriore livello di sicurezza per i dispositivi mobili; è l'uso di software e servizi che forniscono e controllano l'accesso delle singole app sui dispositivi. Ciò consente agli amministratori di avere un controllo più granulare a livello di applicazione per gestire e proteggere i dati delle app. Una soluzione software MDM può includere funzioni MAM come parte delle sue funzionalità.

Esri ha osservato che le offerte MAM incentrate su MDM che richiedono la riprogettazione dell'app con il MDM Software Developement Kit (SDK) tipicamente non funzionano bene. Esri ha alcuni clienti che utilizzano offerte MAM che non richiedono l'incorporazione di un SDK MDM. Esri fornirà supporto per le versioni rilasciate nello store, indicate solamente nel supporto del ciclo di vita del prodotto.

Per informazioni più dettagliate, il team di sicurezza e privacy di Esri ha rilasciato un documento tecnico intitolato Modello di implementazione mobile ArcGIS Secure per poter guidare i gestori IT e gli amministratori GIS nell’installazione di un GIS aziendale con un componente sul campo mobile.

Autenticazione

L'autenticazione implica la verifica delle credenziali durante un tentativo di connessione per confermare l'identità del client. Per accedere ai servizi GIS è attivata la garanzia dell'autenticazione. In modo specifico per i dispositivi mobili, esistono diverse possibili opzioni in base alle funzionalità disponibili nell'azienda, ad esempio se è presente un gateway di sicurezza o se una rete VPN (virtual private network) può essere utilizzata da dispositivi mobili. Queste opzioni includono quanto segue:

  • Integrated Windows Authentication (IWA): utilizzo di Kerberos (o, nel caso in cui non sia disponibile, di NTLM), che fornisce un'esperienza single sign-on in un ambiente basato su Windows.
  • Autenticazione basata su token: utilizzo di token ArcGIS, che consente l'autenticazione in tutta ArcGIS.
  • Specifica dell'organizzazione utilizzando SAML 2.0 o OpenID Connect: ArcGIS Online o ArcGIS Enterprise consente ai clienti di utilizzare SAML 2.0 o OpenID Connect per fornire un'esperienza sigle sign-on sul Web.

Autorizzazione

L'autorizzazione è la procedura tramite la quale le autorizzazioni client vengono verificate prima dell'accesso a una risorsa o dell'esecuzione di una funzione specifica. I privilegi dovranno essere assegnati agli utenti in base al ruolo e al principio del numero minimo di privilegi. Per quanto riguarda i dispositivi mobili ciò può avvenire a livelli diversi:

  • Gestendo in modo appropriato l'autorizzazione all'interno dei ruoli disponibili in ArcGIS, ad esempio amministratore, editore e utente.
  • A livello EMM, utilizzando l'autorizzazione e il provisioning a livello di applicazioni.

Crittografia

La crittografia è il processo di trasformazione dei dati per renderli illeggibili da coloro che non hanno accesso a una chiave per decrittografarli.

  • Crittografare i dati in transito tramite HTTPS in tutto il sistema GIS aziendale.
  • Crittografare i dati statici sul dispositivo mobile. Ciò può essere applicato tecnicamente utilizzando:

Registrazione e controllo

La registrazione implica la conservazione di record di eventi di interesse provenienti da un sistema. Il controllo consiste nell'esaminare i registri per verificare che il sistema funzioni adeguatamente oppure per rispondere a una domanda su una particolare transazione che ha avuto luogo. La registrazione e il controllo possono essere agevolati ai seguenti livelli per quanto riguarda le soluzioni mobili:

  • A livello di dispositivo, nella modalità agevolata dalla soluzione Enterprise Mobility Management
  • A livello di applicazione, tramite la registrazione di transazioni specifiche dell'utente

Questi risultati dovranno essere integrati in una soluzione aziendale Security Information and Event Management (SIEM) per agevolare la correlazione automatica dei dati del registro al fine di consentire il rilevamento di attività malintenzionate.

Protezione avanzata

Protezione avanzata è il processo di configurazione protetta dei sistemi per mitigare il maggior numero di rischi alla sicurezza. La superficie di attacco può essere ridotta per le distribuzioni mobili tramite:

  • Protezione avanzata degli endpoint server
    • Utilizzo di una soluzione Mobile Application Management (MAM) per limitare le applicazioni.
    • La sicurezza del server è considerato il rischio principale per le applicazioni mobili in base a quanto stabilito in OWASP Mobile Top 10.
    • Attenersi alle raccomandazioni standard per la sicurezza del server che si allineano alle migliori pratiche di settore.