Briciole di pane



Sicurezza e Internet of Things: intervista a Mike Zachman di Zebra Technologies

Sicurezza e Internet of Things: intervista a Mike Zachman di Zebra Technologies

04 Marzo 2020

Constatata la crescente adozione dei casi d'uso e delle strumentazioni dell'IoT (Internet of Things) nelle aziende, vi è una crescente pressione per riunire sicurezza IT, sicurezza fisica e sicurezza dei processi della supply chain; LANline ha parlato di questo problema con Mike Zachman, Chief Security Officer (CSO) di Zebra Technologies.

LANline: Signor Zachman, come fa Zebra a garantire che la sicurezza?

Mike Zachman: seguiamo un approccio basato sul rischio, un quadro di gestione del rischio costituisce la base per il ciclo di vita del prodotto. La raccolta dei requisiti di progettazione include quindi una valutazione del rischio. A seconda del risultato, integriamo i meccanismi di controllo di sicurezza appropriati, ad esempio per Ubuntu o CentOS, app Web e connessioni, inclusa la connessione al nostro motore di analisi o controlli API. Utilizziamo Google Cloud Platform per il motore di analisi, quindi esistono controlli su Kubernetes e MongoDB. La divisione del lavoro: forniamo ai team di sviluppo un framework con controlli di sicurezza e convalidano il funzionamento di questi controlli, ad esempio utilizzando l'analisi del codice statico o strumenti di scansione dinamica. Gli sviluppatori devono presentare una scansione pulita prima che il processo di produzione possa continuare. A seconda del prodotto, anche i test di penetrazione oggettiva - test black box, whitebox o greybox - fanno parte del processo.

LANline: la sicurezza dei prodotti dei dispositivi inizia sempre con la fabbricazione dei componenti. Come evitare le carenze di sicurezza nella supply chain?

Mike Zachman: Abbiamo requisiti simili anche per i nostri fornitori, ma non diciamo loro in dettaglio come dovrebbero essere implementati. Non appena i componenti arrivano alla nostra azienda, li sottoponiamo a un test. Esistono anche misure preventive come requisiti contrattuali legali. Ad esempio, obblighiamo alcuni fornitori ad avere camere bianche, ovvero luoghi in cui vengono prodotti solo componenti Zebra. Naturalmente sottoponiamo i fornitori a un'analisi dei rischi e abbiamo il diritto di eseguire valutazioni in loco mediante contratto.

LANline: un dispositivo sicuro è di scarso aiuto se implementato in modo non sicuro. Cosa fate per garantire la sicurezza dei dispositivi anche dopo che sono stati consegnati?

Mike Zachman: Forniamo i nostri prodotti pronti per l'uso. Forniamo anche istruzioni sulle best practice su come gli utenti possono proteggere al meglio i dispositivi, ad esempio cambiando regolarmente le password. Tuttavia, non forziamo la modifica della password: i clienti dovrebbero essere in grado di decidere autonomamente quali meccanismi di sicurezza sono più adatti a loro. Con scanner e stampanti, ad esempio, i clienti devono decidere se utilizzare le credenziali preimpostate. Utilizziamo l'approccio di installazione zero-touch di Google per i nostri dispositivi portatili basati su Android. Le iscrizioni vengono quindi generalmente effettuate tramite il sistema EMM del cliente, vale a dire con le linee guida dell'applicazione centralizzata. Nel caso dei dispositivi Android, garantiamo anche patch fino a tre anni oltre il supporto di Google per i dispositivi consumer con il nostro programma LifeGuard. Ciò consente cicli di vita del prodotto fino a dieci anni.

LANline: Quale aiuto offrite ai vostri clienti per quanto riguarda l'uso più sicuro possibile dei dispositivi?

Mike Zachman: Spieghiamo agli acquirenti di dispositivi mobili quali linee guida EMM hanno senso per i nostri dispositivi. Nel caso delle stampanti, spieghiamo come limitare la "superficie" di attacco, ad esempio disattivando i servizi non richiesti, come il Bluetooth, e non esponendo direttamente i dispositivi a Internet.

LANline: utilizzate anche assistenti software per guidare e supportare l'utente nella configurazione dei dispositivi?

Mike Zachman: una procedura guidata di valutazione della sicurezza della stampante è disponibile per i nostri modelli. L'app analizza oltre 30 impostazioni della stampante e visualizza lo stato di sicurezza come un semaforo a colori. Ad esempio, l'app avvisa quando il Bluetooth è in modalità di trasmissione continua, poiché ciò potrebbe rappresentare un rischio.

LANline: utilizzate solo risorse interne per le vostre misure di sicurezza o utilizzate anche competenze di sicurezza esterne?

Mike Zachman: In effetti, abbiamo rapporti con società di consulenza di sicurezza esterne per fornire una valutazione obiettiva. Inoltre, sarebbe difficile mantenere tali conoscenze altamente specializzate aggiornate esclusivamente internamente. Inoltre, collaboriamo a stretto contatto con i nostri fornitori come Google o Qualcomm al fine di raggiungere il massimo livello possibile di sicurezza.

LANline: Come è noto, il livello di sicurezza di un'azienda dipende sempre dal comportamento attento alla sicurezza dei propri dipendenti. In che misura utilizzi programmi di sensibilizzazione sulla sicurezza per ridurre al minimo i rischi legati al fattore umano?

Mike Zachman: Gli umani sono i meccanismi di difesa migliori e peggiori, perché bisogna sempre aggiornare la consapevolezza della sicurezza dei dipendenti. Pertanto, utilizziamo un approccio multicanale per il nostro programma di sensibilizzazione sulla sicurezza interno. Forniamo ai nostri dipendenti informazioni rilevanti per la sicurezza durante tutto l'anno, con gli argomenti che cambiano: a volte password, a volte phishing, ecc. Visitiamo regolarmente le nostre sedi per una formazione personale in loco. Offriamo formazione online obbligatoria e ci sono test di phishing interni trimestrali. Non solo registriamo il numero di dipendenti coinvolti nel phishing, ma misuriamo anche la "resilienza al phishing" della forza lavoro, ovvero la rapidità con cui i dipendenti segnalano potenziali attacchi di phishing. Manteniamo tali programmi in tutto il mondo. In Germania, ad esempio, abbiamo dovuto prima coordinarci intensamente con il comitato aziendale sul tema della formazione alla consapevolezza. Ma ne è valsa la pena.

Intervista tratta da:
LANline

Topic:
Data Intelligence

 

Multimac Srl  -   800 593 293  -   info@multimac.it  -   P.Iva 01281830289  -   Company info  -   Privacy  -   Sitemap  -   Copyright © 2020. All rights reserved.

Login

Per poter acquistare i prodotti su multimac.it è necessario accedere con la propria email e password.

Accedi

Password dimenticata?
Non possiedi i dati di accesso? Registrati

Chiudi

Richiesta prezzo speciale
per progetto

» Leggi l'informativa sulla privacy Invia richiesta
Chiudi