I dispositivi mobili sono strumenti di lavoro insostituibili. Creare un Enterprise App Store è una soluzione che si rivela salvifica sotto i profili della privacy, della cybersecurity e, più in generale, della governance.

La creazione di un Enterprise App Store (AES) non è proibitiva e, grazie a cruscotti e interfacce utente, non sempre occorrono competenze tecnologiche elevate.

Ogni organizzazione dovrebbe prendere in considerazione l’ipotesi di blindare i dispositivi di cui sono dotati dipendenti e collaboratori perché – soprattutto sullo store di applicazioni per Android – non manca la pubblicazione di app malevole il cui uso ha ricadute potenzialmente pericolose per intere organizzazioni.

Non di meno, l’uso sperticato, non controllato e non coordinato di applicazioni può coincidere con la diffusione anche inconsapevole di documenti e dati interni. Nello specifico, il pensiero corre all’uso di strumenti di Intelligenza artificiale generativa che dipendenti e collaboratori tendono a impiegare noncuranti del costo che questi comportano in termini di privacy e, in casi estremi, anche in termini di sicurezza.

Cosa è un Enterprise App Store e perché è utile

Un EAS è un catalogo di applicazioni che i dipendenti e gli stakeholder di un’organizzazione possono prelevare e usare.

Di fatto, miscela un App Store propriamente detto e regole di distribuzione e di uso controllate. Consente quindi di pubblicare, distribuire, gestire e autorizzare applicazioni che possono essere istallate sui dispositivi usati per lavoro.

Per spiegare con un esempio qual è il valore intrinseco di un EAS, è utile fare riferimento al Incident response analyst report 2024 di Kaspersky nel quale si legge che il 39,2% degli incidenti esaminati ha avuto origine da applicazioni installate sui dispositivi mobili, in parte anche aziendali. App che, generalmente, facilitano gli accessi iniziali grazie ai quali i cyber criminali sferrano attacchi.

Perché un Enterprise App Store

I motivi per i quali le organizzazioni dovrebbero valutare la creazione di un Enterprise App Store sono molteplici e qui li prendiamo in esame partendo da quelli di più ampio respiro per poi procedere entrando nello specifico. In linea generale, i motivi da elencare sono:

• La distribuzione controllata di app sui dispositivi aziendali
• La gestione delle versioni e degli aggiornamenti delle app
• Il controllo della sicurezza e della compliance delle app distribuite
• Il monitoraggio delle installazioni e l’uso delle app

Questi motivi, assai generici, meritano approfondimenti che li cristallizzano, iniziando proprio dalla sicurezza delle app e dei dati che queste generano o usano.

Infatti, usando un AES è possibile applicare policy Mobile Application Management (MAM) che sono elemento fondamentale del Mobile Device Management (MDM).

Le policy MAM sono regole applicate alle app affinché i dati aziendali non vengano esposti a rischio. Regole che possono anche venire estese ai dispositivi sotto l’egida del Bring Your Own Device (BYOD) tipica di quelle organizzazioni che non danno in dotazione dispositivi aziendali a dipendenti e collaboratori.

È possibile anche configurare e applicare policy per la Data Loss Prevention (DLP), un insieme di tecnologie finalizzate a limitare i rischi di perdita o fuga di dati e, più in generale, a impedire l’uso improprio di dati.

L’idea stessa di DLP si applica alla perfezione al contesto degli AES giacché copre gli endpoint, monitora il traffico di dati in uscita e in entrata e anche i file a riposo su server privati e Cloud.

Un altro vantaggio è la governance: AES consente alle organizzazioni di controllare gli aggiornamenti delle app, di ritirarle, di applicare sistemi di auditing e anche usare sistemi di logging per le attività degli utenti e per l’individuazione di anomalie e potenziali minacce.

Interessante ai fini della protezione è anche la possibilità di predisporre tunnel VPN per rendere ancora più sicure le app e il traffico di dati che generano.

Non di meno, l’integrazione delle app si traduce nella possibilità di ricorrere al Single Sign-On, ossia l’accesso a più risorse mediante un unico set di credenziali e del Role-Based Access Control (RBAC) che consente di assegnare permessi a seconda del ruolo dell’utente.

Ciò facilita il controllo e la compliance, conferendo all’organizzazione la possibilità di stabilire chi può usare cosa, a quali condizioni e mediante quali dispositivi.

Un altro vantaggio è la modalità self-service. Accedendo all’AES, gli utenti possono installare da soli le app, sgravando così l’IT da un compito.

I vantaggi di un Enterprise App Store

Anche in questo caso i vantaggi sono molteplici e alcuni sono più significativi di altri.

Riassumendo e contestualizzando gli atout visti sopra, il primo vantaggio riguarda la sicurezza e la possibilità di approvare app e quindi escludere che sui dispositivi ne vengano istallate di diverse da quelle selezionate dall’organizzazione.

Inoltre, le soluzioni che consentono la creazione di EAS permettono di crittografare i dati professionali e non quelli personali, consentendo così un ricorso più sicuro al BYOD e rispettando la privacy del proprietario del dispositivo.

Non di meno, la distribuzione di app mediante un Enterprise App Store genera log utili a sapere chi ha istallato quale applicazione, utili alla gestione delle licenze e all’adeguamento alle norme sull’audit auspicate dal GDPR e dalla NIS2.

Non ci sono però solo aspetti positivi riconducibili alla compliance in senso ampio, all’audit e alla tracciabilità i quali – così come dimostrato anche dalla European Union Agency for Cybersecurity (ENISA) – mostrano i vantaggi delle gestioni centralizzate in termini di rischio.

Infatti, anche la gestione del ciclo di vita delle app trova giovamento. Un EAS consente di ritirare app vulnerabili, distribuire patch, aggiornare versioni e financo forzare tali aggiornamenti.

Non da ultimo, la distribuzione di app soltanto attraverso canali autorizzati aiuta a controllare i costi relativi alle licenze.

I vantaggi, esaminati sia per numero sia per impatto, si profilano superiori alle inevitabili criticità che ogni tecnologia si porta appresso.

Le criticità degli Enterprise App Store

Apple, che pure mette a disposizione tecnologie per l’allestimento di EAS, mette l’accento sulla necessità di gestire in modo certosino i certificati i quali, in assenza di una verifica periodica, possono compromettere il funzionamento delle app.

Questo perché Apple esige verifiche utili a evitare abusi e il controllo dei certificati può essere minato da firewall troppo restrittivi o da dispositivi offline per periodi prolungati.

Nel caso di Apple ciò assume un senso definito perché, per sua natura, la soluzione messa a disposizione da Cupertino non consente la distribuzione di app prelevate dagli store pubblici, anche se gratuite.

In aggiunta, e questo vale per qualsiasi soluzione EAS eventualmente adottata, in caso di disservizi infrastrutturali la distribuzione e il funzionamento delle app può bloccarsi e, non di meno, la stessa infrastruttura necessita di manutenzione costante, protezione dalle ingerenze esterne e dei backup di rito.

Tutto lavoro che grava sui dipartimenti IT ma che, come contropartita, offre i vantaggi citati in precedenza.

Le soluzioni per creare un Enterprise App Store

Ci sono soluzioni rilasciate dai grandi player del comparto mobile e altre da terze parti. Soluzioni che guardano soprattutto alle medie e alle grandi aziende, ciò non significa che possano essere adottate anche da organizzazioni più minute.

Enterprise App Store per Android

Big G mette a disposizione una versione gestita di Google Play sincronizzabile con soluzioni MDM ed Enterprise Mobility Management (EMM) che consentono la gestione dei dispositivi mobili, delle app e dei contenuti proteggendoli con crittografia.

L’allestimento di un AES è documentato da Google ed è disponibile un’ampia letteratura tecnica.

È una soluzione che Google mette a disposizione gratuitamente.

Enterprise App Store per macOS, iOS e iPadOS

Cupertino consente la distribuzione di app mediante i programmi developer e business, così come spiega il supporto di Apple Business Manager che, tra le altre cose, fa leva sulle buone pratiche per l’autenticazione e la crittografia, facendo quindi riferimento all’uso di tecniche di MDM.

L’uso di Apple Business Manager è gratuito.

C’è anche la soluzione Apple Business Essentials che mette a disposizione un servizio MDM, dello spazio iCloud e il supporto prioritario erogato da Apple. Il costo è di 24,99 dollari al mese per utente (21,30 euro circa).

Enterprise App Store per Windows

Microsoft Intune ed Enterprise App Catalog consentono la gestione di dispositivi Windows, macOS, iOS e Android da un’unica console.

Oltre alla distribuzione delle app, consentono il dispiego di policy e di controlli di accesso.

Intune è parte integrante di Microsoft Endpoint Manager mentre Enterprise App Catalog, funzionalità inclusa in Intune Suite, permette la distribuzione di app pacchettizzate (.exe e .msi) che vengono assegnate agli utenti tramite l’interfaccia Intune Admin Center.

Il costo è di 10 dollari mensili per utente (8,47 euro circa).

Altre soluzioni

Tra le soluzioni meno note ma non meno utili c’è Knox Manage di Samsung. È ottimizzata per Samsung ma consente la gestione centralizzata di dispositivi con a bordo Android, iOS, Windows, macOS, ChromeOS e anche Wear OS, il sistema operativo di Google progettato per smartwatch e dispositivi indossabili (basato su Android).

Non si tratta di Enterprise App Store propriamente detto ma, tramite la piattaforma Enterprise Mobility Management, ne emula in tutto e per tutto le gesta.

Knox Manage mette a disposizione oltre 300 policy pronte all’uso e consente l’accesso remoto per il troubleshooting dei dispositivi controllati.

Il prezzo parte da 30 dollari americani annui per dispositivo (25,60 euro circa).

Merita una valutazione attente anche Workspace ONE Intelligent Hub Catalog è un app store aziendale al quale gli utenti possono accedere e installare app approvate dall’organizzazione di riferimento.

Workspace ONE UEM (Unified Endpoint Management), è a tutti gli effetti una piattaforma enterprise per la gestione centralizzata di dispositivi, applicazioni e identità su Android, iOS, Windows, macOS, ChromeOS e Linux.

Una soluzione completa che, oltre alla gestione dei dispositivi e alla distribuzione delle app, dei criteri di sicurezza e delle configurazioni, consente l’integrazione con le infrastrutture aziendali.

Essendo una soluzione modulare, il prezzo varia a seconda della configurazione. I costi si esprimono nell’ordine delle decine di migliaia di dollari.

Conclusioni

L’uso non controllato di dispositivi mobili e di postazioni fisse è complice nell’espandere le superfici di attacco e, non di meno, è una zavorra per una compliance efficace.

Ricorrere a un Enterprise App Store che integri policy MDM ed EMM è sia una misura tecnica sia una misura organizzativa. Non di meno, consente di ridurre i costi e di gestire al meglio le risorse aziendali.

Il National Institute of Standards and Technology (NIST) si spende molto per favorire l’uso corretto dei dispositivi all’interno delle organizzazioni, con focus sul BYOD.