Punti chiave
Le Politiche di utilizzo accettabile sono una componente essenziale per tutte le organizzazioni, società e altri enti che offrono accesso a Internet o Intranet.
Una politica di utilizzo accettabile dovrebbe definire con precisione quali sistemi di rete sono coperti dalla politica;
– proibire esplicitamente comportamenti, distribuzione e comunicazioni illeciti; stabilire linee guida sulla privacy;
– fornire una chiara descrizione dei rischi associati alla non conformità.
Le regole private di Internet includono società che stabiliscono gli standard per i loro dipendenti, istituzioni educative che applicano comportamenti appropriati tra gli studenti e organizzazioni governative che garantiscono sicurezza e riservatezza.
Un modello di politica di utilizzo accettabile pubblico, tuttavia, offre una serie unica di sfide dovute alla natura aperta e accessibile di Internet pubblico, come le reti WiFi ad accesso aperto.
Crescita del WiFi pubblico
La Wireless Broadband Alliance (WBA) ha pubblicato i risultati di un’ampia ricerca sulla crescita del WiFi pubblico nel suo documento del 2013 Global Trends in Public WiFi. Tra il 2012 e il 2013 i livelli di confidenza delle aziende e della banda larga in relazione agli investimenti nel WiFi pubblico sono aumentati del 20%. Il WBA prevede che “il traffico di dati complessivo aumenterà 12 volte tra il 2013 e il 2018”, con tassi ancora più elevati previsti per il traffico di dati mobili.
Il grande pubblico utilizza sempre più WiFi pubblico per servizi come giochi ad alta velocità e videoconferenza. Sebbene le organizzazioni odierne spesso limitino l’uso eccessivo delle risorse (inclusa la larghezza di banda), anche gli ospiti WiFi pubblici continueranno ad aspettarsi velocità più elevate e latenza minima. Coloro che offrono WiFi pubblico (ad esempio, aziende e organizzazioni pubbliche) stanno cercando di soddisfare le richieste di qualità del servizio piuttosto che limitare (e potenzialmente alienare) i visitatori.
Una maggiore mobilità significa che “la connettività a banda larga sempre attiva diventa vitale per molti modi di vivere e lavorare”. L’ubiquità del WiFi pubblico è diventata così diffusa che i fornitori di servizi mobili ora offrono le proprie reti di WiFi pubblico al fine di incoraggiare la fidelizzazione dei clienti. Le aree residenziali forniscono sempre più hotspot della comunità, o “homepots”, poiché gli individui richiedono un accesso wireless a Internet senza soluzione di continuità.
Tuttavia, l’aumento dell’utilizzo del WiFi pubblico sta anche sollevando problemi di sicurezza. Il WiFi pubblico è intrinsecamente aperto alle minacce alla sicurezza. Chi lo utilizza lo fa con la premessa che ogni sua attività è visibile a terzi che si collegano allo stesso hot spot. Di conseguenza, i provider WiFi devono seguire un modello di criteri di utilizzo accettabile aggiornato per garantire la sicurezza dalla loro parte.
Elaborazione di un modello di criteri di utilizzo accettabile per le reti WiFi pubbliche
Una politica dovrebbe essere chiara e facile da implementare, evitando un linguaggio aperto all’interpretazione come “ragionevole” e “appropriato”. L’AUP deve essere esecutivo e può comportare un sistema di monitoraggio di terze parti. Le politiche devono descrivere le aree di responsabilità per tutte le parti coinvolte (compresi sia il grande pubblico che l’organizzazione, l’individuo o l’azienda che fornisce accesso wireless a Internet).
Alla luce dei rapidi cambiamenti nel mondo della cibersicurezza e della tecnologia in generale, è essenziale che un AUP abbia la flessibilità di adattarsi ai cambiamenti delle infrastrutture e delle minacce alla sicurezza. Ciò include rivalutazioni periodiche dell’AUP per evitare che diventino obsolete.
Sebbene sia importante attuare quanto prima una politica di accesso, si raccomanda di valutare l’attività Internet generale per un breve periodo di tempo al fine di valutare correttamente l’ambito del comportamento pubblico di Internet. Ciò assicurerà un AUP più su misura e in definitiva più efficace.
Quando si personalizzano altri modelli di criteri di utilizzo, sarà necessario coinvolgere anche un avvocato che abbia familiarità con le normative locali e regionali.
Secondo l’esperto di wireless / networking Bradley Mitchell , “i migliori AUP incorporano scenari, che illustrano l’utilità della politica in termini reali“. Le politiche delle principali organizzazioni tendono anche a precludere il comportamento proibito con un elenco più positivo di migliori pratiche. Questi includono il rispetto della privacy, l’adesione alle leggi locali e regionali per quanto riguarda la sicurezza e la funzionalità dei computer pubblici. Questo pone le basi delle linee guida più specifiche da seguire e dà al lettore un’idea di cosa aspettarsi.
Esempi di argomenti comuni su criteri di utilizzo
Se esiste un limite di tempo (questo è comune negli spazi di attesa pubblici come aeroporti e stazioni ferroviarie), specifica in particolare per quanto tempo l’utente avrà accesso e il periodo di tempo fino a quando l’utente potrà riconnettersi. Nel caso del software di monitoraggio, spiega chiaramente quale livello di privacy le persone possono aspettarsi durante l’accesso a Internet wireless pubblico.
Gli argomenti in genere rientrano in categorie di sicurezza informatica, divieti legali e standard universali di etichetta della rete. La componente di sicurezza di un AUP dovrebbe discutere della trasmissione di dati privati e sensibili e di un’efficace gestione delle password (ove applicabile).
I provider dovrebbero vietare agli utenti di utilizzare il WiFi pubblico per spam, distribuire malware o falsificare le intestazioni. Alcune organizzazioni estendono il divieto di spam per includere qualsiasi distribuzione di pubblicità indesiderata. Agli utenti dovrebbe inoltre essere vietato il tentativo di accesso non autorizzato a sistemi privati (“hacking”), sia all’interno che all’esterno dei sistemi dell’organizzazione host.
L’AUP dovrebbe vietare l’uso di software o applicazioni che aiutano attivamente a eludere le linee guida sulle politiche. In generale, i download devono essere indirizzati in base alle leggi regionali, alle risorse di rete dell’organizzazione ospitante e ad eventuali problemi di sicurezza specifici della posizione (ad esempio, quelli che offrono computer pubblici desiderano evitare l’installazione di malware e possono richiedere l’autorizzazione prima di tutti i download).
Coloro che utilizzano uno spazio pubblico per accedere a materiale pornografico o osceno possono essere bloccati. Se alcuni siti Web sono inseriti nella lista nera del servizio pubblico, l’AUP dovrebbe anche vietare esplicitamente tutti i tentativi di eludere le misure di filtraggio. Le organizzazioni spesso mettono in guardia gli utenti contro le violazioni delle leggi locali e regionali, ma alcuni esempi legali includono l’uso del WiFi pubblico a fini di furto, frode o accesso a materiale illecito.
Gli standard comunemente applicati dell’etichetta di rete includono il divieto dell’uso del WiFi pubblico per molestare, minacciare o intimidire gli altri. L’organizzazione può prendere in considerazione casi passati di abuso della rete pubblica e utilizzare tali scenari durante la stesura di una politica di utilizzo.
Coloro che stanno redigendo la loro prima Politica sull’uso accettabile hanno il vantaggio di diversi modelli online da usare come fonte. Un AUP specifico per la clientela prevista dell’organizzazione è probabilmente il più efficace. È quindi utile cercare altre politiche da un settore simile (ad esempio, una biblioteca pubblica, un istituto di istruzione o un’azienda locale). Alcuni esempi specifici di città e industria includono: WiFi pubblico comunale a Fairfield, Ohio; WiFi pubblico aziendale presso Peet’s Coffee & Tea; WiFi pubblico della contea presso la Biblioteca pubblica di Indianapolis.
L’AUP dovrebbe essere sicuro di fornire un punto di contatto qualora l’utente abbia domande o dubbi e potrebbe riservarsi il diritto di contattare gli utenti o sospendere i privilegi a discrezione.
Rischi associati alla non conformità
Come affermato in precedenza, la politica dovrebbe innanzitutto delineare tutte le tecniche di monitoraggio e applicazione. In genere, qui è dove AUP dichiarerà che gli utenti potrebbero essere soggetti alla perdita dei privilegi di accesso. A seconda del contesto dell’organizzazione, può anche essere opportuno specificare un intervallo di tempo fino a quando l’individuo non può richiedere un accesso rinnovato. Gli utenti che utilizzano il WiFi pubblico per svolgere attività illecite possono essere soggetti a procedimenti civili e penali in base alle leggi locali.
Se applicabile, un AUP può delineare le diverse penalità di non conformità se il WiFi pubblico dell’organizzazione sarà accessibile da diverse categorie di utenti. Ad esempio, mentre un utente commerciale potrebbe semplicemente perdere i privilegi di WiFi, un dipendente di quella stessa azienda potrebbe subire ulteriori penali legate al lavoro per violazione della politica. La politica dovrebbe anche indicare direttamente se la non conformità può comportare la rimozione dalla sede o la negazione di altri servizi che l’organizzazione può offrire.
Con l’uso del WiFi pubblico che dovrebbe aumentare in modo esponenziale nei prossimi quattro o cinque anni, i clienti, i clienti aziendali e i membri dell’organizzazione si aspetteranno tutti e apprezzeranno l’accesso affidabile al servizio Internet wireless pubblico. Sfortunatamente, all’aumentare dell’accesso, aumenta anche il potenziale danno causato da attacchi malevoli e uso improprio involontario.
Conclusione
Seguire un modello di Politica sull’uso accettabile chiaro, dettagliato e adattabile è la prima linea di difesa tra un’organizzazione e i rischi per la sicurezza associati all’accesso WiFi pubblico.
A seconda del contesto del provider di servizi WiFi e delle esigenze del pubblico in generale, coloro che redigono un AUP dovrebbero consultare il dipartimento IT della propria organizzazione e i professionisti della sicurezza, oltre a cercare il consulente legale appropriato.
Un modello AUP efficace coinvolgerà il feedback dell’intera comunità e prenderà in considerazione le sfide, gli scenari e le esigenze particolari di ogni singolo fornitore.