Bring Your Own Device: Misure di sicurezza per l’uso dei dispositivi personali al lavoro

Best practice associate alla sicurezza BYOD

Qualunque regolamento BYOD valido deve includere questi tre elementi:

• Tipologie di dispositivi a cui è consentito l’accesso
• Tipologie di utilizzi accettabili: quali applicazioni e risorse sono accessibili per i dipendenti dai loro dispositivi?
• Requisiti minimi per i controlli di sicurezza dei dispositivi: quali misure di sicurezza sono richieste dall'azienda per l’impiego dei dispositivi BYOD?
• Componenti forniti dall’azienda: per esempio, certificati SSL per l’autenticazione dei dispositivi
• Diritti dell’azienda relativi alla modifica del dispositivo: per esempio, la cancellazione remote in caso di perdita o furto del dispositivo
• Cosa accade ai dati aziendali presenti sul dispositivo di un dipendente che lascia l’azienda?
• A chi appartengono applicazioni e dati presenti sul dispositivo? Il personale sarà rimborsato dall’azienda per i costi di applicazioni o abbonamenti mensili?
• Quale tipo di supporto il personale IT aziendale fornisce ai possessori dei dispositivi?

Al fine di garantire le migliori opzioni, i responsabili delle politiche aziendali devono tenere conto dei fattori seguenti:

• Regole dettate dal buonsenso: un limite alle chiamate personali e ai video sul posto di lavoro; nessun utilizzo durante la guida
• Manutenzioni e upgrade: qualunque regolamento finalizzato deve garantire che il personale mantenga i dispositivi e le applicazioni aggiornate in maniera costante e affidabile
• Regole in materia di trasferimento dei dati: i dati aziendali devono essere crittografati e protetti da password, e trasferiti esclusivamente su applicazioni specificamente indicate dall'azienda
• Regole sulle password: l’utilizzo delle password è ovviamente non negoziabile per la protezione delle informazioni sensibili; potrebbe anche essere necessario adottare l’autenticazione a due fattori

Regolamenti sulla privacy: in che modo le aziende possono bilanciare protezione dei dati e privacy dei dipendenti con dispositivi BYOD?

Regolamenti per la sicurezza BYOD

Qual è il modo migliore per definire metodi di gestione BYOD coerenti e sicuri? Qualunque regolamento di questa portata deve coinvolgere personale e azionisti. L’input dei dipendenti può essere ottenuto attraverso un’indagine, una solida base per la pianificazione dei regolamenti. Il personale dirigente, e quello dei reparti HR, IT, operazioni, finanza e sicurezza, devono essere in contatto, coinvolti e rappresentati all’interno di un team di gestione dei progetti BYOD. Questi reparti sono in grado di offrire importanti contributi.

Una volta che il questionario del sondaggio è stato inviato e le risposte sono state ricevute, è possibile effettuare analisi dei benefici che includono tipologia di dati e applicazioni necessari per i dispositivi dei dipendenti. Una volta introdotto il regolamento completo, la formazione assume un ruolo essenziale per il successo del processo. I dipendenti a tutti i livelli devono essere istruiti in materia di protocolli di gestione dei dati, identificazione e risoluzione dei problemi, procedure da seguire in caso di perdita o furto di dispositivi, tipologie di applicazioni da utilizzare e misure antiphishing, nonché istruzioni di carattere generale in materia di vigilanza contro le minacce informatiche.

È ampiamente riconosciuto che i dipendenti non educati in materia di sicurezza informatica rappresentano il principale rischio per l’integrità dei dati organizzativi. Nel 2014, l’87% dei manager IT riteneva che la principale minaccia per le organizzazioni consistesse nell’utilizzo di dispositivi mobili da parte di dipendenti imprudenti. Nel 2020, uno stupefacente 96% degli attacchi su dispositivi mobili è avvenuto mediante applicazioni come vettore di conduzione dell’attacco. Ciò accade perché la stragrande maggiorana delle applicazioni, circa 4 su 5, integra librerie di terze parti che possono creare vulnerabilità.

Quali applicazioni devono essere adottate da un'azienda che desidera implementare una solida strategia di utilizzo dei dispositivi BYOD? Uno studio ha dimostrato che i dipendenti utilizzano cinque o più applicazioni su base quotidiana. Le organizzazioni devono includere una piattaforma di messaggistica sicura, email, CRM e qualunque altra applicazione ritenuta necessaria per lo svolgimento delle attività dei dipendenti. Assicurarsi che le applicazioni che possono rappresentare delle responsabilità siano esplicitamente vietate.

Le organizzazioni devono anche implementare procedure specifiche per i dipendenti che lasciano l’azienda, per qualunque motivo. Quando un dipendente lascia l’azienda, questa deve assicurarsi che tutti i dati vengano rimossi dal dispositivo dell’utente, unitamente alla cessazione di qualunque diritto di accesso alle applicazioni aziendali. Tuttavia, questo obbligo presenta numerose difficoltà ed è spesso considerato un motivo sufficiente ad abbandonare le regole BYOD, fornendo dispositivi aziendali dedicati.

La solidità di una regola si misura in base alla capacità di un'azienda di farla rispettare e questo sfortunatamente implica la necessità di imporre conseguenze per coloro che non rispettano le regole. Qualunque regolamento deve includere dettagli specifici relativi a tracciamento, misurazione e applicazione di misure atte a determinare la responsabilità degli utenti. Tali informazioni devono essere distribuite tra il personale per accrescere la consapevolezza. L'assenza di controlli è uno dei principali problemi per l’implementazione delle misure BYOD. Le aziende necessitano di personale di supporto IT sufficiente a consentire la configurazione dei dispositivi dei dipendenti, garantendo anche un supporto e monitoraggio costanti.

Una volta messi in sicurezza sistemi e protocolli, le organizzazioni devono prioritizzare l’educazione del personale. Affinché la strategia BYOD sia in grado di conseguire il successo, è necessario inculcare nel personale una cultura associata a un utilizzo accettabile dei dispositivi, e concetti di sicurezza di base nella gestione e igiene dei dati.