Immagine di un dipendente che utilizza un dispositivo personale presso la sua scrivania.

Bring Your Own Device: Misure di sicurezza per l’uso dei dispositivi personali al lavoro

Qualunque azienda i cui dipendenti possono portare con se i loro smartphone, tablet o laptop personali sul luogo di lavoro, necessita di un regolamentazione sulla sicurezza BYOD (acronimo di Bring Your Own Device). Quasi tutti i dipendenti portano con se al lavoro un dispositivo connesso a Internet e ciò presenta dei rischi per la sicurezza, anche se il dispositivo non è attivamente collegato a una rete aziendale.

L’utilizzo di un dispositivo personale per attività apparentemente innocue come l’invio di email di lavoro, può creare vulnerabilità nelle reti delle organizzazioni. Organizzazioni di qualunque tipo e dimensione, trovano le pratiche di sicurezza associate al BYOD estremamente difficili in quanto tali aziende devono esercitare una qualche forma di controllo su smartphone e tablet dei dipendenti. Dopotutto, il 40% delle violazioni dei dati avviene a causa di dispositivi persi o rubati. Tuttavia, in culture che privilegiano le libertà personali, regolamenti come questi possono essere oggetto di resistenza o rancore da parte del personale. Pertanto, la soluzione migliore è un approccio delicato ma fermo.

Cosa possono fare le aziende per migliorare la sicurezza informatica in tali condizioni? Una delle opzioni consiste nel vietare completamente l’uso di dispositivi BYOD e applicare rigide regole. Tuttavia, il mercato BYOD globale è ampio e in crescita. Nel 2022 il mercato totale di tali dispositivi ammontava a 350 miliardi di dollari. I trend attuali che privilegiano il lavoro da casa, catalizzati dalla pandemia, hanno ulteriormente accelerato tale crescita. L’alternativa consiste nell’implementare e formare prassi operative sane, associate a regole BYOD fondate sul buonsenso e sulla sicurezza, come strumenti per accrescere la sicurezza di aziende e dipendenti. Molte aziende trovano tale approccio più semplice da implementare, anche se un regolamento BYOD sensibile richiede anch’esso sforzo e considerazione.

Rischi per la sicurezza BYOD

BYOD significa che, nominalmente, le aziende devono investire meno in hardware e software per il loro personale. L’82% delle aziende consente ai dipendenti di utilizzare i loro dispositivi personali per il lavoro. Il 71% di tali dipendenti ritiene che tale prassi consenta ai dipendenti di trovarsi più a loro agio durante l’uso di dispositivi, in quanto si tratta dei loro dispositivi personali. Il 58% degli intervistati ritiene tale prassi più produttiva. Tuttavia, solo il 55% di essi ritiene che ciò consenta di ridurre i costi. Perché questa discrepanza? Probabilmente, perché il 50% delle aziende le cui regole sulla sicurezza consentono l’uso di dispositivi BYOD, è stato soggetto a violazioni dei dati causate dai dispositivi personali dei dipendenti. Pertanto, non deve sorprendere che tra le aziende che si oppongono all’uso dei dispositivi BYOD, il 26% citi come causa principale la sicurezza.

Best practice associate alla sicurezza BYOD

Colleghi che utilizzano laptop, tablet e telefoni cellulari assieme

Qualunque regolamento BYOD valido deve includere questi tre elementi:

  • Tipologie di dispositivi a cui è consentito l’accesso
  • Tipologie di utilizzi accettabili: quali applicazioni e risorse sono accessibili per i dipendenti dai loro dispositivi?
  • Requisiti minimi per i controlli di sicurezza dei dispositivi: quali misure di sicurezza sono richieste dall'azienda per l’impiego dei dispositivi BYOD?
  • Componenti forniti dall’azienda: per esempio, certificati SSL per l’autenticazione dei dispositivi
  • Diritti dell’azienda relativi alla modifica del dispositivo: per esempio, la cancellazione remote in caso di perdita o furto del dispositivo
  • Cosa accade ai dati aziendali presenti sul dispositivo di un dipendente che lascia l’azienda?
  • A chi appartengono applicazioni e dati presenti sul dispositivo? Il personale sarà rimborsato dall’azienda per i costi di applicazioni o abbonamenti mensili?
  • Quale tipo di supporto il personale IT aziendale fornisce ai possessori dei dispositivi?

Al fine di garantire le migliori opzioni, i responsabili delle politiche aziendali devono tenere conto dei fattori seguenti:

  • Regole dettate dal buonsenso: un limite alle chiamate personali e ai video sul posto di lavoro; nessun utilizzo durante la guida
  • Manutenzioni e upgrade: qualunque regolamento finalizzato deve garantire che il personale mantenga i dispositivi e le applicazioni aggiornate in maniera costante e affidabile
  • Regole in materia di trasferimento dei dati: i dati aziendali devono essere crittografati e protetti da password, e trasferiti esclusivamente su applicazioni specificamente indicate dall'azienda
  • Regole sulle password: l’utilizzo delle password è ovviamente non negoziabile per la protezione delle informazioni sensibili; potrebbe anche essere necessario adottare l’autenticazione a due fattori

Regolamenti sulla privacy: in che modo le aziende possono bilanciare protezione dei dati e privacy dei dipendenti con dispositivi BYOD?

Regolamenti per la sicurezza BYOD

Qual è il modo migliore per definire metodi di gestione BYOD coerenti e sicuri? Qualunque regolamento di questa portata deve coinvolgere personale e azionisti. L’input dei dipendenti può essere ottenuto attraverso un’indagine, una solida base per la pianificazione dei regolamenti. Il personale dirigente, e quello dei reparti HR, IT, operazioni, finanza e sicurezza, devono essere in contatto, coinvolti e rappresentati all’interno di un team di gestione dei progetti BYOD. Questi reparti sono in grado di offrire importanti contributi.

Una volta che il questionario del sondaggio è stato inviato e le risposte sono state ricevute, è possibile effettuare analisi dei benefici che includono tipologia di dati e applicazioni necessari per i dispositivi dei dipendenti. Una volta introdotto il regolamento completo, la formazione assume un ruolo essenziale per il successo del processo. I dipendenti a tutti i livelli devono essere istruiti in materia di protocolli di gestione dei dati, identificazione e risoluzione dei problemi, procedure da seguire in caso di perdita o furto di dispositivi, tipologie di applicazioni da utilizzare e misure antiphishing, nonché istruzioni di carattere generale in materia di vigilanza contro le minacce informatiche.

È ampiamente riconosciuto che i dipendenti non educati in materia di sicurezza informatica rappresentano il principale rischio per l’integrità dei dati organizzativi. Nel 2014, l’87% dei manager IT riteneva che la principale minaccia per le organizzazioni consistesse nell’utilizzo di dispositivi mobili da parte di dipendenti imprudenti. Nel 2020, uno stupefacente 96% degli attacchi su dispositivi mobili è avvenuto mediante applicazioni come vettore di conduzione dell’attacco. Ciò accade perché la stragrande maggiorana delle applicazioni, circa 4 su 5, integra librerie di terze parti che possono creare vulnerabilità.

Quali applicazioni devono essere adottate da un'azienda che desidera implementare una solida strategia di utilizzo dei dispositivi BYOD? Uno studio ha dimostrato che i dipendenti utilizzano cinque o più applicazioni su base quotidiana. Le organizzazioni devono includere una piattaforma di messaggistica sicura, email, CRM e qualunque altra applicazione ritenuta necessaria per lo svolgimento delle attività dei dipendenti. Assicurarsi che le applicazioni che possono rappresentare delle responsabilità siano esplicitamente vietate.

Le organizzazioni devono anche implementare procedure specifiche per i dipendenti che lasciano l’azienda, per qualunque motivo. Quando un dipendente lascia l’azienda, questa deve assicurarsi che tutti i dati vengano rimossi dal dispositivo dell’utente, unitamente alla cessazione di qualunque diritto di accesso alle applicazioni aziendali. Tuttavia, questo obbligo presenta numerose difficoltà ed è spesso considerato un motivo sufficiente ad abbandonare le regole BYOD, fornendo dispositivi aziendali dedicati.

La solidità di una regola si misura in base alla capacità di un'azienda di farla rispettare e questo sfortunatamente implica la necessità di imporre conseguenze per coloro che non rispettano le regole. Qualunque regolamento deve includere dettagli specifici relativi a tracciamento, misurazione e applicazione di misure atte a determinare la responsabilità degli utenti. Tali informazioni devono essere distribuite tra il personale per accrescere la consapevolezza. L'assenza di controlli è uno dei principali problemi per l’implementazione delle misure BYOD. Le aziende necessitano di personale di supporto IT sufficiente a consentire la configurazione dei dispositivi dei dipendenti, garantendo anche un supporto e monitoraggio costanti.

Una volta messi in sicurezza sistemi e protocolli, le organizzazioni devono prioritizzare l’educazione del personale. Affinché la strategia BYOD sia in grado di conseguire il successo, è necessario inculcare nel personale una cultura associata a un utilizzo accettabile dei dispositivi, e concetti di sicurezza di base nella gestione e igiene dei dati.

Vista dall'alto di tre persone che lavorano a una scrivania con laptop, tablet e fogli di carta.

Soluzioni di sicurezza BYOD

Le soluzioni di sicurezza devono che essere valutate come parte integrante di un regolamento BYOD includono:

  • Crittografia per dati “a riposo” e in transito
  • Antivirus: possono essere forniti dall'azienda oppure forniti e installati dal dipendente
  • Monitoraggio: tracciamento della posizione GPS dei dispositivi dei dipendenti o del traffico internet, ecc.
  • Containerizzazione: i dispositivi devono essere dotati di partizioni e profili separati per utilizzo personale e finanziario, con l’attivazione di relative password di protezione
  • Formazione in materia di igiene delle password, inclusi i requisiti associati a cambiamenti regolari
  • Blacklisting: blocco o restrizioni di applicazioni specifiche in quanto esse costituiscono un rischio per la sicurezza operativa, oppure perché influenzano negativamente la produttività. Normalmente questo non è possibile sui dispositivi di proprietà dei dipendenti, eccetto in caso di containerizzazione
  • Whitelisting: implica l’accesso solamente ad alcune applicazioni approvate, normalmente considerate più pratiche per l’hardware distribuito dell’organizzazione
  • Backup regolari, nonché l’installazione di aggiornamenti di delle applicazioni e dei sistemi operativi
  • Formazione e riformazione periodiche, su come garantire la sicurezza dei dati aziendali in relazione agli accessi su reti WiFi mediante hardware BYOD
  • Restrizioni di accesso ai dati: al fine di prevenire perdite di dati, l’accesso ai dati deve essere strettamente controllato, in modo tale che solo coloro che necessitano un accesso a set dati specifici per motivi professionali siano in grado di accedervi dai loro dispositivi personali

L’uso di strumenti di monitoraggio per identificare ubicazione e pattern di accesso ai dati, per il rilevamento di comportamenti sospetti, come l’accesso da località non sicure o sospette (Corea del Nord, per esempio).

Un metodo per garantire una maggiore sicurezza per i sistemi BYOD consiste nel dotare il personale di drive Flash USB crittografati e SSD crittografati. Si tratta di una soluzione più economica rispetto alla fornitura di smartphone e tablet per tutto il personale, oltre che essere una soluzione notevolmente più semplice rispetto alla containerizzazione di ciascun dispositivo personale utilizzato presso l’azienda. I dati memorizzati su questi dispositivi sono, mediamente, molto meglio protetti rispetto a qualunque altro dispositivo. Con una sufficiente qualità crittografica, un ladro che entra in possesso di un drive crittografato, non sarà in grado di accedere ai suoi dati riservati.

#KingstonIsWithYou #KingstonIronKey

Icona del servizio "Chiedi a un esperto" di Kingston sul chipset di una scheda a circuiti

Chiedete a un esperto

La definizione della soluzione più adeguata richiede un'approfondita conoscenza degli obiettivi di sicurezza dei progetti. Lasciatevi guidare dagli esperti Kingston.

Chiedete a un esperto

Video correlati

Articoli correlati

Contattateci. Effettuate la sottoscrizione alle nostre email per ricevere tutte le news su Kingston e tanto altro.