Uno dei maggiori trend del settore tecnologico è senza dubbio quello mobile. Smartphone e tablet ogni anno aumentano la loro potenza e migliorano le loro funzioni e molte persone ora li considerano come i sostituti perfetti dei loro PC desktop o laptop.
Solo nel terzo trimestre del 2015 sono stati venduti quasi 353 milioni di smartphone in tutto il mondo – con un aumento del 15.5 % rispetto allo stesso periodo dello scorso anno, così come reso noto da Gartner. Questi dispositivi non hanno un impatto solo sulla vita delle persone ma anche sulle aziende operanti in tutti i settori: ci possiamo quindi aspettare una maggiore e sempre più frequente adozione di dispositivi mobile anche sul luogo di lavoro.
Spesso gli smartphone e i tablet aziendali non sono forniti dall’azienda ma sono per lo più i dispositivi personali dei dipendenti. Questo trend è noto con l’espressione “bring your own device” (BYOD) e se ancora non avete avuto modo di conoscere di cosa si tratta prima o poi lo scorprirete.
L’implementazione del BYOD porta con se numerosi benefici: questo può infatti spingere verso un incremento della produttività degli utenti permettendo loro di lavorare dove e quando vogliono e ridurre anche le voci di costo per le aziende dal momento che non devono investire denaro per l’acquisto di componenti hardware di loro proprietà. Tuttavia questa operazione non è priva di rischi. La sicurezza di questi device è infatti la sfida maggiore dal momento che le aziende in questo modo hanno meno controllo sui dati corporate.
Quindi, in quale modo le aziende possono usufruire dei vantaggi del BYOD senza esporsi al rischio di perdita di dati o attacchi hacker?
Il governo britannico ha pubblicato una guida per rispondere a questa esigenza che espone una serie di best practice da seguire per garantire la sicurezza delle informazioni aziendali.
Adottare una policy efficace
Uno dei primi step da compiere durante l’implementazione del BYOD è quello di creare una policy efficace che spieghi chiaramente cosa possono fare e cosa non devono fare i dipendenti che utilizzano i dispositivi personali. Questo dovrebbe essere l’inizio, per garantire che a dispositivi non autorizzati non venga consentito l’accesso ai dati più critici. Il secondo step è quello di assicurarsi che i vostri dipendenti abbiano accesso ai soli dati che volete condividere.
Potreste lasciarvi tentare dal mettere in atto policy restrittive per salvaguardare le informazioni critiche. Ricordate però che se queste misure sono troppo rigide questo influenzerà il livello di utilizzo e incoraggerà gli utenti a trovare soluzioni alternative – minando così la stessa una policy BYOD.
Coinvolgere i dipendenti
Una policy BYOD solida non serve a nulla se lo staff non la comprende o decide di ignorarla. Per questo motivo educare i dipendenti e ottenere il loro appoggio e la loro collaborazione è vitale per avere successo. Le linee guida del governo suggeriscono “ assicuratevi che i vostri dipendenti comprendano le loro responsabilità quando utilizzano i loro dispositivi personali per motivi lavorativi. Questo è un punto fondamentale perchè l’approccio alla sicurezza di molti dipendenti potrebbe essere diverso quando utilizzano il proprio dispositivo rispetto a quello che potrebbero avere quando utilizzano un PC o un laptop aziendale”.
Potrebbero ad esempio condividere il proprio device con amici o parenti o darlo ad una terza parte per una riparazione: questo potrebbe mettere a repentaglio la sicurezza dei dati sensibili. Assicurarsi che il proprio staff capisca cosa può e cosa non può fare con i dispositivi contenenti dati aziendali è quindi un elemento fondamentale.
Avere piani d’emergenza
Dove possibile le informazioni non dovrebbero essere memorizzate a livello locale sul dispositivo dell’utente. Nel caso in cui ciò non sia possibile dovrebbe essere effettuato un backup automatico che viene archiviato su un altro spazio, utilizzando ad esempio i tool per lo storage sul cloud. Se le informazioni sono salvate su uno smartphone o un tablet personale che va perduto o che viene rubato la possibilità di cancellare il device da remoto sarà un elemento fondamentale per evitare che i dati cadano nelle mani sbagliate.
Le aziende devono comunque aspettarsi che, prima o poi, uno dei supporti BYOD verrà in qualche modo esposto a pericoli circa la sicurezza dei dati. Per questo motivo è necessario avere un piano di emergenza da attuare nel caso si verifichino i casi descritti sopra. Questo piano dovrebbe identificare qual è la persona responsabile della gestione dei casi inerenti la sicurezza e quali azioni verranno intraprese per garantire il recupero dei dati.
In questo senso le linee guida del governo affermano che “i dipendenti devono essere sicuri di poter raccontare, in maniera veloce ed immediata, eventuali incidenti senza aver paura di possibili ritorsioni soprattutto nel caso in cui il dispositivo sia personale e non aziendale” .
Conoscere le conseguenze legali
Quando si ha a che fare con dati BYOD ci saranno diverse regole e norme a cui le aziende dovranno essere conformi. È importante ricordare che la responsabilità delle informazioni rimarrà ancora in capo al responsabile aziendale per la sicurezza dei dati e non in capo al proprietario del dispositivo. Questo significa che i dispositivi sono soggetti alle medesime regole adottate per gli asset digitali utilizzati internamente all’azienda.
In UK queste normative includono il Data Protection Act e l' Employment Practices Code che stabiliscono che i dipendenti hanno diritto ad un certo livello di privacy all’interno dell’ambiente lavorativo. Per questo motivo le aziende devono gestire con estrema attenzione i dispositivi che contengono sia dati aziendali che personali.
Considerare le alternative
Più le aziende sono aperte rispetto alle policy BYOD maggiori sono i rischi ai quali si espongono.
Con l’incremento del numero dei dispositivi autorizzati che utilizzano diverse piattaforme e l’aumento del volume dei dati a cui possono accedere la gestione di tutto questo processo potrebbe realmente provocare diverse problematiche.
Nonostante questo, però, esistono delle alternative alla totale apertura al BYOD. Ad esempio, il cosiddetto “scegli il tuo dispositivo” ('choose your own device') sta iniziando a ricevere maggiore attenzione da parte degli utenti. Per certi aspetti simile al BYOD, in questo caso i dipendenti possono utilizzare uno dei dispositivi pre selezionati e gestiti dall’azienda.
Un’altra alternativa potrebbe essere quella del “Corporate owned, personally enabled”, ossia il dispositivo viene acquistato ed è di proprietà dell’azienda ma il dipendente può utilizzarlo anche per motivi personali. Anche questa opzione può offrire un maggiore livello di sicurezza sui dati.
Indipendentemente dal modello del dispositivo mobile, le aziende dovrebbero comunque essere consce dei rischi connessi alla condivisione dei dati corporate attraverso applicazioni personali e dell’esposizione ad attacchi da app compromesse.