BYOD (Bring Your Own Device): come tutelare la sicurezza dei dati quando la sfera privata e quella lavorativa si sovrappongono.
Sembra passato un secolo e invece sono solo pochi lustri da quando il cellulare aziendale era considerato uno status symbol, il riconoscimento di un ruolo all’interno dell’azienda. Chi riceveva in dotazione il cellulare aziendale sembrava detenesse un potere: una sorta di piccolo scettro elettronico del comando.
Adesso, invece, la tendenza in quest’ambito prevede la pratica del BYOD (Bring Your Own Device) o meglio del BYOT (Bring Your Own Terminal) ossia di qualsiasi cosa venga in mente al dipendente di portare in azienda per essere utilizzato a fini della produttività personale.
Negare l’esistenza di questo fenomeno o dichiarare di essere contrari non serve e probabilmente è anche controproducente; la verità è che i dipendenti (o i loro capi) introducono da tempo i propri dispositivi, più o meno conformi, nella rete aziendale con o senza il vostro permesso. Lo studio, neanche recente, condotto da Forrester sugli operatori dei servizi informativi negli Stati Uniti ha rivelato che ben oltre il 40% di essi si sta già muovendo con la tecnologia prima delle autorizzazioni formali o dell’istituzione di policy aziendali.
Il confine tra lavoro e tempo personale così diventa sempre più labile e permeabile abbattendo i muri fisici dell’ufficio ed espandendo l’orario del lavoro. Gli impiegati comprano gli apparecchi che preferiscono e l’organizzazione paga il conto. Sembra una situazione ideale, ma la sicurezza della rete aziendale e in definitiva quella dei dati aziendali come viene garantita?
Violazioni di dati e altri incidenti possono essere molto costosi, soprattutto in prospettiva, quando dal 25 maggio p.v. con il nuovo Regolamento della Privacy le perdite di dati potranno essere sanzionate molto più severamente di adesso.
Il BYOT oggi è veramente un beneficio per le organizzazioni come appare?
Le opportunità che offre sono molteplici: flessibilità del lavoro, soddisfazione dell’utente, aumento della produttività, relativo risparmio sull’acquisto e sul mantenimento dei dispositivi. Nell’altro piatto della bilancia ci sono i rischi dovuti alla possibile perdita di dati, legati principalmente al fattore umano, l’anello più debole per quanto riguarda Information Security.
Ma ritornando alla visione più tecnica del problema, diversamente dai dispositivi ICT di proprietà dell’organizzazione, i dispositivi personali (POD) sono dispositivi ICT di proprietà di dipendenti o di terze parti (quali fornitori, consulenti ecc.). Impiegati autorizzati e terze parti intendono utilizzare i loro POD per motivi di lavoro, ad esempio facendo e ricevendo telefonate al lavoro e messaggi di testo sui propri cellulari personali, utilizzando il proprio tablet per accedere, leggere e rispondere alle email di lavoro o lavorare da casa. Il BYOD pertanto è associato a una serie di rischi per la sicurezza delle informazioni quali: perdita, divulgazione o danneggiamento dei dati aziendali sui POD; incidenti che coinvolgono o compromettono l’infrastruttura ICT aziendale e altre risorse informative (ad esempio infezione da malware o hacking); non conformità rispetto leggi, regolamenti e obblighi applicabili (ad esempio privacy o pirateria); diritti di proprietà intellettuale per informazioni aziendali create, archiviate, elaborate o comunicate sui POD durante l’attività lavorativa.
Ecco che, come in qualsiasi altro progetto, la definizione di una linea guida aziendale deve precedere l’implementazione della tecnologia, persino nel cloud. Sì, perché cloud e BYOD sono, nelle organizzazioni più evolute, intimamente connessi. Probabilmente una buona policy dovrà tenere conto di alcuni fattori quali:
La tipologia dei dispositivi. Quali dispositivi mobili saranno supportati? Solo alcuni dispositivi che garantiscano un doppio dominio (aziendale e personale) o qualunque dispositivo desideri il dipendente?
Conformità. Quali norme disciplinano i dati che l’organizzazione deve proteggere? La norma HIPAA (Health Insurance Portability and Accountability Act), ad esempio, richiede la crittografia nativa su tutti i dispositivi che contengono i dati in oggetto. E la ISO 27001, o la NIST 800-46?
Protezione. Quali misure di protezione sono necessarie (protezione dei passcode, dispositivi jailbroken/rooted, applicazioni anti-malware, crittografia, limitazioni relative ai dispositivi, backup iCloud)? E sulla base di quale Risk Assessment vengono individuate le contromisure di sicurezza efficaci?
Applicazioni. Quali applicazioni sono vietate? Scansione IP, condivisione di dati, Dropbox, social network? Da dove dovranno venire scaricate quelle ammesse?
Accordi. Esistono accordi aziendali e sui criteri di utilizzo (AUA, Acceptable Usage Agreement) per i dispositivi dei dipendenti con dati aziendali?
Servizi. A quale tipo di risorse/e-mail possono accedere i dipendenti? Alcune reti wireless o VPN? CRM?
Privacy. Quali dati vengono raccolti dai dispositivi dei dipendenti? Quali sono i dati personali che non verranno mai raccolti? Geolocalizzazione? gestione da remoto del terminale?
Il BYOD in definitiva è una best practice emergente per concedere ai dipendenti la libertà di lavorare sui propri dispositivi riducendo al contempo l’elevato onere finanziario e gestionale che grava sul personale IT. Bisogna tuttavia ricordare che BYOD non sarà mai in grado di garantire una gestione semplificata abbinata a un risparmio dei costi senza un’accurata policy aziendale, un’attenta analisi dei rischi e un’efficace piattaforma di gestione (MDM, Mobile Device Management).
Dal punto di vista regolatorio vale la pena ricordare, in campo internazionale il Data Protection Act 1998 (DPA), che richiede che il responsabile del trattamento dei dati debba adottare misure tecniche e organizzative adeguate contro l’elaborazione non autorizzata o illecita di dati personali e contro la perdita accidentale o la distruzione o il danneggiamento di dati personali.
In ambito ISO, standard fondamentale è rappresentato dall’ISO 27001:2013 e dalla linea guida in tema di networking security, ISO 27033-6. Da non dimenticare il contributo di ENISA sulla Consumerization of IT relativamente a strategie di mitigazione del rischio e buone pratiche, analizzando gli sviluppi BYOD e fornendo sei messaggi chiave per garantire che “portare il proprio dispositivo” non porti anche rischi imprevisti.
La strategia BYOD dunque può essere positiva sia per le imprese che per i lavoratori. Con i dovuti accorgimenti (pianificazione, adeguati investimenti, educazione dell’utente e tecnologie avanzate) si trasforma in un sistema “win to win”dove ognuno ha i suoi vantaggi e si ritiene soddisfatto, riuscendo a disinnescare le potenziali minacce; perchè come diceva il filosofo Zygmunt Bauman: “I confini dividono lo spazio; ma non sono pure e semplici barriere. Sono anche interfacce tra i luoghi che separano. In quanto tali, sono soggetti a pressioni contrapposte e sono perciò fonti potenziali di conflitti e tensioni.”