Uso il mio smartphone per lavoro (BYOD)?

Le nuove tecnologie portano con sé nuovi modi di accedere ai dati, nuovi tipi di dispositivi e interessanti alternative alle tradizionali piattaforme PC. Queste dinamiche hanno generato una tendenza a utilizzare dispositivi mobili sul posto di lavoro.

Bring Your Own Device (BYOD) (in italiano: Porta il tuo dispositivo) è un'espressione per riferirsi alle politiche aziendali che permettono di portare i propri dispositivi personali nel posto di lavoro, e usarli per avere gli accessi privilegiati alle informazioni aziendali e alle loro applicazioni.

BYOD include ben più che i semplici personal computer. Significa che per svolgere il proprio lavoro i dipendenti possono itilizzare i propri smartphone, tablet, ultrabook e molto altro ancora.
Il concetto BYOD può essere esteso a software e servizi, in quanto gli utenti potrebbero adoperare servizi cloud e altri tool on-line.

La pratica del BYOD sta facendo notevoli passi avanti nel mondo aziendale, con circa il 75% di impiegati nei mercati in via di sviluppo, quali Brasile e Russia e il 45% in mercati sviluppati che già usano la loro tecnologia a lavoro.


Quali sono i rischi?


BYOD è una soluzione ma anche un nuovo rischio. L'organizzazione si trova a dover garantire la sicurezza e la riservatezza dei dati su dispositivi che non possiede né controlla completamente.

Le problematiche di sicurezza sono riconducbili a:

• Protezione dei dati sensibili e la proprietà intellettuale;
• Protezione delle reti alle quali i dispositivi BYOD si connettono;
• La responsabilità del dispositivo e delle informazioni in esso contenute;
Rimozione dei dati dell'organizzazione dai dispositivi di proprietà dei dipendenti alla cessazione del rapporto di lavoro o di   perdita del dispositivo;
• Protezione da malware.

È rischioso pensare che proibire l'utilizzo dei dispositivi personali in azienda possa risolvere il problema: i dipendenti, i dirigenti e/o il top management continueranno a usarli, fuori dal vostro controllo e a prescindere dalle vostre policy di sicurezza.

Tutte le aziende hanno la flessibilità, a seconda dei relativi requisiti normativi ed etiche aziendali, di utilizzare BYOD nel modo che ritengono più adeguato.

Quali contromisure adottare?


Al fine di supportare la gestione dei rischi introdotti dal BYOD e in generale all’utilizzo di dispositivi mobili l’organizzazione dovrebbe definire una policy aziendale che tenga in considerazione almeno i seguenti aspetti:
  • modalità di separazione dell’uso privato e per business dei dispositivi
  • i requisiti per la loro protezione fisica;
  • i requisiti per il software dei dispositivi portatili e per l’applicazione di patch;
  • modalità di protezione contro malware;
  • modalità di utilizzo in aree pubbliche, sale riunioni e altre zone non protette
  • possibilità di provvedere alla cancellazione remota dei dati da parte dell’organizzazione in caso di furto o smarrimento del dispositivo o quando non più autorizzati a utilizzare il servizio
  • ecc.

Inoltre dovrebbero essere implementate delle sessioni di formazione al fine di aumentare la consapevolezza del personale sui rischi aggiuntivi derivanti dall’utilizzo del BYOD in azienda e sui controlli che dovrebbero essere attuati.

Approfondimenti e linee guida sull’utilizzo dei dispositivi mobili e del BYOD sono riportati nella norma ISO/IEC 27002:13 (Controllo 6.2.1 Mobile device policy).