Tra i profili di rilievo in materia di BYOD va certamente considerato quello relativo alla sicurezza informatica.
Se sono infatti indubbi i vantaggi connessi all’eventuale scelta, da parte di una società, di consentire ai propri lavoratori l’utilizzo di dispositivi personali per lo svolgimento delle attività demandate, non ci si può esimere dal considerare che un tale strumento costituisce una porta di accesso alle informazioni, ai dati e ai sistemi aziendali e potrebbe essere impiegato, pertanto, anche da terzi per scopi illeciti.
Sul punto infatti occorre prendere atto che la crescente diffusione di smartphone e tablet, sia per uso personale che lavorativo, ha indotto la criminalità informatica a sviluppare strategie di attacco che sfruttano proprio tali canali. Da qui il moltiplicarsi di accessi abusivi e di frodi informatiche sempre più sofisticate, perpetrate attraverso questi devices mobili.
Si pensi ad esempio ad app mobile presenti nei vari market place, che, apparentemente innocue, possono invece consentire a malintenzionati di diffondere malware nel dispositivo in cui son state installate e di sferrare attacchi di phishing, che possono assumere connotazioni diverse a seconda dello strumento con cui l’attacco viene perpetrato (si pensi ad esempio al fenomeno dello “smishing” nel caso di messaggi di testo o sms).
La problematica della sicurezza investe sia gli smatphone e i tablet aziendali, sia i dispositivi di proprietà dei lavoratori di cui si voglia consentire l’uso anche per fini lavorativi.
Sulla strumentazione informatica aziendale ogni società ha la possibilità di esercitare un controllo immediato e diretto in termini di sicurezza (potrà infatti selezionare i dispositivi da adoperare in base alle maggiori garanzie offerte, adottare le misure idonee ad evitare o ridurre i rischi di accessi non autorizzati o distruzione o perdite dei dati contenuti e gestiti tramite detti strumenti, effettuare verifiche costanti e periodiche in termini di sicurezza).
Tale controllo non è invece esercitabile allo stesso modo sugli strumenti di proprietà del lavoratore, che però, ove utilizzati anche per fini lavorativi, devono offrire specifiche garanzie all’impresa (che rimane peraltro titolare, ai sensi del D. Lgs. 196/2003, dei dati aziendali trattati e gestiti tramite detti dispositivi e ha pertanto specifici obblighi in materia di sicurezza).
Come poter allora godere al massimo dei benefici tecnici e organizzativi connessi alla scelta del BYOD, riducendo al minimo le criticità sul piano della security?
L’impresa interessata ad aprirsi al Bring Your Own Device deve – innanzi tutto – affrontare in modo completo e specifico tutti gli aspetti connessi alla sicurezza dei dispositivi personali da utilizzare anche per fini aziendali, predisponendo apposita policy ove indicare al lavoratore proprietario del dispositivo, a titolo esemplificativo e non esaustivo, l’esigenza di impostare una password adeguata a soddisfare i criteri di complessità richiesti dalla legge, di non utilizzare WiFi pubbliche per accedere alla rete e ai dati aziendali, di comunicare prontamente alla società casi di hacking o tentativi di sottrazione di credenziali, di prestare attenzione prima di installare applicazioni mobile…
Un’ulteriore buona pratica prevede che la società individui, nell’ambito della policy, i dispositivi da poter utilizzare per fini lavorativi (escludendo in tal modo dal set degli smartphone o tablet autorizzati quelli che ritenga non offrano garanzie sufficienti o caratteristiche adeguate ai propri sistemi), e/o subordinare la possibilità di utilizzare il dispositivo personale ad un esame dello stesso da parte dell’area IT, che potrà in tal modo verificarne il livello di sicurezza e adottare eventuali misure e software ritenuti necessari.
Pubblicato su www.byod.it