BYOD. Cosa è? …rischi e vantaggi

BYOD-loved-ictgroup

Sia che siate IT manager, liberi professionisti o utenti finali, Bring Your Own Device (BYOD) sta diventando sempre più una regola e sempre meno un’eccezione nelle realtà lavorative moderne. Anche se BYOD è una strategia pratica per i dipendenti, bisogna tenerne presente l’impatto sui modelli di sicurezza aziendali. Abbiamo quindi deciso di spiegare e descrivere rischi e vantaggi di BYOD, indicando come si possa adottare BYOD sul posto di lavoro, pur mantenendo protetti i dati.

Innazitutto due parole su cosa è BYOD.

Con “portare il proprio dispositivo (BYOD)” (detto anche portare la propria tecnologia (BYOT), “portare il proprio telefono (BYOP)”, e “portare il proprio PC (BYOPC)”) si intende la politica di consentire ai dipendenti di portare i dispositivi mobili di proprietà personalmente (computer portatili, tablet e smartphone) al loro posto di lavoro, e utilizzare tali dispositivi per accedere a informazioni privilegiate e di applicazioni dell’azienda. Il termine è anche usato per descrivere la stessa prassi applicata per gli studenti che utilizzano i dispositivi di proprietà personale in contesti educativi.

Le stesse tecnologie su cui si basa l’avanzamento della diffusione di BYOD consentono agli utenti di accedere anche a software diverso da quello aziendale. Tale fenomeno è noto come “Bring Your Own Software (BYOS)”.

Gli utenti finali possono servirsi di fornitori di servizi cloud pubblici e gratuiti per agevolare la collaborazione e il trasferimento di documenti dalle dimensioni elevate. Tuttavia questi documenti possono contenere dati che rientrano nell’ambito regolato dalle indicazioni normative, rischiando di mettere a repentaglio i vostri dati.

È necessario valutare la metodologia di trasferimento e archiviazione dei file aziendali sui servizi di cloud storage.

Ponetevi le seguenti domande:

* Come vengono cifrati i dati?
* Utilizzano una chiave unica per tutti i clienti?
* Chi possiede diritti di accesso alla chiave di decifrazione dei dati?
* Sarebbero disposti a cedere i dati alle autorità, nel caso in cui ne venga richiesta la confisca?
* In quali paesi sono situati i server su cui vengono archiviati i dati?
* La vostra azienda ha stipulato accordi con i clienti che proibiscono l’archiviazione dei dati in determinati paesi?

byod-ictgroup

Se adeguatamente implementato, un programma BYOD può ridurre i costi, pur incrementando produttività e utili. Man mano che BYOD diventa sempre più diffuso nei reparti IT, la sicurezza deve diventare il concetto più immediato e importante sia per gli utenti che per gli amministratori IT.

È sicuramente rischioso pensare che proibire l’utilizzo dei dispositivi personali in azienda possa risolvere il problema: i dipendenti continueranno a usarli, fuori dal vostro controllo e a prescindere dalle vostre policy di sicurezza.

Indipendentemente dalla vostra opinione su BYOD e dal modo in cui decidiate di implementarlo, i responsabili IT devono affrontarne l’arrivo esattamente come per qualsiasi altro tipo di tecnologia: con un delivery controllato e prevedibile.

Ponetevi le seguenti domande:

* A chi appartiene il dispositivo? È una domanda che col passare del tempo ha ricevuto risposte diverse. In passato i dispositivi appartenevano alle aziende. Con BYOD, i dispositivi sono di proprietà dell’utente.
* Chi gestisce il dispositivo? In passato, la risposta era semplice. Oggi come oggi potrebbe essere l’azienda, oppure l’utente finale.
* Chi protegge il dispositivo? La responsabilità degli utenti non svanisce semplicemente perché i dispositivi appartengono a loro. Dopotutto i dati in essi contenuti sono di proprietà dell’azienda.

Rispondere a queste domande è essenziale sia per capire i rischi che per approfittare dei vantaggi di BYOD.

Tutte le aziende hanno la flessibilità, a seconda dei relativi requisiti normativi ed etiche aziendali, di utilizzare BYOD nel modo che ritengono più adeguato. Vi sono ad esempio aziende che hanno scelto di non implementare un programma BYOD, in quanto lo considerano un rischio troppo elevato.

È necessario avere la possibilità di implementare policy di sicurezza a livello dei dispositivi e poter proteggere la proprietà intellettuale nell’eventualità di furto o smarrimento di un dispositivo.

La migliore strategia di difesa per i BYOD comincia con gli stessi requisiti applicabili ai dispositivi già connessi alla rete aziendale. Fra queste misure di sicurezza vi sono:

* Implementazione di passcode sicuri su tutti i dispositivi
* Protezione antivirus e prevenzione della perdita dei dati (DLP)
* Cifratura completa di disco, supporti rimovibili e cloud storage
* Gestione dei dispositivi mobili (Mobile device management, MDM), per eliminare i dati di natura sensibile in caso di furto o smarrimento di un dispositivo
* Application control

Per essere efficace, un programma BYOD deve permettere agli utenti di essere produttivi al di fuori dell’orario di lavoro, fornendo nel contempo la flessibilità di poter fare ciò che desiderano quando non lavorano (come ad es. aggiornare il proprio stato o dedicarsi a giochi interattivi).

Qualsiasi decisione prendiate per le policy di BYOD, accertatevi che siano implementabili e che consentano al reparto IT di effettuare il delivery del software in remoto.

Venerdì pubblicheremo un altro articolo sul BYOD includendo i 7 punti fondamentali da seguire per un ottimo piano di sicurezza BYOD.

Speak up! Fateci sapere cosa ne pensate.