ABC della sicurezza: BYOD

By
Alessandro Contini
-

BYOD, per esteso Bring Your Own Device, è un acronimo usato per descrivere una politica aziendale che permette ai dipendenti di portare il proprio device mobile sul posto di lavoro ed utilizzarlo interagendo con i sistemi e dati dell’azienda.

Perché si sente il bisogno di spingersi verso questo nuovo modo di gestire le device e di conseguenza il lavoro dei propri dipendenti? La risposta si può trovare sicuramente nei numeri relativi alla crescita dell’utilizzo delle device mobili, all’utilizzo dei social, del cloud e di molte altre tecnologie che stanno guidando la rivoluzione  in questo ambito. Vi risparmio le tabelline tanto sono sicuro che le noiose percentuali non facciano riflettere quanto constatare voi stessi l’incremento della presenza dei dipositivi mobili nella vita di tutti i giorni.

Pro e contro

idc_mobility_byodMa per quale motivo si pensa che l’uso di una device, scelta dal proprio dipendente, possa essere utile ad un’azienda? Tra i vantaggi che potrebbero emergere troveremmo: l’aumento della produttività dei dipendenti, i quali si sentirebbero maggiormente coinvolti nelle attività lavorative, grazie proprio alla possibilità di operare in mobilità e con il proprio device, incrementando anche la loro soddisfazione professionale. I minori costi dell’hardware: l’azienda si farebbe carico solo degli oneri relativi ai consumi delle device utilizzate, percezione dell’azienda come ambiente aperto e giovanile.

Di contro: problemi di compatibilità delle device personali con i sistemi aziendali, che rendono difficile anche l’assistenza degli stessi, si pensi alla varietà delle device e dei sistemi operativi utilizzabili. Ogni utilizzo poco accorto della device potrebbe inficiare anche sui dati dell’azienda, basti pensare a quanti virus sono presenti sulle varie app commerciali sia android che IOS, non a caso l’acronimo più usato per il BYOD è anche Bring Your Own Malware. Non da meno, con l’attuazione di una politica di BYOD, molte sarebbero le difficoltà nella gestione delle policy e di adempimento agli obblighi di legge soprattutto per la tutela del  trattamento dei dati.

Nodi tecnici

Vediamo quindi alcuni scenari ad oggi presenti sul mercato per ovviare a molte delle problematiche strettamente tecniche su cui ci si può scontrare:

  • “Nativo” – In questo scenario ogni dipendente può acquistare le proprie App dai market di riferimento e non ci sono alcune restrizioni riguardanti la gestione della device da parte dell’azienda. Nel caso in cui le app di utilizzo lavorativo gestiscano esclusivamente dati pubblici, questa soluzione è sicuramente la più leggera ma, ovviamente la meno sicura. In quanto non ci sono diversificazioni alcune tra la parte privata e quella lavorativa della device e del suo utilizzo.
  • “Virtualizzato” – Questo scenario permette, tramite l’utilizzo di una device mobile, di connettersi all’IT dell’azienda tramite virtual app e virtual data, operando come se si fosse all’interno. Un estensione delle normali Virtual Private Network  che si utilizzavano con i PC portatili e non. Nessun dato lascia l’azienda, che ha come unico compito quello di verificare gli accessi ai propri sistemi garantendo che non ci siano intrusioni. E’ possibile operare con questo scenario per varie tipologie di dati, anche critici, ma non è possibile utilizzare la device offline, di conseguenza in assenza di collegamento il dipendente non è in grado di continuare il proprio lavoro.
  • Containerizzato” – L’IT dell’azienda crea un container nella device mobile, dove vengono installate e configurate tutte le app custom e di terze parti utili per il lavoro, separandole dal resto. Le applicazioni nel container quindi possono essere gestite dall’IT dell’azienda secondo le sue policies. Inoltre è possibile utilizzare connessioni SSL e VPN per garantire il corretto collegamento in qualsiasi configurazione si utilizzi la device. In questo scenario il container e tutto il suo contenuto può essere cancellato da remoto. Una soluzione molto utile per i dati critici e sensibili dell’azienda.
  • “Controllo completo” – Questo scenario è già garantito da molti software di Mobile Device Management, ed ha come scopo quello di controllare completamente la device in modo da avere tutte le restrizioni e limitazioni che la rendano completamente legata all’IT dell’azienda. Nonostante la sicurezza e l’integrità di questo sistema sia molto alta, si adatta poco ad una soluzione di BYOD. In questo caso il dipendente perde completamente il possesso del suo device.

Perchè questi scenari? In che modo quindi si può gestire il BYOD in un azienda? Dal punto di vista di molte aziende di software che si stanno interessando all’argomento, la migliore soluzione è un mix tra il Virtualizzato e il Containerizzato. Mantengono la flessibilità e la facilità di gestione senza tralasciare la sicurezza del dato, compresa la cancellazione a seguito del furto o di dimissioni di un dipendente.

Nodi legali

Abbiamo parlato di soluzioni tecniche e di benefici economici, ma non si può pensare di chiudere un discorso vagamente completo sul BYOD senza occuparsi, almeno brevemente, di esso in termini di privacy. Abbiamo visto come in alcuni scenari la scelta possa dipendere proprio dal dato che si va a trattare. È importante sottolineare però, che le aziende che implementano politiche di BYOD opereranno in qualità di Titolari del trattamento. Con la conseguenza che saranno tenute, per legge, a porre in essere su dispositivi mobili “non-aziendali” le appropriate misure tecniche di sicurezza previste dalla normativa a tutela dei dati personali dei soggetti interessati. Più esplicito è l’art. 17 – Direttiva 95/46/EC che dichiara espressamente: “il Titolare del trattamento deve attuare misure tecniche ed organizzative appropriate al fine di garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall’alterazione, dalla diffusione o dall’accesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all’interno di una rete, o da qualsiasi altra forma illecita di trattamento di dati personali. Tali misure devono garantire, tenuto conto delle attuali conoscenze in materia BYOD  e dei costi dell’applicazione, un livello di sicurezza appropriato rispetto ai rischi presentati dal trattamento e alla natura dei dati da proteggere”, confermato puntualmente dal D.Lgs. 196/2003 nazionale.

Un argomento sicuramente molto vasto per poter essere racchiuso in poche righe. Di certo scomodo per alcuni risvolti anche sociali. Non abbiamo parlato di compulsività, di alienazioni, nè di molte altre facce dello stesso… Device. A tal proposito rubo ad uno dei miei autori preferiti un monito: “L’essenziale in una buona e sana aristocrazia si è però, che essa non senta se stessa quale funzione, sia di un re o di una comunità, bensì quale intimo significato e quale più alta giustificazione dei medesimi, – e che accolga perciò in buona coscienza il sacrificio d’innumerevoli individui, i quali per essa devono ridursi ad essere uomini incompleti, schiavi, strumenti.”  F. Nietzsche “Al di la’ del bene e del male”.

Facebook Comments

RELATED ARTICLESMORE FROM AUTHOR

LEAVE A REPLY

Please enter your comment!
Please enter your name here