BYOD: le sfide dei device mobili sul piano della sicurezza delle informazioni
Percepito fino a pochi anni fa come una vera e propria sfida dagli addetti ai lavori oggi il fenomeno del BYOD registra una crescita costante ed inarrestabile, rivelandosi un’autentica opportunità per le aziende, in grado di coniugare l’estrema semplicità di utilizzo e l’elevato grado di portabilità con l’esigenza di connessione e scambio di informazioni con le risorse aziendali, azzerando le distanze geografiche, riducendo al minimo i tempi di risposta e dislocando nella tasca della giacca l’intero patrimonio dati aziendale.
A fronte degli innumerevoli vantaggi offerti dai device mobili, complici l’elevata flessibilità e l’indiscussa efficienza degli apparecchi di ultima generazione, il trend del BYOD ha tuttavia posto le aziende di fronte a nuove sfide sul piano della sicurezza, esponendole a rischi e criticità da non sottovalutare.
I principali timori riscontrati presso i reparti IT riguardano in particolar modo le possibili fughe di dati e la conseguente gestione di una perdita di informazioni, considerate – a ragione- il principale asset dell’impresa stessa. Un’altra questione da non trascurare è quella della mancanza di confini tra l’utilizzo professionale e quello personale del dispositivo: una distinzione, questa, poco percepita dall’utente e scarsamente disciplinata dal datore di lavoro.
Per prevenire l’insorgere di problematiche legali e di criticità nella gestione delle informazioni si rivela essenziale mettere in atto una politica interna finalizzata alla prevenzione, modulata su una serie di best practices ben definite e adeguate rispetto al modus operandi dell’azienda. Il primo passo da compiere è senza dubbio quello di disciplinare attraverso un regolamento informatico le policy vigenti in azienda rispetto a quelle previste per l’utilizzo dei device mobili fuori dal perimetro aziendale, definendo con precisione una serie di fattori quali le diverse categorie di dati trattati; le finalità di trattamento; i ruoli privacy dei soggetti coinvolti nel processo; eventuali trasferimenti di dati all’estero; il download di applicazioni e l’utilizzo di social media, giusto per citarne alcuni.
Promuovere la cultura della sicurezza tra i dipendenti attraverso una formazione costante e strutturata sulla base dei diversi profili aziendali è un passaggio essenziale per assicurare il patrimonio informativo interno. L’obiettivo è quello di rendere consapevoli i diretti interessati, nonché primi utilizzatori dei device mobili, dei comportamenti corretti da attuare e dei rischi connessi ad una cattiva o disattenta gestione dei dispositivi. Di contro l’azienda dovrà garantire elevati standard di protezione dei dati mobili proporzionati alla tipologia di dati gestiti tramite dispositivo, nonché regolamentando gli accessi di coloro che visualizzano i dati presenti nella rete, sui client e sui server per ridurre quanto più possibile i rischi connessi all’utilizzo di tecnologie, soprattutto hacking (accessi non autorizzati), sniffing (intercettazioni), guasti o virus, oppure vulnerabilità ambientali quali furti, smarrimenti ed eventi distruttivi come allagamenti ed incendi.
Affinché funzioni l’interazione tra infrastruttura IT e dispositivi mobili è dunque opportuno creare un contesto favorevole ed a prova di rischio per la sicurezza delle informazioni. Per far questo – riassumendo quanto detto sinora – è necessario in primis valutare l’impatto dell’utilizzo di tali strumenti sotto il profilo della sicurezza, attuando un’accurata mappatura dei rischi alla luce delle relazioni esistenti con la compliance normativa. Una volta definito il quadro d’azione è opportuno delineare, implementare o adattare le specifiche procedure per l’utilizzo dei dispositivi.
In ultima analisi – non certamente in ordine di importanza – l’azienda è tenuta ad adottare soluzioni tecnologiche idonee per la gestione del BYOD, in grado di prevenire e rispondere tempestivamente ad eventuali criticità. In questa fase dovranno essere definite le politiche di controllo delle applicazioni, di criptazione dei dati e di cancellazione in caso di furto o perdita dello strumento e le eventuali differenziazioni dei privilegi di coloro che accedono alle informazioni.
Articolo pubblicato su: www.byod.it