BYOD: impatti privacy e rischi – Da Privacy News, settembre/dicembre 2015
Un commento di Alessandro Cecchetti sul tema BYOD che ha trovato spazio sul numero di settembre/dicembre di Privacy News (pag. 37). La rivista in formato cartaceo dedicata ai soci Federprivacy, è stata distribuita al Privacy Day 2015 e verrà diffusa nei prossimi eventi di settore tra cui Sicurezza 2015 e festival ICT.
Bring Your Own Device (BYOD) è molto più di una semplice espressione o sigla. Presuppone l’utilizzo di computer, tablet e smartphone personali per fini lavorativi, con evidenti vantaggi in termini di flessibilità e produttività, ma che comporta anche un’accresciuta complessità di gestione dei processi e della sicurezza delle informazioni aziendali.
Il Global Threat Intelligence Report 2015 di NTT, sottolinea come il 70% delle vulnerabilità aziendali siano da attribuire ai singoli utenti e si sviluppino attraverso dispositivi non completamente gestiti dalle imprese. Consentire il BYOD in azienda implica, quindi, la formulazione di valutazioni preventive e conseguenti scelte adeguate, tali da assicurare i necessari crismi di sicurezza e garantire l’aderenza alle normative di settore, alle quali la società è sottoposta.
Tutela dei dati significa non solo protezione fisica e software, ma cultura, e i vertici aziendali svolgono un ruolo primario nel responsabilizzare i propri operatori in merito. Scegliere di adottare il BYOD diviene occasione per ripensare i processi che regolano la protezione del patrimonio informativo, innalzando i propri standard in merito. Disporre, o revisionare, il Regolamento Informatico e le policies, integrando coerentemente il BYOD, consente di mappare i rischi e prevenirli, monitorare e razionalizzare l’uso delle risorse e dei sistemi, nonché di reagire in modo più efficace e rapido sul fronte della sicurezza.
E’ opportuno precisare che, qualora sul dispositivo di uso “ibrido” siano presenti dati o informazioni aziendali qualificabili come personali, per i quali la Società riveste il ruolo di Titolare del trattamento ex art. art 4 lett. f) D.Lgs. 196/2003, vige l’obbligo di porre in essere gli adempimenti previsti dal Codice Privacy e dai Provvedimenti dall’Autorità Garante. Se ciò non avviene potrebbero essere contestate inadempienze sotto il profilo della sicurezza, oppure trattamenti non conformi o illegittimi, posti in essere anche dai propri operatori.
L’ottica è quella della prevenzione, ed ecco che le scelte formalizzate nel Regolamento Informatico aziendale possono condizionare profondamente la sicurezza delle informazioni trattate, e le responsabilità dell’azienda titolare. Permettere il BYOD oppure no, e se è permesso, in quali termini e modi?
Inoltre la gestione dei devices da remoto e la conseguente installazione di MDM (Mobile Device Management) – che presenta un’evidente utilità in termini di sicurezza delle informazioni allocate su smartphone e tablet – deve essere esaminata tenendo conto che i dispositivi BYOD non sono di proprietà dell’azienda. Per di più, se la gestione da remoto può rivelarsi efficace, pone altrettanti diversi quesiti dal punto di vista del controllo a distanza sul lavoratore.
Alla luce della recente riforma del Jobs Act, sarà interessante capire se e come i cambiamenti prospettati, col dichiarato intento innovativo e tecnologico, incideranno sulle policies di gestione del BYOD e, ancor prima, sulla scelta delle imprese di abbracciare o meno tale progetto.