Cos’è il BYOD (Bring your own device)

Ti stai domandando qual è il significato di BYOD? Una politica BYOD (bring your own device) consente a dipendenti, appaltatori, e altri utenti finali autorizzati, di portare al lavoro i propri laptop e smartphone personali, e di collegarli alla rete aziendale. L’approccio BYOD è diffuso in molte aziende ed è notevolmente apprezzato dai dipendenti, che si sentono più a loro agio nell’usare i propri dispositivi. Tuttavia, l’uso di dispositivi personali espande significativamente la superficie di attacco dell’azienda, che dovrà adottare le opportune misure di sicurezza per proteggere l’ambiente di rete. Pertanto, è fondamentale stabilire una politica BYOD chiara e completa, al fine di proteggere i dati aziendali da eventuali furti e compromissioni.

I dispositivi appartenenti all’azienda sono facili da monitorare in quanto gli amministratori sono in grado di controllare ciò che viene installato sul dispositivo, e forzare gli aggiornamenti e le modifiche alla configurazione. Invece, nel caso del BYOD, gli amministratori devono bilanciare la cybersicurezza con la privacy del proprietario del dispositivo.

L’approccio alla sicurezza nel BYOD comprende diversi aspetti, che devono essere definiti in modo da soddisfare i requisiti aziendali di sicurezza, e allo stesso tempo evitare di essere troppo invasivi nei confronti dei dispositivi privati degli utenti. Per implementare una solida strategia di sicurezza informatica aziendale, è necessario determinare le applicazioni e le risorse a cui ogni utente può accedere da un personal computer o da uno smartphone. Inoltre, è possibile attuare controlli di sicurezza specifici e minimi per i dispositivi.

Ad esempio, un utente potrebbe utilizzare uno smartphone per connettersi alla posta elettronica o accedere ad altri dati aziendali specifici. Prima che l’utente possa connettersi alla rete aziendale con il proprio dispositivo, deve avere installato un antivirus. Un’applicazione antivirus serve a proteggere il dispositivo dai malware, e permette all’organizzazione di rimanere conforme alle normative previste. Questa misura di sicurezza protegge i dati aziendali, senza interferire con il dispositivo privato dell’utente.

La tecnologia dei dispositivi mobili e degli smartphone cambia rapidamente, di conseguenza la sicurezza informatica ha l’obbligo di stare al passo con questi continui cambiamenti. Le evoluzioni tecnologiche seguono in genere tendenze specifiche, e più una tendenza è popolare, più attira l’attenzione dei cybercriminali. Pertanto, anche le strategie di sicurezza informatica vanno adeguate di conseguenza.

Anche le strategie BYOD si evolvono per sviluppare infrastrutture più sicure, senza però invadere la privacy degli utenti. Tra le tendenze più popolari delle politiche BYOD troviamo:

• Requisiti dei dispositivi: gli utenti possono connettersi alle risorse di rete solo se dispongono di un sistema operativo minimo supportato, e se utilizzano solo un determinato elenco di produttori di dispositivi. Questo requisito evita l’utilizzo di sistemi operativi obsoleti e limita gli attacchi malware.
• I dispositivi smarriti vanno segnalati immediatamente: idealmente, gli utenti dovrebbero installare sui propri dispositivi personali un’applicazione di formattazione remota per proteggere i dati aziendali, in caso di smarrimento o furto del dispositivo. Che sia presente o meno una funzione di cancellazione remota, gli utenti devono comunque segnalare immediatamente quando un dispositivo non è più in loro possesso.
• Politiche sulla privacy BYOD: Tutte le politiche BYOD devono essere trasparenti, in modo che gli utenti possano comprendere appieno ciò che va installato e configurato per portare i propri dispositivi al lavoro. Ciò include la connessione remota alla rete dai propri dispositivi.

• L’utilizzo dei dispositivi mobili incentiva i dipendenti a lavorare fino a 240 ore in più all’anno, per portare a termine le attività.
• L’utilizzo della posta elettronica, del calendario e la gestione dei contatti sono le caratteristiche più utili del BYOD per i dipendenti.
• L’uso dello smartphone nel lavoro aumenta la produttività del 34%.
• La flessibilità superiore e il maggior numero di ore lavorate, sono i due vantaggi principali per i datori di lavoro.

• I dipendenti che hanno la possibilità di lavorare da remoto risultano più produttivi durante la loro giornata lavorativa.
• Oltre l’80% delle aziende incoraggia l’approccio BYOD.
• L’aumento della produttività permette alle aziende di generare un valore di 350 dollari per dipendente all’anno.
• Il 61% delle aziende si aspetta che i dipendenti siano disponibili da remoto anche se non forniscono un telefono cellulare.

Spesso le aziende che non hanno ancora adottato una politica BYOD non sanno bene da dove cominciare. In linea di massima, una politica BYOD consente ai dipendenti di portare sul posto di lavoro uno smartphone, un laptop, un tablet o qualsiasi altro dispositivo portatile. Circa l’80% delle aziende supporta una politica BYOD e la maggior parte dei dipendenti ne approfitta, utilizzando almeno uno dei propri dispositivi personali per accedere alle applicazioni e ai dati aziendali.

Sebbene una politica BYOD possa aumentare la produttività dei dipendenti, la sfida principale è rappresentata dallo sforzo in termini di cybersecurity, necessario per proteggere i dati aziendali. Le aziende possono adottare diverse politiche e strategie per stabilire standard che consentano ai dipendenti di accedere ai dati aziendali, senza metterli a rischio.

Il cuore di un approccio BYOD è la definizione di una politica di “uso accettabile”. Questa politica dipende dal settore in cui opera l’azienda e dal rispetto di eventuali normative di conformità. Ad esempio, le organizzazioni che operano nel campo sanitario devono attenersi a norme rigorose sui dati dei pazienti, e garantire che l’accesso avvenga tramite controlli specifici. Lo stesso vale per gli istituti finanziari, che conservano le informazioni bancarie dei clienti.

Le politiche di accesso ai dati devono includere:

• Siti web off-limits per la navigazione, e tutte le connessioni remote ai dati devono avvenire su una rete privata virtuale (VPN).
• Applicazioni a cui è possibile accedere dal dispositivo, come e-mail, appuntamenti in calendario, messaggistica e contatti aziendali.
• La trasmissione e l’archiviazione di materiale illecito devono essere vietate per evitare l’installazione accidentale di malware che potrebbero essere utilizzati per sottrarre informazioni sensibili.

Gli organi che si occupano di compliance richiedono spesso il monitoraggio. In genere i privati non installano software di monitoraggio sui loro dispositivi, ma in un ambiente aziendale, ciò è necessario. Inoltre, gli amministratori possono installare sui dispositivi strumenti di gestione remota per consentire l’accesso in caso di furto o smarrimento. Ciò consente inoltre agli amministratori di installare gli aggiornamenti software del dispositivo per evitare vulnerabilità dovute ad applicazioni non aggiornate. Un software remoto consente di eseguire il backup dei dati memorizzati sul dispositivo, un altro requisito richiesto dalle normative di conformità.

Una volta stabilite e documentate le politiche, il passo successivo è quello di informare i dipendenti in modo che siano a conoscenza delle linee guida. Una politica solida richiede anche aggiornamenti e modifiche dopo la revisione e le lezioni apprese nel caso in cui un requisito della politica si riveli inutile o incompleto.

L’approccio BYOD offre vantaggi sia ai datori di lavoro che ai dipendenti. Il vantaggio principale per le aziende è la riduzione dei costi operativi. L’utilizzo dei dispositivi da parte dei dipendenti significa che le aziende non devono più acquistarli, riducendo così i costi di migliaia di dollari. In genere, i datori di lavoro dovranno comunque pagare per i contratti di telefonia mobile e per il piano dati degli smartphone, ma il costo è comunque inferiore a quello delle apparecchiature hardware.

Quando i dipendenti utilizzano dispositivi con cui hanno già familiarità, la produttività aumenta. Non dovranno più perdere tempo a configurare i propri dispositivi per adattarli alle loro preferenze specifiche, in quanto saranno già impostati per essere il massimo dell’efficienza. Allo stesso modo i costi di formazione si riducono perché i dipendenti non devono più imparare imparare come si usano i dispositivi, e possono studiare le varie applicazioni secondo i propri ritmi.

Se un dipendente desidera possedere l’ultima tecnologia, acquista un nuovo dispositivo, migliorando allo stesso tempo la tecnologia aziendale necessaria per rimanere operativi. Invece di acquistare nuove apparecchiature, l’organizzazione può sfruttare la tecnologia più recente posseduta dal dipendente, che può contribuire così a migliorare la produttività e a introdurre le ultime tendenze agli altri dipendenti.

Nonostante i numerosi vantaggi, il BYOD presenta anche alcune sfide che ogni azienda dovrebbe prendere in considerazione prima di pianificare e implementare una politica BYOD.

Alcune sfide che potresti affrontare:

• Scarsa comunicazione: proprio come le norme di cybersecurity, anche le norme BYOD devono essere  comunicate chiaramente. Se un utente non comprende la politica, la comunicazione errata può portare a un uso improprio del BYOD. Ad esempio, se non si definiscono chiaramente le applicazioni da installare, come il software antivirus, è possibile che l’utente finirà per non disporre delle adeguate protezioni di sicurezza sul proprio dispositivo.
• Dispositivi smarriti o rubati: poiché gli utenti portano con sé i propri dispositivi, è possibile che questi dispositivi, contenenti dati aziendali privati, vengano smarriti o rubati. Alcune politiche BYOD richiedono che i dispositivi dispongano di un’applicazione di cancellazione remota per eliminare i dati sensibili. Alcuni dispositivi, come gli iPhone di Apple, crittografano l’archiviazione, ma i computer portatili e i tablet potrebbero necessitare di un’ulteriore crittografia dell’archiviazione configurata per proteggere i dati dopo lo smarrimento o il furto dei dispositivi.
• Connessioni del dispositivo: la connessione agli hotspot Wi-Fi gratuiti consente di risparmiare sull’utilizzo del proprio piano dati, per cui l’abitudine di collegarsi a tali hotspot è molto diffusa, specie quando si è in viaggio. Molti cybercriminali concentrano perciò la loro attenzione sulle aree con hotspot Wi-Fi gratuiti, al fine di indurre gli utenti a connettersi a hotspot malevoli. Per proteggersi da queste connessioni dannose ed evitare l’intercettazione dei dati, è necessario che i propri dipendenti si colleghino a una rete privata virtuale (VPN) certificata dall’azienda.
• Applicazioni malevole: gli utenti hanno la libertà di installare qualsiasi applicazione sui propri dispositivi, tuttavia ciò rende i dati aziendali vulnerabili alle applicazioni malevole e al malware. La tua politica BYOD dovrebbe vietare il jailbreaking dei telefoni, poiché questi smartphone sono più vulnerabili alle violazioni dei dati, in quanto non dispongono di protezioni integrate nel sistema operativo.
• Dispositivi aperti e sbloccati: sebbene alcuni utenti scelgano di lasciare i loro dispositivi sbloccati ed evitare di usare il codice PIN, ciò significa che chiunque potrebbe essere in grado di impossessarsi del dispositivo e trafugarne i dati. Una solida politica BYOD dovrebbe imporre agli utenti di impostare un PIN o una password sui propri dispositivi, aggiungendo un ulteriore livello di sicurezza tra i dati sensibili e le minacce esterne.

I rischi derivanti dall’adozione di una politica BYOD sono direttamente correlati alle sfide che l’azienda potrebbe dover affrontare. Ad esempio, una delle sfide del BYOD è la protezione dei dati dal furto, ma è un rischio che si corre anche consentendo agli utenti di memorizzare i dati aziendali sui propri dispositivi. Anche il malware è una minaccia, ma può essere scongiurato utilizzando il giusto software antivirus.

La mancata conformità è uno dei rischi più significativi. Se qualcuno dovesse sottrarre dati sensibili da un dispositivo rubato o manomesso, la tua società potrebbe andare incontro a controversie legali per mancata conformità e danni alla privacy dei clienti. Difendersi dalle cause legali è costoso e può avere un impatto diretto sui ricavi, per via dei danni alla reputazione del marchio.

Gli utenti di solito hanno dimestichezza con i propri dispositivi, ma la gestione dei dispositivi mobili è affidata all’utente piuttosto che agli amministratori, e questo pone un rischio. Una gestione non corretta dei dispositivi mobili può rendere il dispositivo più vulnerabile ai malware e ad altri attacchi dannosi, se l’utente non sa come bloccare le minacce più comuni.

Qualora gli amministratori non monitorino il BYOD, l’ambiente potrebbe essere vulnerabile allo Shadow IT. I dispositivi Shadow IT sono computer portatili, smartphone e tablet degli utenti che non sono autorizzati a connettersi alla rete. Questi dispositivi possono essere collegati alla rete in modo malevolo per esfiltrare dati e spiare il traffico.

La definizione di una politica BYOD efficiente può richiedere mesi, ma una strategia migliore protegge efficacemente i tuoi dati e può essere comunicata facilmente. Potrebbe essere necessario un aiuto esterno per determinare tutto ciò che deve essere incluso in una politica, e in questo, gli specialisti possono aiutarti a stabilire un piano d’azione ad hoc.

Alcuni suggerimenti per la definizione di una politica BYOD:

• Stabilire politiche di sicurezza: la protezione dei dati è uno dei componenti più critici di una buona politica BYOD. Traccia ogni aspetto delle misure di sicurezza informatica installate sul dispositivo, in modo che sia protetto dalle minacce virtuali e fisiche.
• Creare una guida all’uso: una politica di utilizzo accettabile (AUP) definisce i siti web, i software e le connessioni di rete approvati dall’organizzazione.
• Installare un software di gestione remota: gli amministratori devono essere in grado di applicare patch di sicurezza al software e cancellare i dati da remoto in caso di furto. Inoltre, un software per la gestione remota consente agli amministratori di accedere al dispositivo per effettuare gli aggiornamenti.
• Implementare l’autenticazione a più fattori (MFA): se un malintenzionato dovesse accedere al dispositivo, non potrà utilizzare entrambi i fattori di autenticazione necessari per accedere alle applicazioni e ai dati aziendali.
• Fornire una formazione continua ai propri dipendenti: gli utenti devono essere consapevoli degli attacchi più comuni e dei modi in cui i cybercriminali sottraggono i dati dai dispositivi mobili. La formazione aiuta a ridurre il rischio di violazione dei dati.

• Scrivere una politica dettagliata: ogni aspetto della AUP (politica di utilizzo accettabile) e della politica BYOD deve essere definito e documentato nel dettaglio sia per gli utenti che per la direzione.
• Implementare la gestione delle identità: installare controlli di accesso e gestione delle identità per garantire che solo gli utenti autorizzati possano accedere ai dati.
• Mantenere la privacy dei dipendenti: tieni a mente che l’utente è il proprietario del dispositivo, quindi le politiche devono riguardare solo i dati aziendali e non le informazioni private del proprietario del dispositivo.

• Formare i dipendenti: assicurarsi che i dipendenti siano consapevoli delle migliori pratiche e di come utilizzare i propri dispositivi in modo sicuro e protetto.
• Cancellazione dei dati da remoto: in caso di smarrimento del dispositivo, l’utente deve  segnalare immediatamente la perdita, in modo che i dati sensibili possano essere cancellati il prima possibile.
• Avere una strategia di uscita: se il dipendente lascia l’azienda, il dispositivo non deve più essere autorizzato ad accedere alle applicazioni aziendali e deve essere disattivato dalla connettività della rete aziendale.