Le nuove tecnologie hanno introdotto nuove modalità di accesso ai dati a scapito del personal computer. Nel 2012 le vendite di smartphone hanno superato quelle dei PC di 300 milioni di unità e i tablet venduti hanno superato i 100 milioni (dati Forrester). La nuova era del Mobile è ricca di opportunità ma presenta anche alcuni rischi e pericoli che devono essere affrontati preventivamente e con la necessaria attenzione.
Sul fronte BYOD è errato assumere che proibendone la pratica si eliminino sul nascere i problemi. La proibizione porterebbe infatti i dipendenti ad usare i loro dispositivi personali. Meglio quindi favorire la pratica governandola e cercando di analizzare il profilo dell’utente che pratica il BYOD e il suo ruolo in azienda. Bisogna determinare chi gestisce il dispositivo per garantirne la sicurezza definendone i limiti nell’utilizzo. IBM ad esempio impedisce ai suoi dipendenti l’uso di Dropbox e di Siri, il personal assistant di Apple per iPhone.
Il senso della vita
La difesa da possibili attentati alla sicurezza sui dispositivi BYOD passa dall’applicazione di semplici pratiche quotidiane quali: password sicure, antivirus, sistemi di protezione crittografici, strumenti di MDM e controllo delle applicazioni. Le misure di protezione non devono impedire o limitare la produttività del dipendente e la flessibilità nell’utilizzo del suo dispositivo personale. Queste misure devono trovare organicità in policy aziendali e strumenti capaci di farle rispettare e renderle possibili in termini di gestione e controllo.
Nel decidere quali strumenti adottare per mettere in sicurezza i dati aziendali i passaggi obbligatori sono i seguenti:
- Identificazione dei rischi introdotti dalla pratica BYOD
- Misurazione del rischio e dell’impatto sul Business
- Creazione di un gruppo di lavoro o comitato incaricato della sicurezza BYOD
- Definizione delle policy adeguate
- Implementazione di un piano operativo per la gestione remota dei dispositivi, la gestione delle applicazioni, la sicurezza dello storage, ecc.
- Valutazione delle soluzioni possibili e del loro impatto operativo
- Implementazione delle soluzioni
- Revisione costante e aggiornamento di policy, piani e soluzioni
Il secondo rischio deriva dai dispositivi introdotti in azienda dalla pratica BYOD che devono essere protetti come lo sono stati fino ad oggi i personal computer in dotazione dei dipendenti. Le aziende devono fronteggiare un aumento costante di attacchi di malware ( dal 31% del 2010 al 37% del 2011) e dal furto dei dispositivi. Per prevenire danni e rischi serve valutare quali applicazioni aggiuntive installare e quali strumenti usare per mettere in sicurezza il dispositivo e definire con attenzione quali dati aziendali mettere a disposizione al dipendente in mobilità. I fornitori di soluzioni di questo tipo come ad esempio Sofos suggeriscono di pianificare con attenzione una strategia mobile con le seguenti azioni:
- Definizione di una strategia aziendale ( utenti, dati, transazioni, applicazioni, ecc.)
- Creazione di una policy adeguata e di linee guida comportamentali per l’organizzazione
- Ammnistrazione e controllo del rispetto delle policy e delle procedure
- Formazione dei diepnedenti
- Gestione e controllo delle applicazioni
- Implementazione di adeguate procedure di protezione e sicurezza (wipe dei dati,
- Gestione delle problematiche relaative alla privacy dei dati
Terzo fronte potenziale di rischi è lo storage sulla nuvola, pratica sempre più popolare, causa ed effetto della crescente diffusione di applicazioni mobili che usano servizi di cloud computing. I rischi derivano dalla perdita di controllo sui dati aziendali e privati e dalla scarsa informazione sulle caratteristiche delle infrastrutture fornite dai provider di servizi in cloud e delle misure per la sicurezza da essi predisposti. La richiesta di servizi di storage è in costante aumento (66% degli utenti usano piattaforme di file-sharing con Dropbox, il 45% per lavoro, ma il 64% di loro ritengono questa pratica rischiosa) e le aziende devono monitorare con attenzione l’uso che ne viene fatto e le garanzie fornite dal provider. E’ necessario porsi alcune domande ( chi amministra i dati, gestione congiunta dei dati, conseguenze in caso di perdita di dati, chi ne è responsabile, ecc.) e introdurre alcune soluzioni ( policy web-based per l’accesso in cloud, controlli sulle applicazioni che possono usare i dati in cloud, crittografia dei dati).
Il quarto fronte potenziale di rischio è la frequentazione e l’uso d aparte dei dipendenti di piattaforme di social networking. I rischi associati a queste soluzioni sono spam, malware e violazione della privacy. Più che impedire l’utilizzo dei social network conviene definire con precisione le policy e le regole per un loro utilizzo in azienda e le procedure per verificarne l’applicazione. Può essere utile la proposizione di un percorso formativo e di training finalizzato alla illustrazione dei rischi per l’azienda in caso di azioni dettate da comportamenti incauti (ad es. password poco sicure ) e poco virtuos