«Bring Your Own Device» può funzionare senza rischi per le imprese solo se l’impiego per scopi aziendali di dispositivi mobili privati è regolamentato in modo preciso e si basa su una strategia globale.
Testo: Urs Binder, Immagini: Strandperle,
Quasi tutti possiedono oggi dispositivi personali. Cosa c’è di più ovvio, se non utilizzare il proprio smartphone, tablet e notebook anche sul lavoro: in fondo non sempre si vuole portare con sé due apparecchi dello stesso tipo per fare e ricevere telefonate private e di lavoro o per accedere anche in viaggio a documenti aziendali. Anche in Svizzera la mobilità costituisce uno dei temi più importanti dell’ICT, come stabilito in uno studio recente condotto dagli esperti di ricerca di mercato di MSM Research.
«Bring Your Own Device» (BYOD) viene spesso proposto dai dipendenti ed implica per l’azienda la gestione di diverse sfide. Sono necessari in egual misura management, organizzazione e competenze tecniche per regolamentare l’utilizzo di apparecchi privati ed evitare rischi per la sicurezza. BYOD comporta l’introduzione di nuove abitudini di lavoro, che modificano la cultura aziendale. Già solo questo fatto comporta che BYOD non debba restare in alcun modo una questione meramente tecnica, ma debba essere supportato fin dall’inizio dal management ed integrato nell’organizzazione.
La domanda circa le modalità di integrazione degli apparecchi nella rete aziendale è sì la più ricorrente, tuttavia è soltanto una delle tante. Senza una strategia che tenga conto della situazione aziendale specifica e senza norme chiaramente definite, i vantaggi previsti di BYOD non diventeranno effettivi, ossia non si verificherà un aumento di produttività e di soddisfazione tra i dipendenti, un’ottimizzazione della collaborazione e, in ultima analisi, non avrà nemmeno luogo la riduzione dei costi in seguito all’eliminazione dei dispositivi aziendali.
In concreto BYOD riguarda nell’impresa numerosi livelli:
Una cosa è certa: l’utilizzo privato e quello aziendale devono essere separati sugli apparecchi mobili. Nell’ambito privato i dati sono infatti trattati con minor prudenza, mentre le informazioni aziendali richiedono più sicurezza: queste ultime sono spesso riservate e sono soggette a un determinato quadro normativo giuridico. Questo richiede il più delle volte una conservazione dei dati in Svizzera e non un archivio come Dropbox o un’altra soluzione cloud con ubicazione del server fuori confine.
Due sono gli approcci per realizzare la separazione tra ambito privato e aziendale. Gli apparecchi vengono gestiti da una soluzione nel settore Mobile Device Management (MDM) o Enterprise Mobility Management (EMM). In questo modo viene creato sul dispositivo un ambito rigorosamente separato riservato all’uso aziendale. Lo scambio dati tra l’ambito privato e quello aziendale viene impedito. Anche se MDM e EMM assicurano una sufficiente protezione, sull’apparecchio sono presenti dati aziendali che potenzialmente possono essere oggetto di un attacco informatico.
Il secondo approccio prevede una sofisticata procedura di onboarding per i nuovi apparecchi. Gli utenti sono guidati da un assistente digitale, che garantisce la configurazione del dispositivo e il rispetto delle direttive sulla password e su altre governance. La separazione tra uso privato e aziendale è garantita da un ambiente di lavoro virtuale: le applicazioni per uso aziendale e i dati aziendali sono accessibili sul desktop virtuale soltanto tramite un accesso protetto da una rigorosa procedura di autenticazione. Tutti i dati sono archiviati nel cloud e sono sempre disponibili, a prescindere da momento e luogo. Per quanto possibile, sul dispositivo non vengono archiviati dati a livello locale.
Nel caso di BYOD, il termine sicurezza acquista prevalentemente due significati. Il primo riguarda l’accesso protetto e cifrato alla rete aziendale dei dispositivi personali, supportato da una rigorosa autenticazione e da un’adeguata strategia di sicurezza ICT.
Il secondo significato riguarda la sicurezza dei dati: può accedere soltanto chi è autorizzato. A questo proposito l’azienda deve sapere in primo luogo quali dati sono disponibili. In tal senso, i dati sono classificabili in base al grado di riservatezza. A seconda della classificazione, i collaboratori necessitano di un’autenticazione più o meno rigida. Per informazioni generali non riservate sono sufficienti ad esempio ID utente e password, mentre i documenti con i dati del cliente dovranno essere protetti almeno con un altro livello di autenticazione.
Nello stesso tempo è indispensabile sensibilizzare costantemente i collaboratori con corsi formativi e test sulla sicurezza. Oltre agli aspetti tecnici, la questione riguarda dove sia consentito lavorare con informazioni riservate e dove invece no.
Una sicurezza completa è inoltre di importanza fondamentale per motivi giuridici. Ai sensi dell’articolo 7 delle attuali disposizioni di legge svizzere sulla protezione dei dati, il datore di lavoro deve garantire la sicurezza dei dati mediante adeguate misure tecniche e organizzative.
Riflettere innanzi tutto attentamente sul valore che i diversi dati detengono per l’azienda. Elaborare un piano per la classificazione di informazioni e documenti.
Elaborare per iscritto una chiara policy BYOD per i collaboratori.
Creare le condizioni tecniche solo quando è chiaro il modo in cui l’azienda vuole regolamentare BYOD.
Newsletter
Desiderate ricevere regolarmente articoli e rapporti avvincenti su tematiche ICT di attualità?
Maggiori informazioni