BYOD

Strategia e governance anziché crescita incontrollata

«Bring Your Own Device» può funzionare senza rischi per le imprese solo se l’impiego per scopi aziendali di dispositivi mobili privati è regolamentato in modo preciso e si basa su una strategia globale.

Testo: Urs Binder, Immagini: Strandperle, 23 ottobre 2018

Quasi tutti possiedono oggi dispositivi personali. Cosa c’è di più ovvio, se non utilizzare il proprio smartphone, tablet e notebook anche sul lavoro: in fondo non sempre si vuole portare con sé due apparecchi dello stesso tipo per fare e ricevere telefonate private e di lavoro o per accedere anche in viaggio a documenti aziendali. Anche in Svizzera la mobilità costituisce uno dei temi più importanti dell’ICT, come stabilito in uno studio recente condotto dagli esperti di ricerca di mercato di MSM Research.

Effetti sull’intera azienda

«Bring Your Own Device» (BYOD) viene spesso proposto dai dipendenti ed implica per l’azienda la gestione di diverse sfide. Sono necessari in egual misura management, organizzazione e competenze tecniche per regolamentare l’utilizzo di apparecchi privati ed evitare rischi per la sicurezza. BYOD comporta l’introduzione di nuove abitudini di lavoro, che modificano la cultura aziendale. Già solo questo fatto comporta che BYOD non debba restare in alcun modo una questione meramente tecnica, ma debba essere supportato fin dall’inizio dal management ed integrato nell’organizzazione.

Molteplici aspetti

La domanda circa le modalità di integrazione degli apparecchi nella rete aziendale è sì la più ricorrente, tuttavia è soltanto una delle tante. Senza una strategia che tenga conto della situazione aziendale specifica e senza norme chiaramente definite, i vantaggi previsti di BYOD non diventeranno effettivi, ossia non si verificherà un aumento di produttività e di soddisfazione tra i dipendenti, un’ottimizzazione della collaborazione e, in ultima analisi, non avrà nemmeno luogo la riduzione dei costi in seguito all’eliminazione dei dispositivi aziendali.

In concreto BYOD riguarda nell’impresa numerosi livelli:

Tecnologia: l’integrazione tecnica degli apparecchi e l’autenticazione utente devono essere garantite.
Processi: i processi quali l’onboarding di nuovi apparecchi o lo sviluppo, la gestione e la manutenzione di software devono essere adeguati o ridefiniti.
Sicurezza: la riservatezza dei dati deve restare garantita anche utilizzando i dispositivi personali. La riservatezza delle informazioni aziendali deve essere garantita.
Cultura aziendale: resta poi da chiarire una questione fondamentale: chi deve o può utilizzare BYOD? Infatti né un uso obbligatorio dell’apparecchio personale né un’autorizzazione generica a BYOD sono misure opportune.
Aspetti giuridici: devono essere rispettate le normative di legge e la policy interna all’azienda. Bisogna ad es. definire se l’azienda o i dipendenti sono responsabili della manutenzione dei dispositivi e del software oppure come comportarsi quando un collaboratore lascia l’azienda.

Requisiti tecnici

Una cosa è certa: l’utilizzo privato e quello aziendale devono essere separati sugli apparecchi mobili. Nell’ambito privato i dati sono infatti trattati con minor prudenza, mentre le informazioni aziendali richiedono più sicurezza: queste ultime sono spesso riservate e sono soggette a un determinato quadro normativo giuridico. Questo richiede il più delle volte una conservazione dei dati in Svizzera e non un archivio come Dropbox o un’altra soluzione cloud con ubicazione del server fuori confine.

Due sono gli approcci per realizzare la separazione tra ambito privato e aziendale. Gli apparecchi vengono gestiti da una soluzione nel settore Mobile Device Management (MDM) o Enterprise Mobility Management (EMM). In questo modo viene creato sul dispositivo un ambito rigorosamente separato riservato all’uso aziendale. Lo scambio dati tra l’ambito privato e quello aziendale viene impedito. Anche se MDM e EMM assicurano una sufficiente protezione, sull’apparecchio sono presenti dati aziendali che potenzialmente possono essere oggetto di un attacco informatico.

Il secondo approccio prevede una sofisticata procedura di onboarding per i nuovi apparecchi. Gli utenti sono guidati da un assistente digitale, che garantisce la configurazione del dispositivo e il rispetto delle direttive sulla password e su altre governance. La separazione tra uso privato e aziendale è garantita da un ambiente di lavoro virtuale: le applicazioni per uso aziendale e i dati aziendali sono accessibili sul desktop virtuale soltanto tramite un accesso protetto da una rigorosa procedura di autenticazione. Tutti i dati sono archiviati nel cloud e sono sempre disponibili, a prescindere da momento e luogo. Per quanto possibile, sul dispositivo non vengono archiviati dati a livello locale.

Sicurezza e governance in primo piano

Nel caso di BYOD, il termine sicurezza acquista prevalentemente due significati. Il primo riguarda l’accesso protetto e cifrato alla rete aziendale dei dispositivi personali, supportato da una rigorosa autenticazione e da un’adeguata strategia di sicurezza ICT.

Il secondo significato riguarda la sicurezza dei dati: può accedere soltanto chi è autorizzato. A questo proposito l’azienda deve sapere in primo luogo quali dati sono disponibili. In tal senso, i dati sono classificabili in base al grado di riservatezza. A seconda della classificazione, i collaboratori necessitano di un’autenticazione più o meno rigida. Per informazioni generali non riservate sono sufficienti ad esempio ID utente e password, mentre i documenti con i dati del cliente dovranno essere protetti almeno con un altro livello di autenticazione.

Nello stesso tempo è indispensabile sensibilizzare costantemente i collaboratori con corsi formativi e test sulla sicurezza. Oltre agli aspetti tecnici, la questione riguarda dove sia consentito lavorare con informazioni riservate e dove invece no.

Una sicurezza completa è inoltre di importanza fondamentale per motivi giuridici. Ai sensi dell’articolo 7 delle attuali disposizioni di legge svizzere sulla protezione dei dati, il datore di lavoro deve garantire la sicurezza dei dati mediante adeguate misure tecniche e organizzative.

BYOD in azienda: 3 consigli dagli esperti

Classificazione

Riflettere innanzi tutto attentamente sul valore che i diversi dati detengono per l’azienda. Elaborare un piano per la classificazione di informazioni e documenti.