Il modello Byod (Bring Your Own Device) è sempre più usato ma rappresenta un rischio per la sicurezza dei dati, specialmente in Italia, perciò gli esperti di Eset Nod32, uno dei grandi produttori mondiali di software antivirus, consigliano il passaggio al più sicuro Cyod (Choose Your Own Device), ovvero “Scegli il tuo dispositivo”.
La pratica sempre più diffusa anche nelle aziende italiane di consentire ad alcuni dipendenti di utilizzare in ufficio i propri device per lavoro (dietro rimborso di una parte della spesa effettuata per l’acquisto) – sostiene Eset Nod32 – sta creando seri problemi di sicurezza informatica alle reti aziendali. Secondo una ricerca di British Telecom, condotta in 11 Paesi su un campione rappresentativo di 2.000 manager, soprattutto dei dipartimenti IT, le aziende italiane già nel 2012 erano fra quelle più inclini al Byod: il 62% contro il 37% in Inghilterra, il 44% in Francia, il 50% in Germania e il 52% negli USA. Ma solo il 25% delle aziende italiane aveva definito una policy ad hoc per il corretto uso del Byod, contro il 31% di quelle inglesi, il 34% delle tedesche, il 39% delle francesi e il 50% delle americane.
Gli esperti di Eset Nod32 sottolineano in primo luogo i rischi derivanti dall’uso di Internet e in particolare la difficoltà oggettiva di proteggere i dispositivi personali dei dipendenti connessi alla rete aziendale (pc, tablet, smartphone, card SD o MicroSD), a causa dell’impossibilità di monitorare adeguatamente il traffico dati, soprattutto in uscita. Molte delle app di smartphone e tablet, ad esempio quelle del meteo e della mailbox, utilizzano la connessione a Internet e veicolano le informazioni in formato testo (password incluse), ma applicazioni come WireShark sono in grado di leggere queste informazioni, aprendo la porta ad un uso improprio dei dati sensibili. E non trascurabile è il pericolo legato alla sincronizzazione e archiviazione del contenuto dei device nell’ormai popolarissima cloud, dove potrebbero finire, insieme a informazioni e file personali, anche quelli aziendali.
L’altra grande criticità per le aziende è legata alla difficoltà di gestire centralmente contenuti e configurazioni dei dispositivi personali dei dipendenti, il cui aggiornamento viene di solito effettuato attraverso il produttore, scavalcando le policy aziendali. Inoltre le funzioni multi-tasking (l’uso contemporaneo di differenti applicazioni) potrebbero essere limitate e i plug-in aziendali (per esempio Flash, Silverlight) non essere supportati: le applicazioni per differenti dispositivi non sono intercambiabili e quelle create per un determinato device potrebbero non essere compatibili o trasferibili su altri. Non va sottovalutato infine il pericolo di furto, a cui sono esposti i dispositivi mobili in possesso dei dipendenti, con tutte le pericolose conseguenze che ne deriverebbero per i dati aziendali salvati sugli stessi device.
All’origine della diffusione del modello Byod vi sono una serie di innegabili vantaggi per le aziende, soprattutto in termini di risparmi di spesa in hardware, software e training al personale. In molti casi poi i device personali sono più piccoli e leggeri, quindi più facili da trasportare per i dipendenti.
Per salvaguardare questo tipo di benefici e allo stesso tempo per non mettere a repentaglio la sicurezza informatica aziendale, gli esperti Eset Nod32 consigliano un modello più consapevole, il cosiddetto Cyod (Choose Your Own Device), ovvero “Scegli il tuo dispositivo”.
In pratica i dipendenti che intendono utilizzare un dispositivo personale sulla rete aziendale lo scelgono all’interno di un set di dispositivi preselezionati dal dipartimento IT. Questi dispositivi sono per definizione “entità conosciute” dalla rete aziendale, quindi gestibili, con patches e aggiornamenti disponibili tempestivamente, e compatibili nelle loro applicazioni. In tal modo è possibile rispettare tutti gli standard di sicurezza informatica e le policy aziendali, riducendo i rischi ad un livello accettabile, e allo stesso tempo offrire ai dipendenti un sufficiente grado di flessibilità sui device che intendono utilizzare. I dipendenti che preferiscono in ogni caso far uso di un proprio device, non incluso nella lista autorizzata, dovranno accettare il fatto di non poter accedere alla rete e alle funzioni aziendali da quel dispositivo.
