Come redigere una buona policy BYOD



Con l'acronimo BYOD "Bring Your Own Device" (porta il dispositivo tuo) si intende la gestione dei dispositivi elettronici personali quali smartphone, tablet, laptop, notebook e dispositivi simili in ambito lavorativo. Negli ultimi anni abbiamo assistito ad un uso sempre più diffuso di dispositivi mobili personali, in particolare smartphone, in ambito lavorativo per memorizzare, accedere remotamente, trasmettere o ricevere dati, utilizzare dati ed informazioni aziendali su base occasionale o regolare. Se da un lato le aziende generalmente favoriscono se non addirittura promuovono l'utilizzo di tali dispositivi anche all'interno della propria rete perché questo porta a vantaggi in termini di efficienza e produttività: maggiore familiarità con le funzioni del dispositivo da parte del personale, dall'altro occorre inserire la gestione di tali dispositivi elettronici nelle policy di sicurezza in essere in un bilanciamento talvolta difficile tra le esigenze di tutelare la riservatezza del lavoratore e la necessità di ridurre il rischio derivante dall'utilizzo di tali attrezzature personali all'interno dell'ambiente lavorativo. Tali rischi sono il furto o la perdita anche accidentale del dispositivo, la violazione informatica, rischi che potrebbero mettere a repentaglio informazioni riservate o confidenziali, dati personali relativi a persone fisiche anche di natura particolare.

Nasce quindi l'esigenza di stabilire una policy per il corretto utilizzo di tali strumenti personali che  a questo punto diventano anche strumenti di lavoro. Ad esempio oggi gli smartphone sono dei veri e propri computer portatili anche assai potenti, e allora come impatta il loro utilizzo sulle misure minime di sicurezza informatica messe in atto in azienda? Pensiamo ad esempio alla necessità di dover fare un inventario di tutti i dispositivi collegati in rete, a quella di dover inserire questi dispositivi all'interno delle regole del firewall, alla esigenza di dover controllare il livello di aggiornamento di patch di sicurezza e sistemi antivirus attivi su tali dispositivi. Come dobbiamo procedere? Per cominciare nella policy andranno inseriti una serie di punti che dovranno essere tutti verificati magari facendo riferimento al supporto tecnico del personale IT dell'azienda. Occorre distinguere tra differenti livelli di sicurezza in base alla mansione del dipendente nell'ambito dell'organizzazione aziendale, ovvero costituendo un livello di base di rischio basso valido per tutti e dei livelli avanzati quando il rischio diventa medio o alto, per esempio possiamo supporre che chi si occupa di risorse umane (HR) possa essere sicuramente assegnato ad un rischio maggiore vista la particolarità dei dati trattati. Bisogna anche fare in modo che i dati personali siano sempre separati da quelli aziendali. Dal punto di vista tecnico gli amministratori di rete possono oggi contare su delle nuove tecnologie quali le UEM (Unified Endpoint Management) che permettono all'interno della stessa piattaforma di gestire dispostivi eterogenei quali laptop. desktop smartphone, tablet, wearable e dispositivi IoT.

L'applicazione di regole certe è un vantaggio per tutti, per il lavoratore che ha in definitiva uno strumento più sicuro anche in ambito personale, minimizzando i rischi di furto d'identità ed uso improprio delle sue credenziali di accesso, per l'azienda che ha l'interesse a promuovere il corretto utilizzo degli apparati informatici, in quanto strumenti utili a perseguire con efficacia ed efficienza le proprie finalità in un'ottica di semplificazione dell'attività e nel rispetto dei principi e delle linee guida della normativa vigente, pensiamo ad esempio al nuovo regolamento europeo sui dati personali (GDPR).

Tra i criteri di base ai quali tutti coloro che utilizzano dispositivi elettronici personali in ambito lavorativo dovrebbero attenersi e aderire ci sono i seguenti punti.

Misure di base valide per tutti dispositivi:

  • Impostare una password o PIN di sicurezza per accedere al dispositivo, possibilmente utilizzare una password forte, la sicurezza della password è direttamente proporzionale alla sua lunghezza. Non rivelare mai la password ad alcuno.
  • Impostare il proprio dispositivo in modo che si attivi la schermata di blocco dopo un breve tempo di inattività (qualche minuto).
  • Mettere in atto delle misure di tipo fisico, non lasciare mai il dispositivo incustodito.
  • Fare tutti gli aggiornamenti di sicurezza tutte le volte che il sistema operativo del vostro dispositivo li propone.
  • Predisporre il backup automatico dei documenti contenuti nel dispositivo.
  • Per quanto riguarda i documenti aziendali, trasferire regolarmente tutti i documenti nelle opportune collocazioni della rete aziendale (server, cloud, storage).
  • Non condividere il proprio device con membri della vostra famiglia o altre persone, eventualmente settate delle password non memorizzate per impostazione predefinita per accedere alle informazioni aziendali.
  • Organizzare e manutenere le informazioni contenute all’interno del vostro device, cancellate i file non più necessari.
  • Se dovete far riparare il vostro dispositivo assicuratevi di cancellare tutti i documenti aziendali prima di consegnarlo al supporto tecnico. Nel caso di dismissione del dispositivo effettuare un reset dello stesso alle impostazioni di fabbrica.
  • Crittografare il dispositivo per evitare che le informazioni ivi contenute possano essere recuperate accedendo direttamente alla memoria del dispositivo.
  • Comunicare tempestivamente, in base alle policy aziendali sui data breach, ogni violazione del dispositivo, nell’incertezza contattare l’amministratore di sistema.
  • Configurare il proprio dispositivo in modo da adottare sempre le più recenti impostazioni di sicurezza, nell’incertezza sul da farsi contattare il personale IT dell’azienda che potrà darvi le istruzioni in merito.
  • Quando ci si collega a servizi remoti della rete aziendale assicurarsi di fare la disconnessione al termine della sessione.

Misure per telefoni cellulari, smartphone e tablet:
  • Configurare il proprio dispositivo per la cancellazione remota nel caso venisse perso o rubato.
  • Se acquistate un dispositivo di seconda mano prima di utilizzarlo ripristinate le impostazioni di fabbrica.
  • Scaricare e installare solo “app” da fonti attendibili.

Misure per laptop e notebook:
  • Installare un buon prodotto antivirus e tenetelo aggiornato.

Misure per le reti wireless non aziendali: 
  • Verificare di non connettere automaticamente il proprio dispositivo a reti WI-FI non sicure, se decidete di collegarvi a reti WI-FI non sicure valutarne con attenzione i rischi e le potenziali conseguenze.
  • Disabilitare servizi quali Bluetooth o wireless quando non li state utilizzando.
Questa policy stabilisce una serie di misure minime di base per l'utilizzo di questi dispositivi in ambito lavorativo ma nell'ambito delle mansioni aziendali è possibile creare differenti layer di sicurezza sulla base del rischio (alto, medio, basso) e quindi taluni uffici e divisioni potrebbero applicarne di più stringenti sulla base della riservatezza o della particolarità dei trattamenti effettuati.


Commenti