La nostra brochure
La nostra brochure

Porta il tuo dispositivo

BYOD si riferisce alla politica in base alla quale i dipendenti possono utilizzare i propri dispositivi mobili personali per accedere alle reti e ai sistemi aziendali. Alcuni dipendenti preferiscono utilizzare il proprio dispositivo mobile personale, esponendo l'organizzazione al rischio di danni alla reputazione e procedimenti legali.

Le aziende devono dotarsi di una politica formale per quanto riguarda l'uso dei dispositivi personali sul lavoro.

Bring Your Own Device (BYOD) si riferisce a questo tipo di politica, che definisce quali dispositivi mobili (se presenti) i dipendenti possono utilizzare per accedere alle reti/sistemi aziendali.

Cosa dovrebbe includere una politica BYOD?

Le aziende necessitano di una policy che definisca i dispositivi che possono o meno essere connessi alla propria rete. Saranno inoltre necessarie procedure per garantire che i dispositivi non approvati non possano mai essere connessi "accidentalmente". Infine, devono essere implementati meccanismi adeguati per garantire la sicurezza dei dati personali, che potrebbero essere memorizzati sui dispositivi mobili.

Audit dei dispositivi esistenti e dei diritti di accesso

Il primo passo è effettuare un audit della situazione attuale. Quali dispositivi utilizzano la rete e per cosa?

Cosa dice la legge?

In qualità di datore di lavoro (che è il titolare del trattamento dei dati), il GDPR impone l'obbligo di adottare misure tecniche e organizzative adeguate contro il trattamento non autorizzato o illecito dei dati personali e contro la perdita accidentale, la distruzione o il danneggiamento dei dati personali.

Esiste un rischio elevato che dati aziendali e dei clienti riservati possano finire sui dispositivi personali, che solitamente non sono molto sicuri e possono essere facilmente persi, smarriti o rubati.

I rischi di danno reputazionale

Immaginate questo scenario. Un dipendente riceve un'e-mail con un allegato contenente una mailing list di tutti i clienti e i loro recapiti, che apre e salva sul proprio dispositivo mobile. Se il dispositivo dovesse poi perdersi, i dati in esso memorizzati potrebbero diventare di pubblico dominio, essere utilizzati in modo improprio o venduti a un concorrente. Quel che è peggio è che l'Information Commissioner's Office dovrà essere informato della perdita dei dati, così come ogni persona inclusa nella mailing list. Ciò può causare gravi danni alla reputazione e una sanzione pecuniaria elevata.

Quali dispositivi sono accettabili?

Dopo aver eseguito un audit, la seconda fase consiste nel decidere cosa includere o escludere da una policy BYOD; questa operazione viene solitamente effettuata a livello di dispositivo.

Livello uno – tolleranza zero
Questa potrebbe essere la soluzione più rapida, semplice e facile, ma non necessariamente la più pragmatica o pratica.
Potrebbe anche ostacolare anziché aiutare alcuni dipendenti nello svolgimento di determinati compiti, il che può portare a insoddisfazione lavorativa e a un calo del morale.
Quindi, un divieto assoluto potrebbe rivelarsi controproducente.
Può anche essere piuttosto difficile (e quindi costoso) controllare e vigilare su una politica di tolleranza zero senza solidi controlli di sicurezza della rete.
Livello due – dispositivi approvati
Ciò consente di impostare un elenco di dispositivi o dispositivi con un particolare software operativo (ad esempio solo dispositivi iOS o solo dispositivi Android e Windows).
L'approccio basato su dispositivi approvati può semplificare la gestione e il controllo degli accessi, ma può svantaggiare alcuni dipendenti se il loro dispositivo non è coperto. Può anche essere difficile da gestire, poiché ogni giorno emergono nuovi modelli e nuovi dispositivi.
Livello tre: qualsiasi dispositivo
Ciò consente di "collegare" qualsiasi dispositivo.
Questo approccio è completamente opposto alla tolleranza zero e consente di "collegare" qualsiasi dispositivo in qualsiasi momento. I vantaggi sono a) per il dipendente, che non è vincolato da alcun dispositivo, e b) per l'azienda, che non deve aggiornare costantemente un elenco di dispositivi approvati.

Tuttavia, con questo tipo di approccio è necessario adottare controlli rigorosi, come ad esempio sistemi di gestione dei dispositivi mobili.

Un'opzione alternativa!

In una tendenza crescente, alcune aziende hanno deciso di abbandonare il BYOD e la politica di tolleranza zero, a favore della fornitura di dispositivi ai dipendenti.

Quali applicazioni sono accettabili?

L'azienda potrebbe voler limitare l'accesso a determinate applicazioni, il più delle volte solo alla posta elettronica e a Internet. L'accesso completo a reti e applicazioni dovrebbe essere evitato, ove possibile, se non tramite PC o laptop e solo tramite reti affidabili o strumenti di accesso remoto sicuri.

Uso aziendale contro uso privato

È probabile che i dispositivi BYOD di proprietà di un dipendente vengano utilizzati sia per scopi aziendali che privati.

Da un lato, il dipendente deve avere la certezza che l'azienda non accederà al materiale personale memorizzato sul dispositivo né utilizzerà strumenti di monitoraggio del dispositivo, mentre dall'altro lato l'azienda vorrà proteggere le informazioni riservate aziendali e dei clienti che potrebbero essere memorizzate (o visibili) sul dispositivo.

I datori di lavoro devono inoltre essere consapevoli che i dispositivi possono essere utilizzati (per scopi personali) non solo dal dipendente, ma anche da altri membri della famiglia.

Sicurezza wireless

Il modo più semplice e veloce per collegare i dispositivi a una rete è che i dipendenti utilizzino il proprio dispositivo per accedere alla rete in modalità wireless. Alcune aziende pubblicano la propria chiave wireless ai dipendenti senza rendersi conto che la stanno utilizzando su tutti i dispositivi, compresi quelli personali.

Un metodo comune per garantire la sicurezza dei dispositivi consiste nel rendere la chiave wireless molto sicura (ovvero difficile da ricordare) e nell'inserirla nel dispositivo solo da un membro del team di supporto IT o da un altro individuo designato. In questo modo, il controllo a livello di dispositivo può essere mantenuto con relativa facilità. Tuttavia, questo approccio può richiedere molto tempo, a seconda delle dimensioni o della complessità dell'organizzazione.

Approcci più robusti utilizzeranno hardware di rete per creare liste di controllo degli accessi per dispositivi specifici che devono essere prima registrati e quindi approvati dall'azienda prima di potersi connettere. I vantaggi di questo metodo consentono audit e controlli del fuso orario, come la limitazione dell'accesso wireless agli orari d'ufficio.

Registrazione del dispositivo

La maggior parte delle versioni attuali dei software operativi di rete (Windows e Mac) dispongono di strumenti di sicurezza integrati che possono essere utilizzati per gestire un elenco di dispositivi "approvati".

Ciò avviene tramite un processo di registrazione molto simile alla registrazione dell'hardware di rete, mediante il quale il dispositivo viene presentato e registrato sulla rete.

Se un dispositivo viene smarrito o un dipendente se ne va, il dispositivo può essere bloccato/rimosso dall'elenco dei dispositivi registrati.

Sebbene questo approccio sia utile per bloccare gli ospiti indesiderati e controllare l'accesso alle risorse di rete, lo svantaggio è la mancanza di controllo quando un dispositivo di connessione viene perso o rubato.

Gestione dei dispositivi mobili (MDM) / Gestione delle applicazioni mobili (MAM)

Un approccio più efficace per garantire la sicurezza del dispositivo è quello di utilizzare servizi MDM, che possono essere forniti come parte del software operativo di rete oppure da terze parti.

Esistono diversi livelli di questo tipo di servizio, che vanno dalla semplice registrazione e ripristino del dispositivo, al sandboxing dei dati personali e aziendali, che consentirà la cancellazione separata dei soli dati aziendali.

Se desiderano adottare il modello BYOD, i dipendenti dovranno accettare/consentire il sistema di gestione dei dispositivi mobili utilizzato.

I dipendenti devono inoltre accettare/consentire se il software MDM viene utilizzato per monitorare il dispositivo, quali attività vengono monitorate e se viene utilizzata o meno la geolocalizzazione.

Infine, i dipendenti dovranno capire cosa accadrà ai loro dati personali memorizzati sul dispositivo, nel caso in cui il dispositivo debba essere disabilitato.

Questo metodo offre tutti i vantaggi di essere semplice da usare dal punto di vista dell'utente finale, pur essendo estremamente sicuro dal punto di vista aziendale. L'azienda può anche eseguire operazioni come la localizzazione dei dispositivi in ​​caso di smarrimento o furto, o il blocco e la cancellazione dei dati da remoto.

Crittografia dei dati

Una policy BYOD di per sé non fornisce garanzie sufficienti. Tutti i dati riservati/personali devono essere crittografati. Impostare un documento/foglio di calcolo come di sola lettura o creare una password per aprirlo non equivale a crittografare i dati.

Le aziende devono valutare quali dati personali vengono trasferiti da e verso quali dispositivi. Quindi, effettuare una valutazione del rischio che i dati diventino di dominio pubblico e utilizzare metodi di crittografia appropriati per proteggere tali dati riservati/personali.

Altri problemi da considerare

  • protezione tramite password del dispositivo: ogni dispositivo BYOD deve avere una password/PIN di avvio e deve bloccarsi se non è attivo per un numero specificato di minuti oppure bloccarsi se viene immessa una password/PIN errata per un certo numero di tentativi
  • dispositivi smarriti: come parte della politica BYOD, il dipendente dovrà sapere chi contattare e cosa accadrà al dispositivo se viene smarrito (ad esempio, quali dati potrebbero essere cancellati dal dispositivo)
  • costo – l’azienda può accettare o meno di pagare determinati costi per dispositivi mobili o il costo di sostituzione di dispositivi persi/rubati o danneggiati quando utilizzati per scopi aziendali
  • politica di utilizzo accettabile: l'azienda vorrà garantire che qualsiasi politica di utilizzo accettabile si applichi anche ai dispositivi BYOD
  • i dispositivi che sono stati sottoposti a rooting/jailbreaking non dovrebbero essere consentiti e dovrebbe essere in atto una politica rigorosa affinché qualsiasi dispositivo configurato per BYOD non venga successivamente sottoposto a rooting/jailbreaking
  • supporti di memorizzazione: l'azienda potrebbe voler specificare l'approccio in relazione alle schede di memoria/SD, in particolare se sono crittografate o se i dati possono essere memorizzati su di esse

Implementazione della politica BYOD

BYOD può essere formulato come una policy separata, aggiunto a una policy di utilizzo accettabile esistente oppure aggiunto a una policy esistente su Internet e posta elettronica o sui social media.

Per impostazione predefinita, i dispositivi aziendali rientreranno nell'ambito del BYOD.

Ai dipendenti dotati di dispositivi personali dovrebbe essere data la possibilità di aderire o meno alla politica BYOD:

  • opt-out - Rifiutare di aderire alla politica BYOD, nel qual caso il dipendente non potrà utilizzare alcun dispositivo personale per lavoro
  • opt-in – Accettare di sottoscrivere la politica BYOD, nel qual caso il dispositivo dovrà essere registrato sulla rete e, se applicabile, anche presso un servizio di gestione dei dispositivi mobili.

Consulta il nostro riepilogo per scoprire i quattro semplici passaggi per definire e implementare una policy BYOD.

Riepilogo

È importante che il datore di lavoro (che è il Titolare del trattamento dei dati) rispetti il ​​GDPR in materia di trattamento dei dati personali. In caso di violazione della sicurezza, il datore di lavoro deve essere in grado di dimostrare che tutti i dati personali archiviati su un determinato dispositivo sono protetti, controllati o eliminati. Avere una policy BYOD contribuirà notevolmente al raggiungimento di tale obiettivo.

Quattro passaggi per definire e implementare un BYOD

Fase uno: verifica dei dispositivi e dell'utilizzo
  • Quali dispositivi sono attualmente autorizzati ad accedere alla rete?
  • Quali diritti di accesso hanno?
  • Quali applicazioni utilizzano?
  • Quali dati dovrebbero memorizzare?
Fase due: livello BYOD
  1. nessun dispositivo
  2. elenco approvato
  3. tutti/qualsiasi dispositivo
  4. definire quali applicazioni sono accessibili ai dispositivi mobili.
Fase tre: politica BYOD
  • Formulare e scrivere la politica BYOD.
  • Apportare le opportune modifiche alla sicurezza dell'infrastruttura di rete e procurarsi eventuali servizi aggiuntivi (come MDM)
  • Decidere se è necessaria ulteriore sicurezza, come strumenti di crittografia dei dati
  • Definire e comunicare una data per l'attuazione della politica
Fase quattro – data di implementazione
  • Rimuovere tutti i dispositivi correnti e assicurarsi che non contengano dati.
  • Registra i dispositivi approvati
  • I dipendenti che possiedono tali dispositivi sottoscrivono il programma BYOD.
 

11 + 13 =

INFORMAZIONI DI CONTATTO

E: info@facadecreations.co.uk

T: +44 (0) 116 289 3343