![Se questo articolo ti è piaciuto, condividilo!In principio c’erano i telefoni cellulari, dispositivi personali più o meno innocui e per lo più dedicati alle comunicazioni telefoniche, con i quali le aziende hanno convissuto pacificamente per […]](https://www.ettoreguarnaccia.com/wp-content/uploads/byod-620x300.jpg "BYOD: conciliare consumerizzazione e sicurezza delle informazioni")
In principio c’erano i telefoni cellulari, dispositivi personali più o meno innocui e per lo più dedicati alle comunicazioni telefoniche, con i quali le aziende hanno convissuto pacificamente per qualche anno. Pian piano, però, questi dispositivi si sono evoluti e hanno fatto la loro comparsa palmari, smartphone, iPod, tablet e netbook: da allora, molte aziende non sono più state in grado di gestire adeguatamente la situazione. Da qui la recente nascita dell’acronimo “BYOD”, ovvero “Bring Your Own Device”, letteralmente “porta in ufficio il tuo dispositivo personale”, sinonimo dell’altrettanto recente termine “consumerizzazione”.
Al giorno d’oggi i dispositivi mobili sono pressoché costantemente connessi ad Internet e dispongono delle più avanzate funzionalità, come GPS, fotocamera, videocamera, schede MicroSD, accesso a servizi cloud e una miriade di connessioni con diverse tecnologie come bluetooth, wireless, NFC, 3G/4G/LTE e USB. Funzionalità e connessioni che sono perfettamente in grado di vanificare qualsiasi misura di salvaguardia dei livelli di sicurezza di un’azienda, soprattutto in termini di protezione delle reti e delle informazioni aziendali critiche.
Il notevole e generale abbassamento delle tariffe da parte dei maggiori operatori telefonici, il martellante battage pubblicitario e le numerose offerte di dispositivi di ultima generazione con pagamento rateale hanno convinto sempre più persone a dotarsi di terminali mobili evoluti. Oggi molte famiglie dispongono di almeno un iPhone, un iPad o altri modelli di smartphone, tablet e console portatili di ultima generazione, tutti dispositivi che entrano a far parte della dotazione personale di molti lavoratori e che, di conseguenza, fanno silenziosamente ma regolarmente il loro ingresso in azienda.
Il prezzo della consumerizzazione
Le aziende più attente agli aspetti economici non ci hanno messo molto a comprendere i vantaggi apportati dalla consumerizzazione: dipendenti molto più affini all’uso della tecnologia, costantemente connessi, equipaggiati per lavorare efficientemente anche fuori ufficio e, soprattutto, inclini a sostenere in prima persona i costi di acquisto delle tecnologie e del traffico, nonché a gestire da sé i relativi aggiornamenti software. Un fenomeno che un po’ alla volta è diventato una vera e propria prassi, di conseguenza i reparti IT delle aziende si sono trovati a dover registrare, autorizzare e gestire un certo numero di dispositivi privati e personali che si connettono ufficialmente e liberamente alla rete wireless aziendale e, in molti casi, hanno accesso ad informazioni e servizi piuttosto critici per il business aziendale.
Tutto questo, però, ha un prezzo.
Il risparmio in termini di acquisizione dei dispositivi, infatti, ha come contropartita una difficoltà di gestione e di controllo nettamente superiore, che obbliga i responsabili IT delle aziende a spendere maggiori risorse per l’attuazione di misure di governo, protezione e manutenzione specifiche per i dispositivi personali dei dipendenti, rispetto alla normale gestione dei dispositivi aziendali standard. Ma la contropartita più pericolosa è costituita dall’esponenziale aumento del rischio per la sicurezza delle informazioni aziendali, in particolare quelle maggiormente riservate o critiche per la continuità del business.
La dimensione del fenomeno
Prima di approfondire le problematiche di sicurezza è bene fornire qualche dato per inquadrare al meglio l’attuale situazione in tema di BYOD. Secondo un recente studio di ThreatMetrix, realizzato intervistando business manager e responsabili IT di diverse aziende statunitensi nel settore retail e dei servizi finanziari, oltre il 25% dei dipendenti utilizza dispositivi mobili personali per lo svolgimento di attività lavorative, mentre circa il 15% delle aziende non dispone ancora di alcuna politica di sicurezza o di acceptable use inerente questi dispositivi. Figuriamoci di quanto possa essere peggiore la situazione in mercati più arretrati dal punto di vista del governo della sicurezza aziendale come il nostro!
A ciò si aggiunge il fatto che ben il 31% delle aziende consente un utilizzo personale dei dispositivi aziendali, fenomeno inverso al BYOD ma altrettanto pericoloso, il 25% consente il download di software senza alcuna autorizzazione e solo il 50% delle aziende prevede un qualche tipo di limitazione all’uso dei propri dispositivi per motivi extra lavorativi.
Dei dispositivi BYOD che fanno ingresso in azienda ben il 75% accede a dati aziendali e, più specificamente, il 70% alla posta elettronica aziendale, il 53% a siti web aziendali interni, il 16% a dati aziendali sensibili o a file server della rete interna e il 13% a dati finanziari riservati. Allarmante, infine, il fatto che Gartner preveda che entro il 2014 il 90% delle aziende supporteranno applicazioni aziendali su dispositivi personali.
Smarrimento o furto di dispositivi mobili e perdita di dati aziendali
Adesso che è sufficientemente chiaro quale sia il livello di penetrazione dei dispositivi BYOD in azienda, andiamo a vedere quanto essi mettono a rischio le informazioni aziendali cui hanno accesso. Il sondaggio svolto da Sophos su oltre mille consumatori del Regno Unito e pubblicato nel mese di ottobre 2012 evidenzia alcuni dati allarmanti in ottica BYOD, a partire dal fatto che ben il 42% dei dispositivi mobili smarriti risultano senza alcuna misura di protezione dei dati contenuti. Il 20% di questi contenevano informazioni aziendali particolarmente sensibili e riservate, il 20% dati personali sensibili come il codice di national insurance, indirizzi privati e date di nascita, oltre il 10% informazioni di pagamento come numeri di carta di credito e codici PIN e, infine, ben il 35% avevano accesso ad account di social network tramite applicazioni mobile o cookie del browser.
Un dato confortante è costituito dal 55% dei giovani fra 16 e 24 anni che adottano misure di protezione del proprio dispositivo mobile, mentre meno confortante è il fatto che fra gli intervistati con età superiore, ovvero coloro che lavorano attivamente, solo il 41% adotta una qualche misura di protezione. Il 36% degli intervistati ha smarrito il proprio dispositivo in pubblico, durante qualche tipo di evento, e solo il 20% circa l’ha ritrovato entro le 24 ore successive, mentre il 58% del totale non l’ha più ritrovato.
Il recente sondaggio di Varonis, i cui risultati sono stati pubblicati nel Varonis Research Report di gennaio 2013 intitolato “Bring Your Own Demise” (PDF), ovvero “porta il tuo personale decesso”, ci fornisce ulteriori spunti di riflessione: ben il 50% delle aziende intervistate ha ammesso di aver smarrito un dispositivo mobile contenente dati aziendali sensibili o riservati e, nel 20% dei casi, si sono verificate rilevanti implicazioni di sicurezza. Le aziende hanno evidenziato anche una crescente fissazione dei propri dipendenti verso i dispositivi mobili, con l’86% dei dipendenti realmente ossessionati e connessi 24 ore su 24, tutti i giorni. Un dato allarmante, se si tiene conto che anche questo sondaggio conferma che il 75% dei dipendenti aziendali in possesso di dispositivi BYOD ha libero accesso ai dati aziendali! Infine, il 57% dei dipendenti è consapevole che i dispositivi mobile mettono a rischio anche i loro dati personali, oltre che quelli dell’azienda in cui lavorano.
I rischi per la sicurezza
La crescente diffusione di dispositivi mobili evoluti e la tuttora scarsa cultura di sicurezza dei dati presso il pubblico stanno inevitabilmente portando nuove e sempre più numerose esposizioni di sicurezza nelle aziende. Non va assolutamente sottovaluto il fenomeno della crescente sostituzione dei dispositivi aziendali, standard e controllati, con una miriade di dispositivi personali ben più evoluti, ma fortemente eterogenei, personalizzati e, proprio per questo, notevolmente più difficili da gestire e controllare per poter adeguatamente garantire la sicurezza dei sistemi, delle reti e delle informazioni critiche aziendali.
Il rischio di sicurezza per le aziende è indubbiamente elevato e, di riflesso, lo è per il loro business e per la protezione dei dati di clientela, fornitori e terze parti in genere, con particolare riguardo ai rischi di esposizione non autorizzata di informazioni critiche e segreti industriali, frodi, furto d’identità, infezioni da malware e intrusioni in sistemi e reti aziendali. In aggiunta, Varonis evidenzia un preoccupante calo di produttività nelle aziende che consentono l’adozione di dispositivi BYOD, che vengono utilizzati dal personale per un tempo sensibilmente maggiore di quanto normalmente ammissibile: un problema non trascurabile, poiché sta gradualmente trasformandosi in una nuova normalità di fatto che va contenuta e contrastata per salvaguardare il business aziendale.
È indispensabile adottare misure di sicurezza a più livelli
Il tema è indubbiamente complesso e tale è inevitabilmente anche la soluzione. Come in altre casistiche analoghe, è opportuno adottare misure di sicurezza a più livelli, partendo ovviamente dalla definizione e dall’imposizione di una politica aziendale di uso accettabile dei dispositivi BYOD, magari partendo dalle medesime restrizioni già imposte sui computer portatili, sebbene, stando al report di Varonis, gli effetti si traducano generalmente in una riduzione degli incidenti di sicurezza pari ad un misero 5%. In ogni caso una politica di sicurezza è imprescindibile e deve essere disegnata con accortezza e responsabilità, magari affiancata da un opportuno processo di analisi e gestione dei rischi associati coinvolgendo il top management, non solo il responsabile IT, per far comprendere anche ad altissimi livelli quale sia il rischio di sicurezza e di business associato al fenomeno.
Allo stesso tempo è indispensabile agire sui dispositivi stessi, richiedendo l’adozione di precise misure di sicurezza come il controllo d’accesso mediante password, la protezione contro virus informatici e malware, il ricorso a fornitori software conosciuti ed approvati, l’archiviazione dei documenti aziendali non nella memoria fisica del dispositivo ma in uno spazio cloud aziendale approvato e autorizzato che consenta all’azienda di rimuovere contenuti sensibili con tempestività in caso di smarrimento del dispositivo, nonché l’adozione della crittografia per l’utilizzo, l’archiviazione e il trasferimento di informazioni aziendali critiche.
Altra buona norma è separare l’accesso alla rete wireless aziendale da parte dei dispositivi personali e di terze parti, cosiddetti “guest”, relegandoli in una porzione di rete segmentata e monitorata che offra servizi limitati, ad esempio solo la navigazione Internet filtrata, l’accesso controllato a specifici portali intranet e a servizi di comunicazione e collaborazione.
Altrettanto fondamentali per una corretta implementazione della sicurezza delle informazioni e della prevenzione della loro diffusione non autorizzata, non solo per mezzo di dispositivi mobili, sono:
- la classificazione dei dati aziendali, ovvero quel processo che consente all’azienda di individuare con ragionevole certezza quali informazioni sono riservate e quali particolarmente critiche per la continuità del business, che permette la definizione e l’attuazione di misure di protezione più restrittive al crescere della criticità dei dati, che identifica l’esatta ubicazione dei dati critici e riservati e, soprattutto, quali soggetti vi hanno accesso;
- la prevenzione della perdita dei dati, alias “Data Loss Prevention” (DLP), una soluzione di sicurezza che consente all’azienda di attuare un controllo stringente, continuativo e in tempo reale sulle operazioni di generazione, modifica, archiviazione e trasferimento di informazioni critiche e riservate, prevenendo efficacemente la loro diffusione non autorizzata all’esterno del perimetro aziendale.
Infine, è fondamentale agire anche su quello che è indubbiamente l’anello debole della catena di difesa delle informazioni aziendali: l’utente. Ora più che mai, con la crescente diffusione di dispositivi evoluti e potenti in mano alle persone, è il momento di investire in un programma di consapevolezza, educazione e formazione sulla sicurezza delle informazioni, ovvero sui comportamenti più sicuri da adottare per la protezione dei propri dati personali e delle informazioni aziendali, sulle più importanti e diffuse minacce in ambito mobile e sui rischi derivanti dall’utilizzo scorretto del proprio dispositivo.
L’adozione integrata di queste misure di sicurezza consente alle aziende di beneficiare dei vantaggi apportati dal fenomeno BYOD in termini economici e sotto gli aspetti di evoluzione tecnologica e di produttività del personale, senza però ridurre il proprio livello di sicurezza né mettere a rischio i processi di business e le informazioni critiche aziendali.
Fonti:
- ThreatMetrix Study – U.S. Business Managers and IT Executives
- Varonis Research Report “Bring Your Own Demise” – January 2013
- Sophos Press Release – Survey in UK – October 2012
- Security Week – “BYOD: One size risks all” di Chris Poulin
Ettore Guarnaccia
Trackback / Ping