I rischi introdotti in azienda dal fenomeno BYOD (Bring Your Own Device) oggi non sono sufficientemente bilanciati dai possibili benefici. Dispositivi Android, Apple iPhone e tablet in genere sono tecnologicamente all’avanguardia, molto comodi ed utili, pressoché irrinunciabili per le aziende dinamiche e moderne. L’altro lato della medaglia è costituito dalla violazione dei dati, una minaccia che oggi comporta milioni di danni per le aziende ogni anno, aggravato dal fatto che le grandi aziende, le PMI e gli enti governativi, sebbene siano a conoscenza del rischio, continuano a consentire a dipendenti e terze parti l’uso di dispositivi mobili personali, incrementando di fatto la probabilità che le violazioni si verifichino. Sebbene non esista ancora un’equazione per quantificare l’effettivo aumento delle violazioni di dati direttamente correlate al fenomeno BYOD, è chiaro ed evidente come questo aumento ci sia eccome.

Come  possiamo determinare che la consumerizzazione, cioè l’adozione di dispositivi BYOD, aumenti il rischio di violazione? Bella domanda. Esiste una sfilza interminabile di articoli, report ed opinioni che indicano proprio questo, molti dei quali sono basati su ricerche sul campo e sugli incidenti che si sono verificati. Alcuni dei più recenti studi sul tema hanno rivelato che quasi la metà delle aziende che consentono ai propri dipendenti di connettersi alla rete aziendale mediante dispositivi personali hanno subito una violazione ad essi correlata, un dato sconcertante se consideriamo il numero di violazioni che si sono verificate prima che il fenomeno BYOD colpisse il mercato.

Nonostante il rischio collegato al BYOD sia importante, le aziende sono generalmente convinte di dover consentire a dipendenti e terze parti l’utilizzo dei propri dispositivi personali per utilizzare i sistemi di comunicazione ed accedere ai dati aziendali. Questo trend potrebbe essere lo splendido risultato di una geniale opera di marketing, oppure un chiaro segnale che le aziende hanno perso il controllo sui dispositivi o la capacità di stabilire regole basilari di sicurezza, non è possibile stabilirlo con certezza, sebbene potrebbe essere la conseguenza di una combinazione di tutti questi aspetti.

Indipendentemente da come un’azienda di ponga nei confronti del fenomeno BYOD, ci sono alcuni aspetti basilari da prendere in considerazione prima di decidere di ricorrervi:

• Il BYOD ha generato una maggiore esposizione generale al rischio di violazione dei dati che nessuna azienda è oggi sufficientemente preparata a gestire.
• La visibilità, il controllo e il monitoraggio sono requisiti essenziali per la sicurezza aziendale, ma sono anche elementi che il BYOD e il Mobile Device Management (MDM) non possono garantire.
• Le aziende più consapevoli sugli aspetti di sicurezza delle informazioni non devono consentire il BYOD.
• Non bisogna mai barattare le promesse in termini di maggiori vendite e produttività con una riduzione della sicurezza aziendale.

Analizziamo più in dettaglio questi aspetti.

Il BYOD ha generato un aumento del rischio di violazione che le aziende non sono preparate a gestire

Attualmente non c’è alcun modo di affrontare il rischio che il fenomeno BYOD comporta. Solo per i sistemi Android e iOS sono già disponibili milioni di applicazioni per il download, un numero incalcolabile delle quali apre porte nelle tecnologie BYOD che hacker e cyber criminali possono facilmente sfruttare. Anche iOS, a lungo ritenuto estremamente sicuro, sta dimostrando di essere vulnerabile: di recente, nel dicembre 2012, il ricercatore Carlos Reventlov ha identificato una vulnerabilità nell’app Instagram per iPhone che potrebbe consentire ad un attaccante di eseguire un attacco di tipo man-in-the-middle (MITM) su iOS.

Visibilità, controllo e monitoraggio sono requisiti di sicurezza essenziali che BYOD e MDM non possono garantire

Quando si tratta di sicurezza dei dati, la visibilità, il controllo e il monitoraggio sono fondamentali. Quando si tratta di BYOD, anche le soluzioni MDM più avanzate non possono fornire un quadro dettagliato ed esaustivo di come i dipendenti accedono e condividono i dati aziendali. Le aziende che non hanno visibilità sull’operatività dei dipendenti non alcun modo di stabilire come, quando e dove le loro informazioni critiche vengono esposte.

Le aziende più consapevoli sulla sicurezza non dovrebbero consentire il BYOD

Qualsiasi azienda che affronta seriamente gli aspetti di sicurezza delle informazioni non dovrebbe consentire il BYOD. La maggior parte delle aziende a livello enterprise dispone di sofisticati sistemi di sicurezza fisica, che normalmente comprendono telecamere di sorveglianza allo stato dell’arte, serrature delle porte con tastierino numerico, codici di identificazione e badge di accesso. Nessuna di queste aziende consentirebbe a dipendenti e terze parti di rimuovere le telecamere di sorveglianza e di sostituirle con le proprie, di installare tastierini numerici personali o di crearsi un proprio badge di accesso personalizzato. In questi casi, il concetto “Bring Your Own Device” semplicemente non funzionerebbe e non sarebbe mai ammesso. Lo stesso può essere affermato per il fenomeno BYOD vero e proprio: in nome della sicurezza aziendale, le aziende non dovrebbero consentirlo.

Non barattare la promessa di maggiore produttività con una riduzione della sicurezza aziendale

Nel mondo degli affari vi è un vecchio detto: “Non succede nulla finché qualcuno non vende qualcosa”. In tema di BYOD, le aziende devono considerare con attenzione se le innegabili concessioni in termini di sicurezza aziendale saranno effettivamente bilanciate da migliori risultati di produttività e vendite. Le aziende che analizzano in maniera approfondita la questione scopriranno molto probabilmente che gli agenti che utilizzano dispositivi forniti dall’azienda chiudono più o meno gli stessi contratti di coloro che usano dispositivi BYOD, che sono in grado di rispondere ai messaggi email da Blackberry con la stessa rapidità di un iPhone, e che sono comunque in grado di accedere alle applicazioni aziendali con la stessa efficienza e produttività.

Conclusioni

Diverse vulnerabilità fuori controllo e non preventivabili, visibilità e controllo pressoché impossibili, incompatibilità generale con i requisiti di sicurezza aziendale e l’indispensabile compromesso in termini di riduzione del livello di sicurezza dell’azienda, sono motivazioni più che sufficienti per considerare qualsiasi azienda assolutamente impreparata per abbracciare il fenomeno BYOD, nonostante i potenziali vantaggi in termini di costi di acquisto e di manutenzione dei dispositivi che esso è in grado di offrire.

A questo punto dell’evoluzione nella consumerizzazione di dispositivi mobili, la sicurezza non è ancora al passo e non è attualmente in grado di fornire alcuna reale ed efficace difesa contro le violazioni e i furti di dati aziendali, né di garantire la conformità a leggi e regolamentazioni in tema di privacy e protezione dei dati. I dispositivi forniti e controllati dall’azienda sono già in grado di fornire tutte le funzionalità necessarie a garantire che le comunicazioni di business e gli accessi a dati ed applicazioni avvengano nel rispetto dei requisiti di sicurezza aziendali. Allo stato attuale, quindi, non c’è alcuna ragione per un’azienda votata alla sicurezza, alla produttività e all’efficienza di sobbarcarsi i rischi inerenti l’adozione di dispositivi BYOD.

Fonte: No Organization is Ready for BYOD – Security Week

Ettore Guarnaccia