Contributo di Nicola Lucchini
L’avvento del Covid-19 e i suoi effetti sulla modalità di svolgimento dell’attività lavorativa hanno sollevato un’importante questione rilevante per la gestione delle informazioni aziendali. Abbiamo infatti assistito a uno sviluppo nell’utilizzo di dispositivi personali per l’esecuzione di attività lavorative da parte dei dipendenti, determinato dalla pratica dello smart-working e dalla necessità delle organizzazioni a pronta reperibilità del personale, pratiche utili al contenimento dei costi e allo sviluppo di networking aziendale.
Questa tendenza, evidente e rilevante nel contesto moderno, è in verità una situazione sempre esistita. Già nel 2015, Chris Ross, ex Managing Executive di prodotti e servizi per Vodacom Business, specificò come circa il 95% del personale dipendente utilizzava un dispositivo personale per attività relative al lavoro, evidenziando l’esistenza di un rischio passato per lungo tempo inosservato e non gestito.
Oggi più che mai diventa necessario affrontare questa dinamica in funzione delle maggior funzionalità digitali utili al completamento delle mansioni lavorative, maggiori informazioni presenti nei canali cloud e una maggior possibilità di avvenimenti di data-breach, oltre all’impatto catastrofico che tale evento avrebbe per la business continuity aziendale. Rischi contenibili da considerare parallelamente ai benefici derivanti dall’adozione di una politica aziendale che consenta l’utilizzo di dispositivi personali per le attività lavorative.
Al fine di gestire correttamente i rischi derivanti dall’ implementazione di una politica BYOD (Bring Your Own Device), un termine per indicare appunto la scelta aziendale di permettere l’utilizzo controllato di dispostivi personali per il completamento di attività lavorative, è necessario che l’azienda definisca in parallelo tre fondamentali componenti critiche capaci di mitigare i rischi implicati con l’adozione di tale pratica:
- un’applicazione software per il management dei dispostivi (MDM);
- una policy indicante responsabilità e requisiti per l’utilizzo di dispositivi personali,
- un user agreement relativo a tale policy.
Ma perché strutturare una politica BYOD?
Come già accennato, anche se non definito dal top-management aziendale, la possibilità che il personale utilizzi dispostivi personali per lo svolgimento di mansioni lavorative è particolarmente rilevante, determinando nuovi rischi per la sicurezza delle informazioni.
Inoltre, benefici derivanti dall’adozione di un sistema BYOD spaziano dalla possibilità per i dipendenti di utilizzare dispostivi con cui hanno comprovata famigliarità, aumentando produttività e facilità di utilizzo, alla riduzione dei costi imputabili al dipartimento IT per l’acquisto, il licencing e il setup dei dispositivi. In generale si assiste a un’incrementata flessibilità, mobilità, efficienza e soddisfazione del personale.
Sono inoltre da prendere in considerazione difficoltà tecniche, ad esempio: la difficoltà nell’abilitazione di sistemi di data loss prevention, restrizioni relative allo scambio di informazioni tra applicazioni personali e aziendali, accessi non autorizzati causati dall’utilizzo da parte di altri membri del nucleo famigliare del dispositivo, spostamento di informazioni su hardware non sicuri, etc.
Al fine di gestire correttamente tali dinamiche diviene necessaria l’implementazione di un software per la gestione dei dispositivi (MDM – Mobile Device Management) in grado di assicurare la conformità dei dispostivi alla politica definita e agli standard di sicurezza dell’organizzazione.
Funzioni aggiuntive, ad esempio la facoltà di cancellare informazioni nel caso di smarrimento del dispositivo personale (particolarmente rilevante per le organizzazioni sottostanti ai requisiti del GDPR relativi alle informazioni sullo stato di salute dei soggetti (35 and art. 4(15)) e la distribuzione delle risorse aziendali come documenti, e-mail e applicazioni, rendono questo strumento centrale nella modalità di lavoro, spesso decentralizzata, del contesto odierno.
A fronte della mitigazione del rischio non controllato si introduce però un nuovo rischio proprio del concetto di privacy, ad esempio le preoccupazioni del personale relativamente al livello di accesso del dipartimento IT sui dispositivi personali.
La corretta definizione di una politica BYOD includente riferimenti alle responsabilità dell’organizzazione nei confronti della privacy del personale, coadiuvata da programmi MDM in grado di disabilitare funzioni invasive della privacy sono strumenti che possono mitigare fortemente i dubbi dei dipendenti conseguenti dall’adozione di tale pratica.
La politica BYOD è un documento che presenta i requisiti che i dipendenti devono rispettare al fine di impiegare i propri dispositivi per le attività lavorative.
Specifici requisiti possono essere:
- definizione di utilizzi accettabili di dispositivi personali per eseguire attività lavorative;
- software da installare al fine di aumentare il livello di sicurezza del dispositivo, appunto il software MDM;
- misure di sicurezza, come livelli di sicurezza delle password,
- incentivi o rimborsi per l’utilizzo di piani tariffari personali per attività lavorative;
- requisiti per la disattivazione del dispositivo personale in utilizzo.
In questo senso un sistema ISO 27001 e una completa attività di risk-assessment possono essere ottime linee guida per definire la politica BYOD. La norma definisce in parte tali caratteristiche all’interno del punto “A.06.02.01 Politica per i dispositivi portatili”, assicurando quindi attraverso la certificazione, rispondenza ai principi necessari alla mitigazione dei rischi connessi all’implementazione di una politica BYOD.
Qualora l’organizzazione volesse ulteriormente sottolineare l’attenzione profusa verso la definizione di modalità specifiche di mitigazione dei rischi connessi con l’utilizzo di dispositivi personali per l’attività lavorativa è possibile aggiungere un ulteriore riferimento alla dichiarazione di applicabilità.