Passa ai contenuti principali

Come redigere una buona policy BYOD



Con l'acronimo BYOD "Bring Your Own Device" (porta il dispositivo tuo) si intende la gestione dei dispositivi elettronici personali quali smartphone, tablet, laptop, notebook e dispositivi simili in ambito lavorativo. Negli ultimi anni abbiamo assistito ad un uso sempre più diffuso di dispositivi mobili personali, in particolare smartphone, in ambito lavorativo per memorizzare, accedere remotamente, trasmettere o ricevere dati, utilizzare dati ed informazioni aziendali su base occasionale o regolare. Se da un lato le aziende generalmente favoriscono se non addirittura promuovono l'utilizzo di tali dispositivi anche all'interno della propria rete perché questo porta a vantaggi in termini di efficienza e produttività: maggiore familiarità con le funzioni del dispositivo da parte del personale, dall'altro occorre inserire la gestione di tali dispositivi elettronici nelle policy di sicurezza in essere in un bilanciamento talvolta difficile tra le esigenze di tutelare la riservatezza del lavoratore e la necessità di ridurre il rischio derivante dall'utilizzo di tali attrezzature personali all'interno dell'ambiente lavorativo. Tali rischi sono il furto o la perdita anche accidentale del dispositivo, la violazione informatica, rischi che potrebbero mettere a repentaglio informazioni riservate o confidenziali, dati personali relativi a persone fisiche anche di natura particolare.

Nasce quindi l'esigenza di stabilire una policy per il corretto utilizzo di tali strumenti personali che  a questo punto diventano anche strumenti di lavoro. Ad esempio oggi gli smartphone sono dei veri e propri computer portatili anche assai potenti, e allora come impatta il loro utilizzo sulle misure minime di sicurezza informatica messe in atto in azienda? Pensiamo ad esempio alla necessità di dover fare un inventario di tutti i dispositivi collegati in rete, a quella di dover inserire questi dispositivi all'interno delle regole del firewall, alla esigenza di dover controllare il livello di aggiornamento di patch di sicurezza e sistemi antivirus attivi su tali dispositivi. Come dobbiamo procedere? Per cominciare nella policy andranno inseriti una serie di punti che dovranno essere tutti verificati magari facendo riferimento al supporto tecnico del personale IT dell'azienda. Occorre distinguere tra differenti livelli di sicurezza in base alla mansione del dipendente nell'ambito dell'organizzazione aziendale, ovvero costituendo un livello di base di rischio basso valido per tutti e dei livelli avanzati quando il rischio diventa medio o alto, per esempio possiamo supporre che chi si occupa di risorse umane (HR) possa essere sicuramente assegnato ad un rischio maggiore vista la particolarità dei dati trattati. Bisogna anche fare in modo che i dati personali siano sempre separati da quelli aziendali. Dal punto di vista tecnico gli amministratori di rete possono oggi contare su delle nuove tecnologie quali le UEM (Unified Endpoint Management) che permettono all'interno della stessa piattaforma di gestire dispostivi eterogenei quali laptop. desktop smartphone, tablet, wearable e dispositivi IoT.

L'applicazione di regole certe è un vantaggio per tutti, per il lavoratore che ha in definitiva uno strumento più sicuro anche in ambito personale, minimizzando i rischi di furto d'identità ed uso improprio delle sue credenziali di accesso, per l'azienda che ha l'interesse a promuovere il corretto utilizzo degli apparati informatici, in quanto strumenti utili a perseguire con efficacia ed efficienza le proprie finalità in un'ottica di semplificazione dell'attività e nel rispetto dei principi e delle linee guida della normativa vigente, pensiamo ad esempio al nuovo regolamento europeo sui dati personali (GDPR).

Tra i criteri di base ai quali tutti coloro che utilizzano dispositivi elettronici personali in ambito lavorativo dovrebbero attenersi e aderire ci sono i seguenti punti.

Misure di base valide per tutti dispositivi:

  • Impostare una password o PIN di sicurezza per accedere al dispositivo, possibilmente utilizzare una password forte, la sicurezza della password è direttamente proporzionale alla sua lunghezza. Non rivelare mai la password ad alcuno.
  • Impostare il proprio dispositivo in modo che si attivi la schermata di blocco dopo un breve tempo di inattività (qualche minuto).
  • Mettere in atto delle misure di tipo fisico, non lasciare mai il dispositivo incustodito.
  • Fare tutti gli aggiornamenti di sicurezza tutte le volte che il sistema operativo del vostro dispositivo li propone.
  • Predisporre il backup automatico dei documenti contenuti nel dispositivo.
  • Per quanto riguarda i documenti aziendali, trasferire regolarmente tutti i documenti nelle opportune collocazioni della rete aziendale (server, cloud, storage).
  • Non condividere il proprio device con membri della vostra famiglia o altre persone, eventualmente settate delle password non memorizzate per impostazione predefinita per accedere alle informazioni aziendali.
  • Organizzare e manutenere le informazioni contenute all’interno del vostro device, cancellate i file non più necessari.
  • Se dovete far riparare il vostro dispositivo assicuratevi di cancellare tutti i documenti aziendali prima di consegnarlo al supporto tecnico. Nel caso di dismissione del dispositivo effettuare un reset dello stesso alle impostazioni di fabbrica.
  • Crittografare il dispositivo per evitare che le informazioni ivi contenute possano essere recuperate accedendo direttamente alla memoria del dispositivo.
  • Comunicare tempestivamente, in base alle policy aziendali sui data breach, ogni violazione del dispositivo, nell’incertezza contattare l’amministratore di sistema.
  • Configurare il proprio dispositivo in modo da adottare sempre le più recenti impostazioni di sicurezza, nell’incertezza sul da farsi contattare il personale IT dell’azienda che potrà darvi le istruzioni in merito.
  • Quando ci si collega a servizi remoti della rete aziendale assicurarsi di fare la disconnessione al termine della sessione.

Misure per telefoni cellulari, smartphone e tablet:
  • Configurare il proprio dispositivo per la cancellazione remota nel caso venisse perso o rubato.
  • Se acquistate un dispositivo di seconda mano prima di utilizzarlo ripristinate le impostazioni di fabbrica.
  • Scaricare e installare solo “app” da fonti attendibili.

Misure per laptop e notebook:
  • Installare un buon prodotto antivirus e tenetelo aggiornato.

Misure per le reti wireless non aziendali: 
  • Verificare di non connettere automaticamente il proprio dispositivo a reti WI-FI non sicure, se decidete di collegarvi a reti WI-FI non sicure valutarne con attenzione i rischi e le potenziali conseguenze.
  • Disabilitare servizi quali Bluetooth o wireless quando non li state utilizzando.
Questa policy stabilisce una serie di misure minime di base per l'utilizzo di questi dispositivi in ambito lavorativo ma nell'ambito delle mansioni aziendali è possibile creare differenti layer di sicurezza sulla base del rischio (alto, medio, basso) e quindi taluni uffici e divisioni potrebbero applicarne di più stringenti sulla base della riservatezza o della particolarità dei trattamenti effettuati.


Commenti

Post popolari in questo blog

Cancellazione sicura: la sanificazione dei dati informatici

La sanificazione è un punto importante del ciclo di vita del dato: quando il dato giunge al termine del suo ciclo vitale ovvero quando è diventato inutile, obsoleto o ridondante è essenziale poterlo dismettere in modo sicuro facendo in modo che non sia possibile per nessuno poterlo ricostruire in alcun modo. Formattare i dischi da smaltire non basta, è come buttare nel cassonetto un libro strappando solo la pagina dell'indice, il primo che passa potrebbe recuperarlo e leggerlo. I vostri dati sono tutti al loro posto pronti per essere ripristinati. Secondo un'indagine condotta da uno dei maggiori produttori mondiali di HD sulla vendita online di supporti di memorizzazione usati è stato possibile recuperare integralmente il contenuto di questi hard disk ben 7 volte su 10. Molti dati personali vengono recuperati da supporti digitali smaltiti in modo superficiale. In cosa consiste la sanificazione dei dati? Si definisce sanificazione dei dati quel processo attraverso il qua...

L'arte del camuffamento: come ingannare gli algoritmi di riconoscimento facciale

La società nella quale viviamo è purtroppo diventata anche una società del controllo e della sorveglianza. Per proteggere la nostra privacy è opportuno adottare un modello di autodifesa digitale (privacy threat model) adeguato al nostro profilo di rischio. Se sei arrivato su questa pagina e stai leggendo questo blog allora hai già fatto il primo passo: puoi far parte anche tu del nostro gruppo di #gentesicura . Per sviluppare un modello di autodifesa digitale occorre farsi alcune domande: che tipo di informazioni voglio proteggere? Da chi le voglio nascondere? Quale sarebbe l'impatto sulla mia vita se queste informazioni venissero scoperte? Oggi una delle minacce più gravi è certamente rappresentata dai sistemi di videosorveglianza e dai loro algoritmi di riconoscimento facciale. Probabilmente in qualche banca dati digitale è già presente una vostra foto collegata al vostro nome e cognome. Anche se non è detto che questo database sia pubblico, è sempre buona norma fare una ricerca ...

Chiamate vocali a prova di intercettazione con Signal

Di tanto in tanto mi capita di scorrere la lista di coloro tra  miei contatti che sono iscritti a Signal, l'applicazione voip gratuita e open source basata sulla crittografia end-to-end lanciata nel 2014 dall'organizzazione no profit Open Whisper Systems, e mi dolgo davvero di quanto pochi essi siano soprattutto se paragonati con quelli iscritti alla più popolare app di messagistica di Meta, ovvero la maggior parte di loro. Anarchico, hacker, crittografo, maestro d'ascia, skipper, Moxie Marlinspike, il fondatore del servizio Signal, è convinto che il progresso tecnologico debba andare di pari passo con la sicurezza degli utenti. Così intorno alla sua "creatura" è nata una community di persone che mettono la privacy al primo posto. Tra questi anche Edward Snowden il whistleblower ex consulente dell'NSA, l'agenzia per la sicurezza nazionale degli Stati Uniti, che nella primavera del 2013 divulgò una serie di informazioni classificate sui piani di sorveglian...