Anche e soprattutto quando ci si affida al BYOD (Bring Your Own Device), ovvero la pratica per cui gi dipendenti possono utilizzare i propri dispositivi personali per scopi lavorativi, la sicurezza dei dati informatici passa attraverso la scelta di strumenti adeguati, una ben programmata politica di misure controlli, e comportamenti consapevoli.
Serve dunque pensare a un device management che possa supportare l’operatività aziendale in sicurezza, offrendo nel contempo un employee experience di valore e consolidando un digital workspace efficace.
7 regole per la sicurezza dei dati informatici
Vediamo dunque quali sono i punti da attenzionare per garantire un’effettiva sicurezza dei dati informatici all’interno di una strategia BYOD.
1. Tenere traccia dei dispositivi utilizzati e degli utenti
In un variegato ecosistema di dispositivi mobili, ogni device va registrato e monitorato lungo il suo ciclo di vita, determinando in modo chiaro gli usi cui è destinato e stabilendo eventuali restrizioni. Deve tenersi traccia, ovviamente, degli utenti affidatari, della data di inizio del regime e quella di dismissione. Ciò consentirà di ricostruire la storia del dispositivo e assegnare le relative responsabilità.2. Personalizzare il dispositivo
Personalizzare le impostazioni di un device prima del suo uso è essenziale per avere una maggiore sicurezza dei dati informatici. Settando correttamente il dispositivo a seconda delle esigenze dell’end user, si ha la possibilità di limitare sia i rischi sia gli utilizzi non consentiti. Buona practice è inoltre creare un ambiente virtuale separato da quello personale, destinato esclusivamente all’attività lavorativa; prevedere sistemi di autenticazione e di autorizzazione, e una manutenzione e un supporto tecnico che garantiscano software sempre aggiornati.3. Una chiara politica sugli utilizzi concessi
Predeterminare a quali utilizzi può (e deve) essere destinato il dispositivo è fondamentale per mitigare i rischi e informare correttamente l’utente finale, cioè il lavoratore. È importante che questi criteri siano frutto di una scelta coerente con gli obiettivi aziendali e ben preponderata in relazione ai possibili impatti di eventuali violazioni. Per quest’ultimo aspetto è decisivo sensibilizzare i collaboratori e dare chiare linee guida su comportamenti da seguire.4. Investire nella formazione e nella consapevolezza dei collaboratori
Quella della formazione è una regola generale per ogni aspetto della sicurezza dell’informazione, ma diventa ancor più centrale all’interno di un approccio BYOD secondo cui l’uso dei dispositivi è sia personale che lavorativo. L’utilizzo di un dispositivo in mobilità richiede comportanti consapevoli diversi in relazione agli ambienti in cui vengono utilizzati al fine di ridurre i rischi di furto, smarrimento o di eyesdropping.5. Blocco da remoto e memorie criptate
Se il dispositivo fisico viene smarito o rubato, vi dev’essere la possibilità di poterlo bloccare e mettere in atto una pulizia selettiva da remoto, in modo da tutelare la sicurezza dei dati informatici impedendo accessi non autorizzati. Il dispositivo, in ogni caso, deve prevedere memorie efficacemente criptate in modo da salvaguardare anche file temporanei e tracce di attività.6. Regole particolari per gli accessi alla rete
Un rischio molto grave è che il dispositivo, passato in mani non autorizzate, venga utilizzato per accedere alla più ampia rete aziendale: i dispositivi salvano le chiavi di accesso alla rete, che li riconosce come affidabili. È importante quindi impostare un meccanismo di autenticazione e autorizzazione della rete in modo che riconosca elementi identificativi di un probabile accesso insolito (come la connessione da un punto d’accesso inusuale) e blocchi il dispositivo fintanto che non venga fornito un ulteriore elemento di identificazione (un codice di sblocco, un token, un controllo biometrico ecc.).7. Attenzione alla Privacy degli impiegati
La protezione dei dati sensibili, fa sì che il dispositivo non dovrebbe essere in grado di consentire un controllo da remoto sulle attività degli impiegati. Quando ciò non è possibile, deve essere comunque svolto entro i limiti e con le forme imposte dalla normativa sulla Privacy e dallo Statuto dei lavoratori.
