La pratica sempre pių diffusa anche nelle aziende italiane di consentire ai dipendenti di utilizzare in ufficio i propri device per lavoro sta creando seri problemi di sicurezza informatica alle reti aziendali. Secondo una ricerca di British Telecom, condotta in 11 Paesi su un campione rappresentativo di 2.000 manager, soprattutto dei dipartimenti IT, le aziende italiane giā nel 2012 erano fra quelle pių inclini al cosiddetto BYOD (Bring Your Own Device): il 62% contro il 37% in Inghilterra, il 44% in Francia, il 50% in Germania e il 52% negli USA. Ma solo il 25% delle aziende italiane aveva definito una policy ad hoc per il corretto uso del BYOD, contro il 31% di quelle inglesi, il 34% delle tedesche, il 39% delle francesi e il 50% delle americane.

A riportare l’attenzione sui pericoli per la sicurezza informatica aziendale del BYOD sono gli esperti di ESET NOD32, uno dei grandi produttori mondiali di software antivirus, i quali sottolineano in primo luogo i rischi derivanti dall’uso di Internet e in particolare la difficoltā oggettiva di proteggere i dispositivi personali dei dipendenti connessi alla rete aziendale (PC, tablet, smartphone, card SD o MicroSD), a causa dell’impossibilitā di monitorare adeguatamente il traffico dati, soprattutto in uscita. Molte delle app di smartphone e tablet, ad esempio quelle del meteo e della mailbox, utilizzano la connessione a Internet e veicolano le informazioni in formato testo (password incluse), ma applicazioni come WireShark sono in grado di leggere queste informazioni, aprendo la porta ad un uso improprio dei dati sensibili. E non trascurabile č il pericolo legato alla sincronizzazione e archiviazione del contenuto dei device nell’ormai popolarissima cloud, dove potrebbero finire, insieme a informazioni e file personali, anche quelli aziendali.

L’altra grande criticitā per le aziende č legata alla difficoltā di gestire centralmente contenuti e configurazioni dei dispositivi personali dei dipendenti, il cui aggiornamento viene di solito effettuato attraverso il produttore, scavalcando le policy aziendali. Inoltre le funzioni multi-tasking (l’uso contemporaneo di differenti applicazioni) potrebbero essere limitate e i plug-in aziendali (es. Flash, Silverlight) non essere supportati: le applicazioni per differenti dispositivi non sono intercambiabili e quelle create per un determinato device potrebbero non essere compatibili o trasferibili su altri. Non va sottovalutato infine il pericolo di furto, a cui sono esposti i dispositivi mobili in possesso dei dipendenti, con tutte le pericolose conseguenze che ne deriverebbero per i dati aziendali salvati sugli stessi device.

Il passaggio dal modello BYOD al CYOD

All’origine della diffusione del modello BYOD vi sono una serie di innegabili vantaggi per le aziende, soprattutto in termini di risparmi di spesa in hardware, software e training al personale. In molti casi poi i device personali sono pių piccoli e leggeri, quindi pių facili da trasportare per i dipendenti.

Per salvaguardare questo tipo di benefici e allo stesso tempo per non mettere a repentaglio la sicurezza informatica aziendale, gli esperti ESET NOD32 consigliano un modello pių consapevole, il cosiddetto CYOD (Choose Your Own Device), ovvero ‘Scegli il tuo dispositivo’.

In pratica i dipendenti che intendono utilizzare un dispositivo personale sulla rete aziendale lo scelgono all’interno di un set di dispositivi preselezionati dal dipartimento IT. Questi dispositivi sono per definizione ‘entitā conosciute’ dalla rete aziendale, quindi gestibili, con patches e aggiornamenti disponibili tempestivamente, e compatibili nelle loro applicazioni. In tal modo č possibile rispettare tutti gli standard di sicurezza informatica e le policy aziendali, riducendo i rischi ad un livello accettabile, e allo stesso tempo offrire ai dipendenti un sufficiente grado di flessibilitā sui device che intendono utilizzare. I dipendenti che preferiscono in ogni caso far uso di un proprio device, non incluso nella lista autorizzata, dovranno accettare il fatto di non poter accedere alla rete e alle funzioni aziendali da quel dispositivo