Uno stile di lavoro che contribuisce ad aumentare la produttività e l’efficienza, ma che senza policy avanzate implica rischi per la sicurezza delle informazioni
Il trend BYOD (Bring Your Own Device) è in costante crescita, sempre più spesso infatti i dipendenti scelgono la piattaforma che preferiscono anziché utilizzare i dispositivi standard forniti dall’azienda, e sono disposti a pagare personalmente i propri smartphone e i relativi piani mensili. Per questo motivo, un numero sempre maggiore di organizzazioni apre l’accesso alle proprie reti a dispositivi non aziendali, dagli iPads agli ultimi gadget Android.
Per le imprese la diffusione di dispositivi personali nell’ambiente di lavoro porta maggior efficienza e aumento della produttività, oltre a minori costi per la gestione degli operatori telefonici. I dipendenti possono rispondere a e-mail, condividere file, caricare applicazioni, aggiornare siti Web da qualsiasi e luogo e in qualsiasi momento, con un altissimo grado di soddisfazione personale ed efficienza produttiva.
Sembrerebbe una situazione ideale, ma Fortinet evidenzia come sia sorprendete che poche aziende abbiano implementato policy per proteggere adeguatamente i dispositivi mobili che vengono introdotti nel luogo di lavoro. Senza queste policy, le aziende non hanno altra scelta che impedirne l’uso e, di conseguenza, rinunciare a una maggiore produttività e a risparmi più elevati in termini di costi.
In genere questi device sono privi delle più fondamentali funzionalità di sicurezza, come antivirus e password. La flessibilità consentita dai dispositivi personali implica che app business critical possono essere e saranno utilizzate da qualsiasi rete in qualsiasi località. Questi stili di lavoro implicano che un’enorme quantità di dati sensibili sia salvata sui dispositivi, la cui esposizione potrebbe risultare dannosa per l’attività aziendale.
Ciò nonostante, diventa sempre più difficile per le aziende impedire ai dipendenti di usare i propri device: è chiaro che il personale non smetterà di usare il proprio palmare per l’attività lavorativa e si ingegnerà semplicemente per trovare un modo per poterlo usare.
Fortinet suggerisce tre strategie che l’IT può adottare per rassicurare le organizzazioni:
Implementare opportune policy mobile: è la policy elementare. La maggior parte delle aziende dovrebbe trovare il tempo di definire i propri obiettivi e determinare le minacce reali per la rete, ad esempio siti Web dannosi, perdita di produttività, uso eccessivo della larghezza di banda. Alcune domande che il reparto IT dovrebbe valutare:
· Quali applicazioni sono necessarie e quali non sono consentite?
· A quali dipendenti sarà consentito usare questi dispositivi?
· Chi ha accesso alla rete in base a “chi, cosa, dove e quando”?
Software di gestione remota: è importante poter applicare la gamma di funzioni di sicurezza di base, come antivirus o software per la rimozione dei dati in remoto, su qualsiasi dispositivo in cui risiedono dati aziendali. Il software di gestione remota consente al dipartimento IT di aggiornare automaticamente i dispositivi degli utenti con le patch più recenti, per impedire che qualsiasi vulnerabilità esistente venga sfruttata per attacchi mobili. Le aziende dovrebbero inoltre implementare funzioni centralizzate per le operazioni di localizzazione, track, blocco, pulizia, backup e ripristino in remoto, in modo da proteggere, recuperare e ripristinare i dati aziendali sui dispositivi mobili persi o rubati.
Blocco di dispositivi non compatibili: in questo caso le organizzazioni possono adottare un compromesso. Spesso i dipendenti sono ansiosi di usare il proprio dispositivo personale per lavoro, ma sono restii a installarvi prodotti software aggiuntivi. Come compromesso, le aziende potrebbero consentire ai dipendenti di usare i propri dispositivi SE accettano di installare determinate app secondo le policy di sicurezza dell’organizzazione. In caso contrario, i lavoratori potranno continuare a usare un dispositivo fornito dall’IT. Una soluzione alternativa che qualche azienda potrebbe considerare sono i telefoni di tipo “dual persona” dotati di due partizioni logiche, una per lavoro e l’altra per uso personale e l’IT avrebbe il controllo completo della partizione professionale.
Le organizzazioni devono comunque rendersi conto che per proteggere efficacemente le reti e i dati aziendali dalle potenziali minacce provenienti dai dispositivi mobili, devono gestire la sicurezza a livello di rete piuttosto che a livello di endpoint. In effetti, è molto difficile proteggere singoli telefoni e tablet usando agenti di sicurezza: tecnicamente i dispositivi attuali non hanno abbastanza potenza di elaborazione ed esistono troppi tipi di sistemi operativi e dispositivi per mantenere aggiornati gli agenti; dal lato utente, è molto difficile imporre l’installazione di software di sicurezza sui dispositivi personali che i dipendenti portano al lavoro. La sola soluzione efficace consiste nell’assicurarsi che la rete di base sia protetta e che l’azienda sia in grado di controllare l’accesso in entrata e in uscita alla rete aziendale dai dispositivi esterni. Questa strategia di sicurezza della rete richiede un rigido controllo di utenti e applicazioni, oltre alla gestione dei dispositivi. Richiede che le organizzazioni IT abbiano il potere di rilevare e controllare l’uso delle applicazioni sulle reti e sugli endpoint aziendali in base alla classificazione delle applicazioni, all’analisi del comportamento e all’associazione degli utenti finali, nonché di rilevare e controllare le applicazioni basate su Web a livello capillare, inclusa l’ispezione del traffico applicativo crittografato indipendentemente dalle porte e dai protocolli utilizzati.
“Il trend del BYOD è ormai affermato e continuerà a diffondersi. Lo stile di lavoro mobile è una realtà. Le organizzazioni e i relativi responsabili IT devono seguirne l’evoluzione e adattarsi sia per proteggere la preziosa rete aziendale da potenziali minacce sia per supportare i propri dipendenti, ottimizzando produttività ed efficienza”, ha affermato Joe Sarno, Regional Sales Vice President di Fortinet.
