Device personali usati per lavoro: i pericoli del BYOD

Secondo Sole 24 Ore nel 2017 il 50% delle aziende chiederà ai propri dipendenti di utilizzare i device personali anche per lo svolgimento dell’attività lavorativa, questo fenomeno è conosciuto come  “Bring Your Own Device” ma ci sono aspetti tutt'altro che secondari che non possiamo sottovalutare.

Il sondaggio prevede sempre più la diffusione di questa strategia aziendale, volta principalmente alla riduzione dei costi annessi e al beneficiare della maggiore efficienza che il lavoratore avrebbe utilizzando il proprio dispositivo, notebook, smarphone o tablet che sia.

E’ infatti provato che quelli di proprietà del lavoratore sono mediamente più performanti di quelli forniti dall’azienda e che la maggiore dimestichezza nell’ utilizzo di quello proprio diminuisce il tempo richiesto per lo svolgimento dell’attività.

Due piccioni con una fava, maggiore produttività con costi più bassi.

Certo a prima vista i vantaggi sembrano importanti ma più da vicino sono accompagnati da una serie di risvolti che non sono pesati adeguatamente, in quanto di importanza tale per cui potrebbe non valerne la pena.

Ecco quali sono i pericoli del BYOD:

• Tecnici, dato che i dispositivi dovranno interfacciarsi con i sistemi aziendali il reparto IT continuerà ed essere coinvolto, risorse interne che saranno comunque da mettere a disposizione, da questo punto di vista non c’è economia, non bisogna perdere di vista questo tipo di costo;
• Sicurezza, l’utilizzo dei dispositivi non potrà essere limitato o alterato, pena l’imperfezione del modello di BYOD, saranno infatti utilizzati “anche per lavoro” non “solo per lavoro” e quindi minacciati da tutti i pericoli che possono derivare dall’utilizzo privato, navigazione web pericolosa, app poco sicure, maggiore rischio di furto o smarrimento. Tutto questo a discapito della riservatezza dei dati in essi contenuti, della sicurezza sugli accessi ai sistemi e della continuità operativa del dipendente;
• Privacy, proteggere questi dispositivi in un simile contesto non significa adottare solo un antivirus per mobile ma prodotti più invasivi in grado di applicare un controllo esteso che necessita del benestare del dipendente (proprietario), parliamo di controllo delle applicazioni permesse, cifratura, possibilità di wipe da remoto in caso di smarrimento o addirittura localizzazione del dispositivo. Queste funzionalità sono gestite da piattaforme centralizzate che monitorano tutto il parco dei device e potenzialmente possono fornire anche le evidenze della sfera privata del dipendente, ecco che gli aspetti di privacy assumono una connotazione molto critica ma senza tali strumenti non avremmo la sicurezza necessaria;
• Sindacali, a causa della sovrapposizione della sfera lavorativa con quella privata si perde di vista il confine tra le due, orari e luoghi di lavoro sarebbero meno definiti e subentrano anche ulteriori difficoltà relative al divieto di ogni forma di controllo del lavoratore a distanza;
• Rimborsi, in quanto i dipendenti potrebbero esigere un corrispettivo economico per la messa a disposizione del dispositivo e per il decadimento dovuto al maggiore utilizzo, questo andrebbe a diminuire il vantaggio economico.

Tiriamo le somme e la conclusione è presto detta, tuttavia le statistiche parlano chiaro, il fenomeno sembra destinato a svilupparsi e questa tendenza lascerebbe infatti ad intendere che le aziende continuino a considerare solo i benefici più immediati.

Ci sono casi invece in cui questo fenomeno non è una richiesta delle aziende ma un desiderio dello stesso lavoratore, che trova più piacevole lavorare con i propri dispositivi spesso più performanti, con cui ha un grado superiore di dimestichezza e ritiene di maggiore gradimento.

Questo introduce una sfumatura diversa in quanto il lavoratore sarebbe tenuto ad accettare il controllo del dispositivo anche se a mio parere non è una condizione sufficiente per un benestare.

La soluzione migliore continua ad essere quella di utilizzare i device forniti dall’azienda, in questo modo qualsiasi modalità operativa o decisione potrà essere intrapresa nel pieno rispetto delle necessità e direttive aziendali ed è più costosa solo in apparenza.

In ogni caso che il BYOD sia imposto, richiesto oppure evitato, notebook, tablet e smartphone sono ormai cloni l’uno dell’altro e il largo utilizzo in mobilità che ne facciamo li rende soggetti ad una infinità di attacchi e minacce.

Nella sicurezza informatica è sempre indicato seguire la logica preventiva (Security by default) e purtroppo è ancora troppo comune correre a ripari, cosa che oltre ad essere filosoficamente sbagliata, porta a situazioni peggiori dell’investire in prodotti di sicurezza.

Basta chiedersi, quanto costa?

E quanto mi costerebbe se succedesse che …?

Nella sicurezza informatica “temere di spendere soldi per nulla” è un concetto che non esiste, proteggersi e non ricevere attacchi è la vittoria più grande, non uno spreco, ogni contromisura è un’assicurazione che dobbiamo avere e sperare non ci serva mai.

In questo post abbiamo parlato dei due modelli principali, BYOD e COBO ma esistono anche due compromessi che ho descritto in questo post: “Il BYOD e le sue alternative: le possibilità sono 4”.

L’argomento è trattato anche in questa guida insieme alle opinioni di oltre 3.000 IT Manager che abbiamo raccolto per costruire la classifica dei "Top 10 rischi sulla sicurezza informatica per il 2016", completate con molti consigli utili sulle contromisure da attuare.