BYOD: come si deve affrontare il tema sicurezza?

Kaspersky Lab propone una riflessione sulla pratica BYOD, che se da un lato facilita i dipendenti e fa risparmiare l’azienda, dall’altro rimane una mina vagante quando si parla di sicurezza.

byod

Molte aziende consentono l’uso di dispositivi personali per scopi professionali: da chiamate di lavoro effettuate con il telefono personale alla connessione alla rete aziendale utilizzando il portatile di casa. Il dipendente ha già dimestichezza con il dispositivo e, dall’altro lato, l’azienda risparmia. Lo svantaggio è che questa consuetudine aggiunge rischi dal punto di vista della sicurezza informatica.

adv
Investimenti Oracle NetSuite

Prendere decisioni strategiche informate grazie a Business Intelligence e Analytics

Una piattaforma di BI e Analytics deve offrire ai decision maker tutti gli strumenti necessari per migliorare l'efficienza e individuare nuove opportunità prima della concorrenza. Presentiamo una serie di preziose risorse e ricerche in Pdf per approfondire questo argomento da un punto di vista tecnico e strategico. SCARICA LE GUIDE >>

Da alcuni anni a questa parte sono sempre di più le aziende che seguono la politica del Bring Your Own Device (BYOD). Uno studio condotto l’anno scorso da Oxford Economics per Samsung ha evidenziato che il 75% delle aziende considera i dispositivi mobili come parte integrante dei processi aziendali. Inoltre, solo il 17% dei dipendenti opta per offrire all’intero staff l’impiego di telefoni aziendali. La percentuale restante consente l’utilizzo di dispositivi personali per lavoro, per un verso o per un altro.

Sebbene i server e le postazioni aziendali, nel complesso, siano protetti adeguatamente, i portatili personali, gli smartphone e i tablet di manager e dipendenti non sempre entrano a far parte delle aree di competenza dei tecnici IT. Al contrario, si dà per scontato che i legittimi proprietari siano responsabili della sicurezza dei dispositivi personali.

Secondo Kaspersky Lab, che propone una riflessione sul tema, tale atteggiamento è ciò che piace di più ai cybercriminali e non si tratta solo di idee campate in aria; gli incidenti che riguardano il furto o l’hackeraggio di dispositivi personali sono all’ordine del giorno. Ecco solo un paio di esempi lampanti.

Furto di dispositivi

A giugno dello scorso anno, Michigan Medicine ha informato l’opinione pubblica di una possibile fuga di dati di circa 870 pazienti, dovuta al furto del portatile personale di un dipendente. I dati custoditi nel portatile servivano per ricerca e, a seconda del progetto, potevano comprendere nomi, date di nascita, sesso, diagnosi a altre informazioni riservate riguardo le cure mediche alle quali erano sottoposti i pazienti.

Hacking domestico

I clienti dell’exchange di criptovalute Bithumb hanno subito gravi conseguenze in seguito a un altro incidente. I cybercriminali sono penetrati nel computer di casa di un dipendente della compagnia e si sono appropriati di informazioni dei wallet di circa 32 mila utenti di questo servizio e, grazie a questi dati, sono riusciti a prelevare centinaia di migliaia di dollari dagli account Bithumb.

Il servizio ha promesso di risarcire le vittime pagando di tasca propria, ma i clienti hanno comunque deciso di passare alle vie legali e denunciare Bithumb per rivelazione di informazioni personali e conseguenti danni economici.

BYOD e politica di sicurezza

Permettere al personale di utilizzare i propri dispositivi non vuol dire aver adottato una corretta politica BYOD. Quando si acconsente all’uso di telefoni e portatili personali per custodire e utilizzare informazioni di lavoro, si accettano anche certi rischi. Per ridurre le probabilità di dover affrontare danni economici e di immagine (o entrambi), Kaspersky Lab consiglia di seguire queste raccomandazioni:

  • Organizzate periodicamente corsi di security awareness sulle minacce informatiche più recenti. Il personale deve capire a quali rischi va incontro quando utilizza dispositivi personali al lavoro o per lavoro
  • Assicuratevi che sui dispositivi che hanno accesso alle reti e ai dati aziendali sia installata una soluzione di sicurezza (l’ideale sarebbe che fosse gestita da un amministratore interno all’azienda). Se ciò non è possibile, consigliate al personale almeno l’installazione di una soluzione di sicurezza a casa. Non consentite l’accesso a risorse aziendali su dispositivi non adeguatamente protetti
  • Assicuratevi che tutti i dati riservati presenti su smartphone, tablet e portatili siano custoditi in formato cifrato. I sistemi operativi dei dispositivi mobili moderni consentono agli utenti di cifrare un intero smartphone o tablet.