Tra BYOD e privacy la sicurezza mobile impone domande difficili

Mentre i governi di mezzo mondo considerano il contact tracing per il COVID-19 e le sue implicazioni sulla privacy, non è una cattiva idea per le aziende cogliere l'occasione per esaminare più da vicino i loro accordi mobile con i dipendenti.

privacy

Mentre i governi di mezzo mondo considerano il contact tracing per il COVID-19 e le sue implicazioni sulla privacy, non è una cattiva idea per le aziende cogliere l’occasione per esaminare più da vicino i loro accordi mobile con i dipendenti. A tal proposito proprio questa settimana Apple ha lanciato il suo ultimo aggiornamento iOS che include due feature proprio in chiave COVID-19. Secondo Apple iOS 13.5 accelera l’accesso al campo passcode su dispositivi con Face ID quando l’utente indossa una mascherina e introduce l’API Exposure Notification per supportare le app di tracciamento dei contatti COVID-19 delle autorità sanitarie pubbliche.

Oggi l’IT deve affrontare praticamente uno dei due scenari mobili. Il BYOD, dove il dipendente utilizza il proprio dispositivo per svolgere attività aziendali, e gli smartphone di proprietà dell’azienda, che è uno scenario diametralmente opposto, ovvero un telefono di proprietà dell’azienda che il dipendente, anche se gli viene detto di non farlo, utilizzerà anche per questioni personali.

La più grande preoccupazione per entrambe le modalità riguarda la cancellazione remota. Quando si sospetta che un dispositivo sia stato rubato, deve avvenire la cancellazione remota per ridurre la possibilità di furto di dati aziendali o attacchi di qualsiasi tipo. In un tale scenario, quando il dispositivo è di proprietà del dipendente, l’azienda ha il diritto di eseguire la cancellazione remota ed eliminare definitivamente dati personali, immagini, messaggi, video, ecc.?

adv
Cloud Communication Business

Nell’era digitale il centralino va in Cloud

La telefonia di nuova generazione è in software-as-a-service: non richiede di installare centralini hardware, gestisce fisso e mobile, e consente di attivare nuove linee o filiali con un clic, abilitando Smart Working e Unified Communication. SCOPRI DI PIÙ >>

Per i dispositivi aziendali la cancellazione remota sembrerebbe più semplice. Eppure non lo è. Molte aziende incoraggiano i dipendenti a non utilizzare il dispositivo mobile aziendale per scopi diversi dal lavoro, ma poche lo scrivono nero su bianco e sottolineano che potrebbero dover cancellare tutto in caso di un’emergenza di sicurezza.

byod

Tanya Forsheit è un’avvocatessa e presidente del gruppo per la protezione della privacy e dei dati dello studio legale Frankfurt Kurnit Klein & Selz. La Forsheit sostiene che “non è realistico usare un dispositivo aziendale solo per lavoro”, ma anche che le aziende sono titubanti nel dire direttamente ai dipendenti cosa accadrebbe se salvassero le informazioni personali sul telefono: 1) potrebbero essere cancellate e 2) potrebbero essere viste dai colleghi dei dipartimenti IT, Sicurezza, Telecom o altri.

“Molte aziende non vogliono dirlo e non hanno colto l’occasione per aggiornare le loro policy”, ha detto la Forsheit in un’intervista a Computerworld. “Spesso non esiste alcun contratto che dica: se usi un telefono personale, queste sono le regole”. Questo va oltre la cancellazione remota. Che dire ad esempio del whitelisting e blacklisting delle app? Un’azienda può legittimamente fare una tale richiesta su un dispositivo di proprietà del dipendente?

La risposta “Sì, se qualcosa potesse rischiare di accedere ai miei dati aziendali” non è necessariamente valida. È un argomento molto più semplice da gestire per un dispositivo di proprietà dell’azienda, ma cosa può fare un’azienda quando i dipendenti scaricano app rischiose su un dispositivo aziendale? Non fare nulla? Portare via loro lo smartphone? Terminare il loro rapporto di lavoro?

La Forsheit sostiene che le partizioni spesso non sono la risposta: “Le partizioni funzionano in qualche modo, non completamente, e questo è spesso a causa di un errore umano”. Ma la risposta non è nemmeno quella di azioni punitive. Se la vostra azienda licenzia qualcuno perché ha scaricato un’app non autorizzata, ciò porterà a una rivolta interna? E se non scegliete una “punizione”, perché qualcuno dovrebbe attenersi alle vostre regole? Come avrete capito, non ci sono risposte facili da dare, ma dovete pensare a ciò che volete che siano le vostre regole e le vostre azioni di controllo. E dovete farlo ora, prima che accada un incidente.