Che cos'è bring your own device (BYOD)?

In genere elaborata dal Chief Information Officer (CIO) e da altri decisori IT di alto livello, la politica BYOD definisce i termini in base ai quali i dispositivi di proprietà dei dipendenti possono essere utilizzati sul lavoro e le politiche di sicurezza che gli utenti finali devono osservare durante l'utilizzo.

Sebbene le specifiche di una policy BYOD varieranno a seconda degli obiettivi della strategia BYOD di un'organizzazione, la maggior parte delle policy relative ai dispositivi definisce alcune variazioni di quanto segue:

Uso accettabile: le politiche BYOD in genere delineano come e quando i dipendenti possono utilizzare i dispositivi personali per attività legate al lavoro. Ad esempio, le linee guida per l'uso accettabile possono includere informazioni sulla connessione sicura alle risorse aziendali tramite una rete privata virtuale (VPN) e un elenco di app di lavoro approvate.

Le politiche di utilizzo accettabile spesso specificano come i dati aziendali sensibili devono essere gestiti, archiviati e trasmessi utilizzando dispositivi di proprietà dei dipendenti. Ove applicabile, le politiche BYOD possono anche includere politiche di conservazione e sicurezza dei dati conformi a normative come l'Health Insurance Portability and Accountability Act (HIPAA), il Sarbanes-Oxley Act e il Regolamento generale sulla protezione dei dati (GDPR).

Dispositivi consentiti: una politica BYOD può delineare i tipi di dispositivi personali che i dipendenti possono utilizzare per scopi lavorativi e le relative specifiche dei dispositivi, come la versione minima del sistema operativo.

Misure di sicurezza: le politiche BYOD in genere stabiliscono standard di sicurezza per i dispositivi dei dipendenti. Questi possono includere requisiti minimi di password e criteri di autenticazione a due fattori, protocolli per il backup delle informazioni sensibili e procedure da seguire in caso di smarrimento o furto di un dispositivo. Le misure di sicurezza possono anche specificare il software di sicurezza che i dipendenti devono installare sui propri dispositivi, come gli strumenti di Mobile Device Management (MDM) o di Mobile Application Management (MAM). Queste soluzioni di sicurezza BYOD sono illustrate in modo più dettagliato di seguito.

Privacy e autorizzazioni: le politiche BYOD in genere delineano le misure che il reparto IT adotterà per rispettare la privacy dei dipendenti sui propri dispositivi, incluso il modo in cui l'organizzazione manterrà la separazione tra i dati personali dei dipendenti e i dati aziendali. La politica può anche specificare le autorizzazioni specifiche di cui il reparto IT ha bisogno sul dispositivo del dipendente, inclusi alcuni software che potrebbe dover installare e le app che potrebbe dover controllare.

Rimborso: se l'azienda rimborsa i dipendenti per l'utilizzo dei loro dispositivi personali, ad esempio offrendo un compenso per l'acquisto di dispositivi o sovvenzionando piani dati Internet o mobili, una politica BYOD illustrerà come viene gestito il rimborso e gli importi che i dipendenti potrebbero ricevere.

Supporto IT: la politica BYOD può specificare in che misura il reparto IT di un'azienda sarà (o non sarà) disponibile per aiutare i dipendenti a risolvere i problemi dei dispositivi personali rotti o non funzionanti correttamente.

Offboarding: infine, le politiche BYOD in genere delineano i passaggi da seguire se un dipendente lascia l'azienda o annulla l'iscrizione del proprio dispositivo al programma BYOD. Queste procedure di uscita spesso includono piani per la rimozione di dati aziendali sensibili dal dispositivo, la revoca dell'accesso del dispositivo alle risorse di rete e la disattivazione dell'account dell'utente o del dispositivo. 

I programmi BYOD sollevano problemi di sicurezza dei dispositivi che i dipartimenti IT non incontrano spesso, o incontrano in misura minore, con i dispositivi forniti dall'azienda. Le vulnerabilità hardware o di sistema nei dispositivi dei dipendenti potrebbero ampliare la superficie di attacco dell'azienda, offrendo cosi agli hacker nuovi modi per violare la rete aziendale e accedere ai dati sensibili. Sui dispositivi personali, i dipendenti potrebbero adottare comportamenti di navigazione, e-mail o messaggistica più rischiosi rispetto a quelli che oserebbero adottare con un dispositivo in dotazione all'azienda. Il malware che infetta il computer di un dipendente per uso personale potrebbe facilmente diffondersi nella rete aziendale.

Con i dispositivi forniti dall'azienda, l'IT può evitare questi e altri problemi simili monitorando e gestendo direttamente le impostazioni, le configurazioni, il software applicativo e le autorizzazioni dei dispositivi. Ma è improbabile che i team di sicurezza IT abbiano lo stesso controllo sui dispositivi personali dei dipendenti, e i dipendenti probabilmente non apprezzerebbero quel livello di controllo. Nel tempo, le aziende si sono rivolte a una varietà di altre tecnologie per mitigare i rischi di sicurezza del BYOD.

Desktop virtuali

I desktop virtuali, noti anche come infrastruttura desktop virtuale (VDI) o desktop as a service (DaaS), sono istanze di elaborazione desktop completamente fornite che vengono eseguite su macchine virtuali ospitate su server remoti. I dipendenti accedono a questi desktop e in pratica li eseguono in remoto dai propri dispositivi personali, in genere tramite una connessione crittografata o VPN.

Con un desktop virtuale, tutto avviene all'altro capo della connessione: non vengono installate applicazioni e non vengono elaborati o memorizzati dati aziendali sul dispositivo personale, il che elimina di fatto la maggior parte dei problemi di sicurezza legati ai dispositivi personali. Tuttavia, i desktop virtuali possono essere costosi da implementare e gestire: poiché dipendono da una connessione Internet, non è possibile per i dipendenti lavorare offline.

Il software-as-a-service (SaaS) basato sul cloud è in grado di fornire un vantaggio analogo per la sicurezza con meno costi di gestione, ma anche un po' meno controllo sul comportamento degli utenti finali.

Soluzioni per la gestione dei dispositivi

Prima del BYOD, le organizzazioni gestivano i dispositivi mobili concessi in dotazione dall'azienda utilizzando un software di gestione dei dispositivi mobili (MDM, mobile device management). Gli strumenti MDM offrono agli amministratori il controllo totale sui dispositivi: possono applicare criteri di accesso e crittografia dei dati, installare app aziendali, inviare aggiornamenti alle app, monitorare la posizione del dispositivo e bloccare o cancellare un dispositivo in caso di smarrimento, furto o compromissione in altro modo.

L'MDM era una soluzione di gestione dei dispositivi mobili accettabile fino a quando i dipendenti non hanno iniziato a utilizzare i propri smartphone al lavoro e si sono subito affrettati a garantire ai team IT questo livello di controllo sui propri dispositivi personali, app e dati. Da allora, sono emerse nuove soluzioni di gestione dei dispositivi man mano che gli utenti di dispositivi personali e gli stili di lavoro dei dipendenti sono cambiati:

Mobile Application Management (MAM): anziché controllare il dispositivo stesso, il MAM si concentra sulla gestione delle app, garantendo agli amministratori IT il controllo solo sulle app e sui dati aziendali. Il MAM spesso raggiunge questo obiettivo attraverso la containerizzazione, ovvero la creazione di enclave sicure per i dati aziendali e le applicazioni sui dispositivi personali. La containerizzazione offre all'IT il controllo completo sulle applicazioni, i dati e le funzionalità dei dispositivi all'interno del container, ma non consente di toccare o vedere i dati personali o l'attività del dispositivo del dipendente al di fuori del container.

Gestione della mobilità aziendale (EMM): man mano che la partecipazione al BYOD cresceva e si estendeva oltre gli smartphone ai tablet e oltre Blackberry OS e Apple iOS fino ad Android, l'MAM faceva fatica a tenere il passo con tutti i nuovi dispositivi di proprietà dei dipendenti introdotti nelle reti aziendali. Ben presto, per risolvere questo problema sono nati strumenti di gestione della mobilità aziendale (EMM). Gli strumenti EMM combinano le funzionalità di MDM, MAM e gestione delle identità e degli accessi (IAM), fornendo ai reparti IT una visione a piattaforma singola di tutti i dispositivi mobili personali e di proprietà dell'azienda attraverso la rete.

Gestione unificata degli endpoint (UEM, Unified Endpoint Management) L'unico svantaggio dell'EMM era che non poteva gestire i computer Microsoft Windows, Apple MacOS e Google Chromebook, il che è un problema poiché il BYOD doveva espandersi per includere dipendenti e terze parti che lavoravano in remoto utilizzando i propri PC. Le piattaforme UEM sono emerse per colmare questa lacuna, riunendo la gestione dei dispositivi mobili, laptop e desktop in un'unica piattaforma. Con UEM, i reparti IT possono gestire strumenti, policy e flussi di lavoro di sicurezza IT per tutti i tipi di dispositivi, eseguendo qualsiasi sistema operativo, indipendentemente da dove si connettono.

I benefici del BYOD per l'organizzazione più frequentemente citati sono:

• Risparmio sui costi e riduzione degli oneri amministrativi IT: il datore di lavoro non è più responsabile dell'acquisto e della fornitura di dispositivi per tutti i dipendenti. Per le aziende in grado di implementare e gestire con successo il BYOD per la maggior parte o per tutti i dipendenti, questi risparmi possono essere considerevoli.
  
  
• Inserimento più rapido dei nuovi assunti: i dipendenti non devono più aspettare che un dispositivo emesso dall'azienda inizi a lavorare su attività legate al lavoro. Ciò è stato particolarmente rilevante durante la recente carenza di chip e altre interruzioni della supply chain, che possono impedire a un'azienda di fornire computer ai dipendenti in tempo per iniziare a lavorare.
  
  
• Maggiore soddisfazione e produttività dei dipendenti: alcuni dipendenti preferiscono lavorare con i propri dispositivi, che trovano più familiari o capaci rispetto alle apparecchiature aziendali.

Questi e altri benefici del BYOD possono essere controbilanciati da sfide e compromessi per i dipendenti e i datori di lavoro:

• Preoccupazioni sulla privacy dei dipendenti: i dipendenti potrebbero preoccuparsi della visibilità dei propri dati personali e delle proprie attività. Potrebbero anche non sentirsi a proprio agio nell'installare il software richiesto dall'IT sui propri dispositivi personali.
  
  
• Pool di candidati limitati, problemi di inclusione: se il BYOD è obbligatorio, le persone che non possono permettersi o non possiedono dispositivi personali adeguati possono essere escluse dalla considerazione. Inoltre, alcune persone potrebbero preferire non lavorare per un'organizzazione che richiede loro di utilizzare il proprio personal computer, indipendentemente dal fatto che il datore di lavoro li rimborsi o meno.
  
  
• Rischi di sicurezza residui: anche con le soluzioni di sicurezza e di gestione dei dispositivi BYOD, i dipendenti potrebbero non aderire sempre alle best practice di cybersecurity, come una buona igiene delle password e la sicurezza fisica dei dispositivi personali, aprendo la porta a hacker, malware e violazioni dei dati.
  
  
• Problemi di conformità normativa: i datori di lavoro dei settori sanitario, finanziario, governativo e di altri settori altamente regolamentati potrebbero non essere in grado di implementare il BYOD per alcuni o per tutti i dipendenti, a causa delle severe normative e delle costose sanzioni che riguardano la gestione di informazioni sensibili.