Azzerando le distanze fisiche e dialogando direttamente con le reti aziendali, i device mobili hanno offerto agli utenti innumerevoli possibilità, complici la loro flessibilità, efficienza ela disponibilità di applicazioni gratuite o accessibili a costi contenuti. L’ampliamento del perimetro aziendale ha accresciuto l’esigenza dei dipendenti di accedere ad informazioni e servizi informativi aziendali in mobilità attraverso dispositivi propri o in dotazione. Esigenza questa riassumibile con l’acronimo BYOD (Bring Your Own Device).
Tuttavia, se da un lato, la mobilità ha reso possibili attività che solo fino a qualche anno faerano consentite solo a computer fissi e telefoni, dall’altro ha rappresentato l’aspetto più critico per la sicurezza, esponendo gli ambienti IT a rischi di attacchi di varia natura. L’aspetto più rischioso legato all’impiego di device quali computer portatili, smartphone e tablet riguarda senza dubbio la possibilità di furti o smarrimenti con il conseguente accesso alle informazioni in essi contenuti.
La mancanza di PIN di accesso sufficientemente complessi, la vulnerabilità dei sistemi operativi e la scarsa adozione di programmi di protezione, quali antivirus e personal firewall, rendono questi strumenti vulnerabili, trasformandoli in perfetti canali di accesso al patrimonio di dati aziendali. Ulteriori notizie poco confortanti giungono inoltre da recenti studi finalizzati a dimostrare come la distinzione tra dispositivi ad uso personale e device aziendali sia sempre più sottile, per non dire inesistente. Sebbene il buon senso suggerisca di mantenere nettamente separati i due ambiti, la realtà rivela come la loro fusione rappresenti uno dei maggiori pericoli per il patrimonio informatico aziendale. L’assenza di un’adeguata policy, oltre alla carenza di informazione e di consapevolezza tra i dipendenti, espone l’azienda a situazioni di forte vulnerabilità in merito alla riservatezza delle informazioni aziendali ed al proprio know-how.
Soluzioni al problema? Dal lato giuridico lo strumento più opportuno sarebbe il Regolamento informatico atto a disciplinare, in modo preciso, i presupposti ed i confini di utilizzo dello strumento. Se da una parte il datore di lavoro non può pretendere di imporre ad un dipendente come gestire uno strumento di natura personale, dall’altra può certamente esigere che, in caso di accesso tramite tale strumento alla posta elettronica, ai dati ed informazioni di natura professionale, siano adottate delle misure congrue a proteggere da perdite o accessi di terzi le medesime. La rinuncia ad imporre l’adozione di misure di protezione è più facile che tragga origine da una “distrazione organizzativa” del datore di lavoro che da una volontà preordinata a limitare l’invasività su uno strumento personale. In sostanza, sono ignorati globalmente i rischi a cui si espongono le aziende stesse pur di avere quella continuità di prestazioni che spesso lega il dipendente all’azienda tramite il device personale.
La soluzione come sempre può essere mediata: focalizzare quali informazioni o dati non dovrebbero mai essere accessibili se non preventivamente protetti può salvare l’azienda da rischi inutili ed incontrollabili; al contrario, mappati i dati, consentire su alcune tipologie l’accesso può accelerare effettivamente l’operatività. Naturalmente si rivela fondamentale passare attraverso una policy di classificazione del modus operandi del dipendente rispetto all’uso del proprio device e adottare soluzioni tecnologiche che filtrino in modo intelligente gli accessi.
