Anche e soprattutto quando ci si affida al BYOD (Bring Your Own Device), ovvero la pratica per cui gi dipendenti possono utilizzare i propri dispositivi personali per scopi lavorativi, la sicurezza dei dati informatici passa attraverso la scelta di strumenti adeguati, una ben programmata politica di misure controlli, e comportamenti consapevoli.
Serve dunque pensare a un device management che possa supportare l’operatività aziendale in sicurezza, offrendo nel contempo un employee experience di valore e consolidando un digital workspace efficace.
7 regole per la sicurezza dei dati informatici
Vediamo dunque quali sono i punti da attenzionare per garantire un’effettiva sicurezza dei dati informatici all’interno di una strategia BYOD.
1. Tenere traccia dei dispositivi utilizzati e degli utenti
In un variegato ecosistema di dispositivi mobili, o
gni
device va
registrato e
monitorato lungo il suo ciclo di vita
, determinando
in modo chiaro
gli usi cui è destinato
e
stabilendo eventuali
restrizioni. Deve tenersi traccia, ovviamente, degli
utenti
affidatari
, della data di inizio del regime e quella di dismissione. Ciò consentirà di ricostruire la storia del dispositivo e assegnare le relative responsabilità.
2. Personalizzare il dispositivo
Personalizzare le impostazioni di un
device
prima del suo uso è essenziale per avere una maggiore sicurezza dei dati informatici. Settando
correttamente
il dispositivo
a seconda delle esigenze dell’end user
, si ha la possibilità di
limitare sia i rischi sia gli utilizzi non consentiti
.
Buona
practice
è
inoltre
creare un ambiente virtuale separato
da quello personale,
destinato esclusivamente all’attività lavorativa
;
prevedere
sistem
i
di autenticazione e di autorizzazione
,
e
una manutenzione e un supporto tecnico che garantiscano software sempre aggiornati
.
3. Una chiara politica sugli utilizzi concessi
P
redeterminare a quali utilizzi può
(e deve)
essere destinato il dispositivo
è fondamentale per
mitigare i rischi e informare correttamente l’utente finale
, cioè il
lavoratore.
È importante che questi criteri
siano frutto di una scelta
coerente con gli obiettivi aziendali
e b
en preponderata in relazione ai
possibili impatti
di eventuali violazioni
.
Per quest’ultimo aspetto
è
decisivo
sensibilizzare i collaboratori
e dare
chiare linee guida
su comportamenti da seguire.
4. Investire nella formazione e nella consapevolezza dei collaboratori
Quella della
formazione
è una
regola generale per ogni aspetto della sicurezza dell’informazione
, ma
diventa ancor più centrale all’interno di un approccio
BYOD
secondo cui l’uso dei dispositivi è sia personale
che lavorativo.
L’utilizzo di un dispositivo in mobilità richiede
comportanti consapevoli
divers
i
in relazione agli ambienti in cui vengono utilizzati al fine di
ridurre i rischi di furt
o
,
smarriment
o
o di
eyesdropping
.
5. Blocco da remoto e memorie criptate
Se il dispositivo fisico
viene smarito o rubato, vi dev’essere la possibilità di poterlo
bloccare e mettere in atto una pulizia selettiva da remoto
, in modo da tutelare la sicurezza dei dati
informatici impedendo accessi non autorizzati
. Il dispositivo,
in
ogni caso, deve prevedere
memorie efficacemente criptate
in modo da salvaguardare anche file temporanei e tracce di attività.
6. Regole particolari per gli accessi alla rete
Un rischio molto grave è che il dispositivo
,
passato in mani
non autorizzate
,
venga utilizzato
per accedere alla più ampia rete aziendale
:
i dispositivi salvano le chiavi di accesso alla rete, che li riconosce come affidabili. È importante quindi impostare
un
meccanismo di autenticazione e autorizzazione della rete
in modo che
riconosca elementi
identificativi di un probabile
accesso insolito
(come la connessione da un punto d’accesso inusuale) e
blocchi il dispositivo
fintanto che non venga fornito un ulteriore elemento di identificazione (un codice di sblocco, un token, un controllo biometrico ecc.)
.
7. Attenzione alla Privacy degli impiegati
La
protezione dei dati sensibili
, fa sì che il dispositivo non dovrebbe essere in grado
di consentire un controllo da remoto sulle attività degli impiegati. Quando ciò non è
possibile
, deve essere comunque svolto
entro i limiti e con le forme imposte dalla normativa sulla Privacy e d
a
llo Statuto dei lavoratori
.