I dipendenti scelgono l’utilizzo di piattaforme e device preferiti per lavorare, l’azienda rinuncia ad imporre i propri e ci guadagna una maggior produttività, quando poi non decide – solo fino a un certo punto in modo lecito – di far usare al lavoratore i suoi device, risparmiando quindi anche sui costi dell’hardware. E’ il Byod (Bring Your Own Device); in un certo senso in tempi di crisi rappresenta anche una nuova forma di sfruttamento dei lavoratori che ci mettono del loro per poter lavorare più comodamente. Di fronte a un immediato risparmio di costi (non solo hardware ma anche amministrativi per la gestione di utenze e altro), non abbiamo dubbi che i possibili rischi pesino sul piatto della bilancia molto molto meno, se non altro nella testa di chi tira una riga sui conti a fine mese. Cambia il discorso solo in ambito enterprise. In questo caso è inevitabile che resti l’esigenza di implementare policy, ma una volta intrapresa la strada del Byod, è facilissimo anche perdere i riferimenti base della sicurezza.

Secondo Fortinet tre sono i possibili scenari strategici e le vie di azione:

• E’ comunque necessario implementare policy mobile.

Devono essere volte a determinare quali sono le applicazioni necessarie, quelle consentite e quelle da evitare, a che tipologia di dipendenti è consentito questo utilizzo  e le regole di accesso alla rete base.

• Bisogna dotarsi di un software di gestione remota.

E’ la roccaforte cui ricorrere in caso di qualsiasi tipo di violazione di dati o smarrimento del dispositivo. Si resetta tutto e l’oggetto perde valore in relazione al business, allo stesso tempo si possono centralizzare gli aggiornamenti e la distribuzione di patch per le applicazioni critiche, i backup sono regolarizzati.

• Si può procedere con una scelta mista

Se i dipendenti desiderano adottare il proprio dispositivo personale per lavorare, ma preferiscono non installare componenti aggiuntivi, si possono adottare device con doppia partizione logica, una controllata interamente dal dipartimento IT e l’altra personale.

Comune ai diversi approcci è un dato certo: la sicurezza si gestisce a livello di rete e non di endpoint. Quindi con un pieno controllo delle applicazioni, dei flussi di dati in entrata e in uscita, e purtroppo, anche con l’analisi del comportamento dell’utente finale.

Siamo solo agli inizi della valutazione di quanto questo approccio possa impattare (e forse anche violare) sulle leggi della privacy e sullo statuto dei lavoratori. Perché in pratica l’azienda può voler imporre il controllo di un apparato (sia con l’installazione delle applicazioni, sia via rete e con la possibilità di controllo del comportamento), lasciando però all’utente i costi del device e gli oneri del pagamento delle connessioni, per generare fatturato aziendale. Nel panorama italiano, frastagliato e con la maggior parte delle aziende di piccole e medie dimensioni in crisi, sembra che prevalga semplicemente la regola del risparmio che in pratica vuol dire: ‘speriamo non accada nulla, e intanto confidiamo nel buon senso delle persone’.

I contenuti di Techweekeurope.it sono disponibili su Google Currents: iscriviti adesso!