Bring your own device (BYOD) o bring your own technology (BYOT), bring your own phone (BYOP), e bring your own PC (BYOPC)[1], in italiano: porta il tuo dispositivo, porta la tua tecnologia, porta il tuo telefono e porta il tuo pc – sono espressioni usate per riferirsi alle politiche aziendali che permettono di portare i propri dispositivi personali nel posto di lavoro, e usarli per lavorare con accesso ai dati aziendali. In tempi di pandemia invece di “portare” in ufficio un proprio dispositivo i lavoratori hanno spesso dovuto utilizzare i propri dispositivi personali per lavorare. Mettendo a rischio le proprie informazioni e quelle dell’azienda in alcuni casi.
Quali sono i risvolti positivi e negativi di questa prassi di utilizzare i propri dispositivi da casa? E soprattutto come mitigare i rischi legati all’utilizzo dei dispositivi personali dei lavoratori?
Vantaggi e svantaggi del BYOD
Sappiamo che per la sicurezza delle informazioni (aziendali e dei lavoratori) solitamente si preferisce destinare il dispositivo aziendale (pc, tablet, telefono, etc.) ad un solo uso vietando l’utilizzo c.d. promiscuo (ossia per scopi privati e di lavoro insieme). Ma come fare quando il dispositivo non è aziendale?
Il BYOD viene di fatto realizzato attraverso la c.d. containerizzazione, vale a dire la creazione di due distinti ambienti sul dispositivo del lavoratore, che permetta un “accesso diversificato” a dati aziendali rispetto a quello dei dati personali (chiamate, SMS, localizzazione GPS, etc.). In due diversi desktop/utenti/ambienti accessibili da medesimo pc.
In questo modo i dati sono rigorosamente separati.
Vantaggi
I vantaggi per l’azienda e per i lavoratori:
- Riduzione dei costi per l’acquisto e manutenzione[2] dei dispositivi e delle applicazioni per il datore di lavoro: non è più necessario l’acquisto di uno o più dispositivi per ogni dipendente dal momento che ognuno utilizza quello che già possiede.
- Anche per i dipendenti non mancano i vantaggi: possono scegliere di utilizzare il dispositivo con cui si sentono più a loro agio e che conoscono già. (Basti pensare a un lavoratore che possiede esclusivamente dispositivi Apple o Microsoft). Il lavoro sui propri strumenti IT, di conseguenza, agevola l’approccio del dipendente al lavoro provocando meno stress e portando un aumento della sua produttività. Un altro vantaggio per il dipendente è l’utilizzo di un solo strumento invece che uno per il lavoro e uno per la vita privata.
Vantaggi per l’ambiente
La c.d. Green Informatics (informatica “verde”) o Green Computing sono accezioni comuni in ambiente ICT e descrivono l’utilizzo di tecnologie di informazione e comunicazione nell’interesse dell’ambiente naturale e delle risorse naturali promuovendo sostenibilità e sviluppo sostenibile. Green Computing è l’utilizzo di computer e delle loro risorse in maniera ambientalmente responsabile ed ecologica. Utilizzando una politica BYOD, le istituzioni possono supportare un’educazione ecologica nei modi seguenti:
- Riduzione nel numero totale di dispositivi che vengono utilizzati: quasi tutti dispongono di un laptop oggigiorno. Anziché utilizzare due dispositivi, se ne utilizzerebbe uno solo, portando a un sostanzioso risparmio energetico.
- Riduzione nell’utilizzo di carta e stampanti: il materiale ed altri dati che devono essere condivisi sono salvati in un server centralizzato o sul cloud. Gli utenti possono accedere a questi dati direttamente attraverso i propri dispositivi. In questo caso non è perciò richiesto procurare copie stampate del materiale. Questo semplifica inoltre la condivisione dell’informazione.
- Limitazione del numero di dispositivi dismessi: se i dispositivi non sono di proprietà personale, vengono utilizzati con meno cura. Questo è il motivo principale per cui i computer aziendali richiedono manutenzione regolare e devono essere rimpiazzati frequentemente. Dismettere questi dispositivi è un grosso problema per l’ambiente poiché risulta complicato il loro smaltimento.
Svantaggi del BYOD
Anche se la possibilità di consentire al personale di lavorare in qualsiasi momento da qualsiasi luogo e su qualsiasi dispositivo offre vantaggi reali, porta anche rischi significativi.
È fondamentale per le aziende mettere in atto misure di sicurezza per proteggere dati, servizi e informazioni sensibili che possono essere messe in pericolo anche dall’utilizzo di software e applicazioni che il lavoratore stabilisca autonomamente di utilizzare per lavoro. Ad esempio, nel mese di maggio del 2012, IBM ha proibito ai suoi 400mila dipendenti l’uso di due diffusissime applicazioni di consumo, per via dei rischi che avrebbero rappresentato per la sicurezza dei dati.[3]
È necessario dunque pensare ad ogni aspetto ed effetto della promiscuità fra privato e lavoro e implementare policy di sicurezza pensati per i dispositivi BYOD per poter proteggere la proprietà intellettuale e i dati personali (dei clienti e utenti anche lavoratori) nell’eventualità di furto, accesso non autorizzato o smarrimento di un dispositivo e dei dati in esso contenuti.
Sono infatti innumerevoli i casi in cui gli utenti perdono o divulgano dati aziendali involontariamente. Per citarne solo alcuni degli innumerevoli:
- L’utilizzo dello smartphone personale per accedere alla rete aziendale porta con sé il rischio che in caso di furto o perdita del dispositivo (non adeguatamente protetto) chiunque ne fosse in possesso potrebbe leggere e utilizzare i dati presenti sul dispositivo.
- Analogamente l’assenza di una efficace policy di cancellazione dati potrebbe dar luogo in caso di vendita o sostituzione del dispositivo privato ad un accesso da parte dell’acquirente o nuovo utilizzatore a tutte le informazioni aziendali non preventivamente rimosse.
- Lo stesso in caso di licenziamento o dimissioni o altro motivo di cessazione del rapporto di lavoro che prestasse la propria attività in regime di BYOD: l’assenza di una policy di gestione delle informazioni (restituzione dati, pulizia disc, etc.) lascia a disposizione o accessibili informazioni aziendali riservate.
- La promiscuità dell’utilizzo del dispositivo personale ha anche altri fattori di rischio che derivano dalla familiarità e confidenza con il dispositivo da parte del lavoratore ma anche di tutte le persone con cui passa il suo tempo a casa (coniuge, figli, conviventi, etc) che potrebbero utilizzare il dispositivo anche loro per altri scopi. Consideriamo il caso in cui un dispositivo sia dato in uso a bambini che possono involontariamente rendano pubbliche delle informazioni riservate via e-mail o attraverso altri mezzi come Dropbox; o che siano vittime di virus informatici.
Gli adempimenti per il datore di lavoro
Una buona policy di sicurezza vuole che dispositivi informatici in regime di BYOD siano ad esempio protetti da password personali dell’utente, cifratura di tutti i dati, che nulla sia salvato in locale se non temporaneamente, che vi siano policy di gestione dei dati e delle informazioni personali.
Fra gli adempimenti più importanti per il datore di lavoro:
- la compliance privacy (che comprende un piano di protezione dei dati durante l’utilizzo – che vale per tutte le informazioni aziendali, non solo quelle personali – unitamente ai piani di gestione delle violazioni in caso di furto, perdita, distruzione o accesso illegale ai dati);
- gli adempimenti (almeno in Italia) della normativa giuslavoristica sui controlli a distanza (art. 4 L.300/70), infatti eventuali software di monitoraggio delle attività dei lavoratoti sul dispositivo devono essere previamente indicati e specificatamente autorizzato con apposita procedura.
Appare evidente che il lavoro di compliance privacy permette di ottimizzare e proteggere anche tutte le altre categorie di informazioni aziendali che debbono restare riservate e aumenta la competitività sul mercato per le aziende che offrano servizi aventi a oggetto o che comportino un trattamento di dati[4] (sempre più diffuse).
Per quanto riguarda l’abbattimento dei rischi tecnici solitamente è consigliabile:
- implementare procedure di impostazione password/passcode sicuri su tutti i dispositivi e procedure per la verifica e corretta gestione della protezione antivirus e prevenzione della perdita dei dati (DLP).
- adottare la cifratura completa di disco, supporti rimovibili e cloud storage del lavoratore
- gestire i dispositivi mobili con Mobile device management, MDM, per eliminare i dati di natura personale (c.d. sensibile) in caso di furto o smarrimento di un dispositivo.
- È consigliabile indurre gli utenti a considerare i livelli di sicurezza aggiuntivi tramite formazione e messa a disposizione di istruzioni periodiche.
- Se i dipendenti possono accedere alle applicazioni tramite la rete interna, è necessario che tale opzione sia disponibile anche quando lavorano in remoto, mediante VPN o software e-mail.
- Potenziamento della sicurezza per il cloud storage.
- Policy per la formattazione dei dispositivi disattivati e per la revoca dei diritti di accesso di un dispositivo quando il rapporto con l’utente finale passa da dipendente a ospite o altra ipotesi simile. (Revoca dei diritti di accesso di un dispositivo quando un dipendente viene licenziato).
Le policy suddette vanno formalizzate sempre, ma specialmente quando si tratta di BYOD.
È opportuno condurre poi una Valutazione d’Impatto Privacy ex art 35 GDPR al fine di verificare anche la normativa giuslavoristica (altro punto necessario lato lavoratori e controlli a distanza anche al fine di permettere al datore di lavoro di esercitare correttamente il proprio potere disciplinare), i diritti dei lavoratori e i fattori di rischio dei loro dati e degli interessati dell’azienda. Il tutto con l’ausilio del DPO o del consulente privacy prescelto.
Note
- WYOD – wear your own device (in italiano, indossa il tuo dispositivo): si riferisce alla pratica di utilizzare nei contesti lavorativi i dispositivi indossabili (wearable, in inglese) personali, come per esempio smartwatch e smartglass. Secondo un’indagine di Gartner (dicembre 2014), entro il 2017 il 30% dei dispositivi indossabili sarà discreto e completamente “invisibile” agli occhi. ↑
- Considerando che le persone generalmente trattano meglio gli oggetti di loro proprietà piuttosto che quelli pubblici o forniti da altri, diminuiscono anche gli eventuali costi di riparazione ↑
- https://www.sophos.com/it-it/medialibrary/gated%20assets/white%20papers/sophosBYODrisksrewardswpna.pdf. L’azienda ha vietato l’utilizzo del servizio di cloud storage Dropbox e di Siri: l'”assistente personale” per iPhone di Apple. Siri risponde alle richieste vocali e invia query ai server di Apple, dove vengono decifrate e trasformate in testo. Siri è anche in grado di creare messaggi SMS ed e-mail da comandi a voce, ma alcuni di questi messaggi a fumetto possono contenere informazioni sensibili e di proprietà. ↑
- La sempre più diffusa attenzione alla propria privacy rende l’attenzione del cliente più elevata e le aziende possono guadagnare in credibilità attraverso policy di elevata protezione delle informazioni dei loro utenti. ↑