Compliance

BYOD, cosa vuol dire e quali linee guida si devono seguire in azienda

I dispositivi mobili in uso ai dipendenti possono essere di due tipologie: di proprietà dell’azienda e assegnati da questa, oppure di proprietà dei dipendenti e utilizzati sia per fini privati che per fini lavorativi, cosiddetti BYOD

Pubblicato il 08 Dic 2020

Federica Domenici

Compliance Consultant e Data Protection Officer

legal design

Il grande ricorso allo smart working, dovuto, tra i vari fattori, all’emergenza Covid-19, unito allo sviluppo della tecnologia che consente di utilizzare molteplici dispositivi per finalità legate all’attività lavorativa, pone in capo ai datori di lavoro grandi dubbi riguardo la possibilità di utilizzo di dispositivi personali da parte dei propri dipendenti. I dispositivi mobili in uso ai dipendenti possono essere di due tipologie: di proprietà dell’azienda e assegnati da questa ai propri dipendenti oppure di proprietà di questi ultimi e utilizzati sia per fini privati che per fini lavorativi, cosiddetti BYOD.

Cosa vuol dire BYOD

Per BYOD (Bring Your Own Device) si intende una politica aziendale che consente ai dipendenti di utilizzare i propri dispositivi personali come telefonino, tablet o pc sul posto di lavoro per avere accesso alle informazioni aziendali.

L’utilizzo delle policy di BYOD è stato approfondito, già nel dicembre 2015, dalle Linee Guida sull’utilizzo dei dispositivi mobili all’interno delle Istituzione dell’Unione Europea, documento che sarà al centro di questo approfondimento.

I dispositivi mobili, in particolare smartphone e tablet, lambiscono in maniera trasversale sia la vita professionale e sia la vita privata dei dipendenti. Oltre alle chiamate vocali e ai messaggi di testo, essi offrono la possibilità di utilizzare i servizi Internet (social network, condivisione di contenuti, ecc.) e dispongono di molti sensori che forniscono una crescente quantità di informazioni.

Nell’elenco dei dispositivi mobili non rientrano unicamente smartphone e tablet ma anche dispositivi di archiviazione portatile, come schede di memoria, chiavette USB, hard disk e cloud. Tutti questi strumenti informatici hanno un grande impatto su diversi aspetti relativi ai dati personali, ovvero, ad esempio, la conservazione, la trasmissione e, soprattutto, la sicurezza.

BYOD e sicurezza

Le Linee Guida, proprio con riguardo alla sicurezza, hanno individuato diverse criticità:

  • gli utenti che utilizzano dispositivi mobili per motivi di lavoro spesso non sono consapevoli che un’azione sul dispositivo mobile può comportare un trattamento di dati personali, soggetto quindi alle condizioni e ai limiti del Regolamento UE 2016/679 (“GDPR”);
  • i dispositivi mobili consentono l’uso di applicazioni che comunicano dati, talvolta, senza che gli utenti o le istituzioni ne siano a conoscenza;
  • nel momento in cui i dipendenti utilizzano i propri dispositivi privati per scopi professionali si presentano ulteriori problemi di protezione dei dati personali, in quanto viene utilizzato lo stesso dispositivo sia per comunicazioni sia personali e sia della società. Le aziende non possono esercitare lo stesso livello di controllo, che applicano sui dispositivi aziendali, sui dispositivi privati.

È importante che il responsabile della protezione dei dati (D.P.O.) sia coinvolto sin dalle prime fasi della pianificazione dell’introduzione dell’uso al fine di dei BYOD per garantire che le misure adottate siano conformi al GDPR.

È altresì, importante effettuare una Valutazione di impatto privacy caso per caso, al fine di valutare la conformità dell’uso di dispositivi mobili per specifiche operazioni di trattamento, tenendo conto da una parte dei rischi per i dati aziendali e dall’altra parte dell’invasività nella sfera privata del dipendente.

BYOD

Misure tecniche di sicurezza

Le Linee Guida e le best practice suggeriscono le misure di sicurezza che aziende sono tenute a predisporre per garantire l’uso sicuro dei dispositivi mobili. Tali misure devono garantire un livello di sicurezza adeguato al rischio calcolato, tenendo sempre conto delle soluzioni tecniche disponibili e dei costi della loro attuazione.

La prima fase di questo processo è, come per tutti trattamenti di dati personali, la valutazione dei rischi, che deve, altresì, comprendere un’attenta analisi dell’uso dei dispositivi mobili. Questa valutazione contribuisce alla determinazione dei principali rischi per la sicurezza, nonché, alla individuazione dei controlli appropriati da attuare al fine di ridurre i rischi a un livello accettabile. Il processo di gestione del rischio deve, chiaramente, includere un riesame periodico della valutazione del rischio, delle misure e dei controlli stabiliti, tenendo conto della velocità con la quale “corre” l’evoluzione tecnologica.

Questo processo di gestione del rischio di informazione deve essere adeguatamente documentato e costituire una vera e propria policy adottata a livello aziendale, approvata anche dal DPO, e resa nota a tutti i dipendenti e collaboratori.

La gestione dei dispositivi mobili (Mobile Device Management o MDM), solitamente, deve avvenire a cura della funzione IT, la quale procede alla configurazione e alla gestione dei dispositivi mobili, al fine di garantirne la sicurezza.

L’utilizzo dei BYOD implica sempre maggiori responsabilità per le aziende, giacché questo tipo di software comporta un trattamento di dati personali piuttosto invasivo (ad es. MDM può, in astratto, consentire che i dispositivi mobili siano monitorati in tempo reale). Il rispetto delle normative in materia di protezione dei dati appare, pertanto, essenziale.

Le Linee Guida indicano, al fine di assicurare la compliance alla normativa e assicurare il rispetto dei principi fondamentali, ai titolari del trattamento le seguenti “features” :

  • Sicurezza:
  • utilizzo di PIN/password per l’accesso al dispositivo mobile e ad applicazioni specifiche;
  • blocco e cancellazione dei dispositivi da remoto (di tutti i dati sul dispositivo o solo di informazioni aziendali);
  • rilevamento di modifiche della configurazione;
  • limitare l’accesso dell’utente e dell’applicazione all’hardware del dispositivo;
  • limitare l’accesso degli utenti e delle applicazioni ai servizi OS nativi;
  • prevedere log e audit delle attività di gestione BYOD;
  • backup e ripristino delle informazioni aziendali nel dispositivo mobile;
  • verifica di conformità prima di accedere alle risorse aziendali;
  • crittografia dei dati sia nel dispositivo che in transito (crittografia delle comunicazioni);
  • distribuzione e gestione dei certificati digitali.
  • Gestione del dispositivo attraverso l’applicazione centralizzata della policy di sicurezza e l’utilizzo di una tipologia di scambio dati che consente l’aggiornamento del software di un dispositivo digitale (tablet, smartphone, etc…) tramite una comunicazione end-to-end e per mezzo di una rete wireless.
  • Gestione delle applicazioni attraverso, ad esempio, le seguenti funzioni:
  • blocco e cancellazione di applicazioni da remoto;
  • whitelist e blacklist delle applicazioni;
  • creazione di applicazioni aziendali;
  • garantire la distribuzione sicura delle applicazioni con controlli adeguati contro le manomissioni;
  • inventario delle applicazioni dei dispositivi (sia istituzionali che personali);
  • sicurezza delle applicazioni.
  • Valutare l’impatto sulla protezione dei dati: nell’ambito di questa valutazione è importante identificare quali dati personali la soluzione MDM raccoglie e per quali finalità, dove e per quanto tempo sono memorizzati, chi ha accesso ai dati e la capacità di gestire il log.
  • Informare gli utenti circa l’utilizzo della soluzione MDM sul loro dispositivo, il tipo di informazioni e dati raccolti nonché lo scopo della raccolta, in quanto la soluzione MDM che l’azienda può mettere in atto, per garantire la sicurezza dei dati personali, può comportare un maggiore monitoraggio dei dipendenti.
  • Limitare l’accesso alla amministrazione della MDM a soggetti autorizzati: progettare, implementare e mantenere un ambiente di sandbox, con la compartimentazione o virtualizzazione per segregare le informazioni private e quelle aziendali. Il sandboxing fornisce un ambiente strettamente controllato in cui vengono eseguite le applicazioni, attraverso un archivio dati criptato sul dispositivo mobile. L’accesso alle informazioni nel compartimento chiuso richiede un’autenticazione che si aggiunge a qualsiasi altro sistema di autenticazione attualmente applicato nel dispositivo mobile.
  • Sviluppare, implementare e testare una soluzione di crittografia che garantisca che i dati personali memorizzati sui dispositivi mobili, almeno nel compartimento aziendale, siano criptati. Sviluppare, implementare e testare una soluzione di backup per garantire la disponibilità delle informazioni memorizzate nel dispositivo mobile.
  • Gli utenti che hanno accesso a informazioni aziendali e dati sensibili possono avere un secondo fattore di autenticazione oltre al PIN/password.
  • Disabilitare le funzionalità non necessarie.
  • Garantire aggiornamenti tempestivi del software del dispositivo mobile e delle applicazioni installate su di esso (sia utilizzando una soluzione MDM o meno).
  • L’accesso alle reti interne aziendali dovrebbe essere concesso solo dopo aver convalidato la connessione di rete da un dispositivo mobile presente in un elenco di dispositivi autorizzati:
  • Utilizzare firewall, applicazioni anti-malware sui dispositivi mobili, nonché bloccare l’accesso alla rete aziendale per i dispositivi privi di tali firewall ed alle applicazioni con configurazioni obsolete. Sia i firewall che gli anti-malware devono essere aggiornati periodicamente (automaticamente o attraverso il MDM).

Misure organizzative

L’introduzione di dispositivi mobili in un’organizzazione richiede l’elaborazione di una politica globale che comprenda processi, piani di formazione, coinvolgimento della alta dirigenza e procedure per affrontare incidenti quali le violazioni dei dati.

Pertanto, le Linee Guida e le best practice, suggeriscono ai titolari del trattamento, l’adozione di misure di sicurezza non solo tecniche ma anche organizzative, tra cui le seguenti sono le più rilevanti:

  • Adozione di policy aziendali

Le aziende dovrebbero adottare procedure documentate per la gestione dell’intero ciclo di vita dei dispositivi mobili; tali procedure devono coprire tutte le fasi del ciclo di vita del dispositivo mobile – dall’acquisto allo smaltimento – tenendo conto di tutte le operazioni che devono essere eseguite sul dispositivo.

Nell’ambito di questa gestione del ciclo di vita, l’azienda deve predisporre e mantenere un inventario dei dispositivi mobili che comprenda per ogni dispositivo almeno:

  • identificazione del dispositivo e, se del caso, identificazione SIM;
  • stato del dispositivo (ad esempio: nuovo, in manutenzione, assegnato, da smaltire…);
  • utente a cui è assegnato il dispositivo, con orario di inizio e fine dell’assegnazione, se del caso (ad es. dispositivi temporanei di pool allocati);
  • proprietà (di proprietà istituzionale /BYOD);
  • stabilire una politica di smaltimento dei dispositivi mobili.

Questa policy dovrebbe definire gli obblighi degli utenti e, inoltre, prevedere l’inventario completo dei dispositivi mobili contrassegnati per lo smaltimento. La scelta dei metodi di smaltimento dovrebbe basarsi sulla valutazione delle vulnerabilità di sicurezza associate a ciascun metodo di smaltimento e prevedere che i dispositivi siano smaltiti in modo da garantire che tutti i dati personali siano cancellati in maniera definitiva.

  • Adottare una policy di sicurezza delle informazioni dei dispositivi mobili, nonché fornire l’informativa privacy.
  • Stabilire processi organizzativi che garantiscano l’applicazione delle politiche dell’organizzazione sui dispositivi e che forniscano agli utenti il supporto per la configurazione dei dispositivi in linea con le policy.
  • Predisporre procedure di sicurezza per rispondere in modo rapido ed efficace a qualsiasi incidente di sicurezza (come la perdita o il furto di un dispositivo mobile). I dipendenti tramite queste policy devono essere informati su come, con quali tempistiche e a quale soggetto interno all’azienda segnalare incidenti di sicurezza, come la perdita o il furto del dispositivo.
Lo Smart Working ai tempi del Covid-19

Lo Smart Working ai tempi del Covid-19

Guarda questo video su YouTube

Video Osservatorio Smart Working – Osservatori Digital innovation del Politecnico di Milano

Conclusioni

Sebbene la velocità con la quale la tecnologia si evolve è di gran lunga superiore a quella con il quale il legislatore e le varie Autorità si esprimono, sicuramente applicando i principi portanti del GDPR e in particolare la privacy by design e privacy by default, i datori di lavoro potranno consentire l’utilizzo dei dispositivi in modo da garantirne la sicurezza dei dati personali contenuti e rispettare la riservatezza dei dipendenti stessi.

Video Corner - Mariano Corso - Smart working

Video Corner - Mariano Corso - Smart working

Guarda questo video su YouTube

Video EconomyUp.it

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

D
Federica Domenici
Compliance Consultant e Data Protection Officer

Articoli correlati

Articolo 1 di 3