BYOD: un approccio alla sicurezza più intelligente che mai

Stuart Constable

25/07/2019

L’approccio BYOD (Bring Your Own Device) sta diventando rapidamente la norma, anche in ambienti fortemente regolamentati. Grazie alla flessibilità e alla produttività che è in grado di garantire, insieme all’esperienza lavorativa offerta ai dipendenti, è oggi un imperativo aziendale. In un’era in cui la mobilità aziendale è essenziale per acquisire un vantaggio competitivo, vanno considerate anche le implicazioni per la sicurezza e il cambiamento culturale richiesto per rendere la mobilità primaria.

Gli esseri umani sono furbi. Più regole vengono loro imposte, più sono le scappatoie che troveranno.

L’ascesa della strategia BYOD (Bring Your Own Device) ne è un classico esempio. Infatti, come rispondono le aziende a questa trasformazione tecnologica generata dai dipendenti? Offrendo formazione per una più efficace gestione delle persone.

L’approccio BYOD implica la classica scelta tra due rischi. È più rischioso un ambiente in cui le persone lavorano con i propri dispositivi personali o uno in cui la mobilità limitata si ripercuote sul business?

La mobilità sembra essere il fattore più importante, principalmente perché i vantaggi per le aziende in termini di produttività e superiorità competitiva sono oggi pienamente dimostrati. Allo stesso tempo, le tecnologie di sicurezza sono ampiamente riuscite a tenere il passo con la necessità di estendere i criteri agli endpoint più remoti e mobili, riducendo il rischio per la sicurezza.

Ma gli esseri umani restano sempre molto furbi. Come per tutte le soluzioni di sicurezza, il vero rischio proviene dalle persone, non dai dispositivi. Sono le persone a causare le violazioni, non i telefoni o i notebook.

Ecco perché la cultura aziendale è importante quanto la distribuzione delle soluzioni di sicurezza per impedire e prevenire l’impatto degli attacchi informatici. Puoi imporre misure di sicurezza sui dispositivi, ma la negligenza è uno stato mentale.

Kai Roer, cofondatore e CEO della società di ricerca CLTRe, definisce la cultura della sicurezza come “la percezione e le convinzioni dei dipendenti verso i protocolli e i problemi di sicurezza”. La cultura, tuttavia, deve andare ben oltre la questione della sicurezza fino a comprendere nuove attitudini verso l’azienda e l’ambiente di lavoro in generale. Perché mai un dipendente dovrebbe preoccuparsi di proteggere un’azienda che non sia riuscita a conquistarsi la sua fiducia?

Offrendo ai dipendenti più controllo sulla propria vita lavorativa, l’approccio BYOD aiuta a costruire questa fiducia. Le persone potranno allora scegliere attivamente i dispositivi da usare e se avranno la possibilità di lavorare con dispositivi e app che amano, saranno ancora più produttive. Saranno inoltre più propense a verificare la sicurezza del dispositivo e ad apprezzare il proprio ambiente di lavoro in generale.

Tuttavia, la natura umana non cambia. Ecco perché le nuove strategie verso le tecnologie di sicurezza devono tenere conto di una più ampia gamma di fattori.

Ad esempio, l’approccio di Lenovo alla sicurezza dei dispositivi va oltre l’assemblaggio finale di componenti hardware, per comprendere ogni fase della supply chain. Il commercio illecito delle parti dei computer fa sì che i dispositivi possano avere al proprio interno componenti non proprietari, ciascuno dei quali può costituire una porta di servizio per gli hacker. Proteggendo la supply chain dall’inizio alla fine, escludiamo le possibili violazioni dal processo di produzione.

Questo non riduce il rischio posto dai dispositivi personali, ma dimostra come gli approcci alla sicurezza necessitino di una più ampia comprensione del panorama delle minacce.

Un modo in cui le aziende affrontano la minaccia che accompagna l’approccio BYOD consiste nell’adottare criteri COPE per i dispositivi mobili: Corporately Owned, Personally Enabled (di proprietà dell’azienda, abilitati per l’uso personale). Ai dipendenti viene offerta una scelta di dispositivi in cui sono integrati servizi aziendali containerizzati, in modo che l’uso personale non ponga rischi per l’azienda. Il modello COPE implica un certo grado di fiducia reciproca tra il datore di lavoro e il dipendente, che contribuisce a un’esperienza più soddisfacente per il secondo, con meno rischi rispetto all’approccio BYOD.

Con l’approccio BYOD, la soluzione di gestione dei dispositivi mobili richiede un certo livello di sofisticazione, perché comporta un’intrusione diretta nel mondo personale dell’utente. Di nuovo, si rende necessaria una separazione tra l’ambiente aziendale e quello personale, per rassicurare gli utenti che i propri dati personali non andranno perduti se il datore di lavoro subisce una violazione e per permettere alle aziende di applicare misure di sicurezza pienamente conformi a ogni dispositivo connesso.

Tutti questi fattori umani di fiducia e fedeltà possono essere integrati in una policy di sicurezza concreta, in modo che la sicurezza produca realmente un’esperienza migliore anziché ostacolare la produttività. Questo è l’approccio alla base della soluzione ThinkShield di Lenovo, che prende in considerazione ogni fase del ciclo di vita del dispositivo, dallo sviluppo alla supply chain, fino alla vita lavorativa del dispositivo e a uno smaltimento sicuro.

Questa filosofia è alla base della progettazione e produzione dei notebook ThinkBook di ultima generazione, dotati di chip di crittografia dTPM (discrete Trusted Platform Module) dedicato, cover fisica per la webcam e lettore di impronte digitali integrato nel pulsante di accensione.

L’eterno conflitto tra criminali informatici e team IT aziendali aumenta ad ogni innovazione, e nuovi sviluppi come l’IoT e l’intelligenza artificiale creano altri campi di battaglia. Ma con policy di sicurezza avanzate e basate sulle persone per gestire il conflitto tra cuore e mente all’interno dell’azienda, avrai a disposizione l’infrastruttura di difesa più solida possibile contro ogni attacco.

 

 

L’ufficio del 2020

Cosa devono sapere le organizzazioni del 21° secolo