È giusto che aziende e organizzazioni valutino la possibilità di far utilizzare pc e dispositivi mobili personali dei dipendenti per le attività lavorative. Ma il datore di lavoro deve ponderare bene la scelta, porsi in modo corretto alcune domande per orientarsi, sostenendo la decisione con opportune azioni.
I rischi dei dispositivi connessi in rete
Come ormai tutti sappiamo, i malware possono penetrare all’interno di una organizzazione dalla rete internet, iniettati inizialmente sul dispositivo ad uso del dipendente, generalmente a valle di un attacco di phishing, per poi propagarsi ulteriormente su altri dispositivi o sistemi aziendali.
Considerato che il primo step dell’attacco avviene quindi sul, o tramite, il dispositivo utilizzato, di conseguenza quest’ultimo deve essere sempre adeguatamente protetto quando viene utilizzato per navigare siti Web, leggere la posta, accedere a dispositivi remoti o esterni e quindi, più in generale, quando si relazione con la rete Internet e intranet.
In una organizzazione evoluta e/o comunque adeguatamente attrezzata, le barriere difensive di sicurezza sono multiple e complementari tra loro, poiché la sicurezza IT non di un’azienda non può basarsi unicamente sulla robustezza del dispositivo in dotazione all’utente finale. Pur rimanendo fondamentale che tale dispositivo sia sempre costantemente aggiornato e munito di un sistema antimalware evoluto e aggiornato, ciò non è sufficiente a proteggerci completamente dalle minacce informatiche ed è necessario accompagnare la protezione del dispositivo ad una serie di contromisure perimetrali sulla rete, sui sistemi di back end, sui sistemi applicativi e sulla gestione dell’identità dell’utente, ecc.
Tali misure devono essere sia di tipo preventivo (ad esempio le patch di sicurezza), sia di tipo “curativo” (ad esempio un sistema per il backup), in modo da mitigare i rischi e gestire gli impatti di un attacco.
Un utente domestico che dovesse fidarsi unicamente della sicurezza del proprio dispositivo avrebbe come unica barriera quella rappresentata dalle contromisure della propria postazione di lavoro e per questo motivo esporrebbe la propria organizzazione a consistenti minacce informatiche.
Differenza dei rischi tra un dispositivo privato e uno gestito
Gli attacchi informatici evoluti potrebbero penetrare quindi anche in una rete aziendale adeguatamente protetta sfruttando una situazione di debolezza, anche temporanea, del dispositivo utente.
Una volta dentro, minacce come i malware, sarebbero poi in grado di raggiungere altre infrastrutture interne, fino a compromettere la disponibilità di dati e servizi. Tra le minacce i ransomware rappresentano l’esempio più significativo e che colpisce il maggior numero di aziende stando ai dati di settore.
Questo sottolinea la netta differenza di rischi che c’è tra chi opera in internet come utente, ad esempio per accedere a propri dati e proprie pratiche, e chi accede al sistema informativo della propria organizzazione con privilegi di autorizzato al trattamento di dati che riguardano altri interessati e coinvolgono l’accesso a intere banche dati.
Metaforicamente, è un po’ la differenza che c’è tra gestire il proprio portafogli contenente propri soldi e documenti o un furgone portavalori. Ma non sempre l’organizzazione o il dipendente ne sono consapevoli.
Differenze nei rischi tra un dispositivo Android e un dispositivo Microsoft
Deve essere inoltre considerato che c’è una differenza significativa nell’esposizione ai pericoli dei vari sistemi operativi. Semplificando, tutti possono esporre vulnerabilità ma è evidente che i dispositivi desktop e laptop più diffusi e utilizzati, come quelli Microsoft, sono evidentemente più esposti. I processi, i protocolli e i privilegi degli account usati rendono questi sistemi maggiormente esposti ai rischi di sicurezza rispetto ad esempio ad un dispositivo Android, nativamente pensato per risultare chiuso e sandboxizzato. Seppur sempre esposti a potenziali vulnerabilità, questi ultimi risentono meno dei rischi derivanti dall’alternanza tra la rete domestica (o privata 4g) e quella aziendale.
Le domande più frequenti sul BYOD e BYOPC
Nell’ambito delle domande che una organizzazione si pone nell’affrontare questa tematica, alcune di queste sono piuttosto naturali:
È lecito utilizzarlo?
Questo lo stabilisce chiaramente il datore di lavoro in base ad una dettagliata analisi dei rischi rigorosamente commisurata alla criticità dei dati gestiti. Nella PA le misure minime AgID datate 2017 e basate sui controlli degli standard SANS e NIST, prevedono che tutti i dispositivi che accedono alla rete siano adeguati e censiti. Un dispositivo privato quindi dovrebbe essere autorizzato, noto, e verificato al momento dell’accesso e questa una best practice da tenere in conto anche per tutte le altre industry.
Il datore di lavoro può pretenderlo?
Certamente no, a meno che non sia previsto uno SRA, (nel gergo delle multinazionali americane Subsidy, Reimbursement, or Allowance), ovvero un accordo aziendale per il rimborso del sussidio o indennità, e che lascia libero l’utente nella scelta del dispositivo. Tale situazione, in aggiunta, deve essere accompagnata da dettagliate istruzioni che l’utente deve essere responsabilizzato a garantire e rispettare.
Il datore di lavoro può permetterlo?
Certamente sì, a certe condizioni e usando controlli adeguati proprio per prevenire i rischi di sicurezza connessi ai dispositivi utilizzati per accedere alle porte informatiche dell’organizzazione.
Un datore di lavoro può esporre un proprio servizio interno su internet rendendolo raggiungibile da qualunque dispositivo connesso ad internet?
Si, certamente può farlo, ma il GDPR impone particolare attenzione quando tramite i servizi si effettuano trattamenti di dati personali su larga scala o si trattano dati personali particolari. Un conto è rendere un servizio raggiungibile da quasi 8 miliardi di persone, un altro esporlo in una intranet limitata a poche migliaia di persone. Nel primo caso la sicurezza da garantire deve essere pressoché totale, mentre nel secondo qualche imperfezione del servizio può essere considerata mitigabile con sistemi perimetrali e fisici adeguatamente robusti o comunque, in generale, con altre contromisure di sicurezza.
Un datore di lavoro può virtualizzare il dispositivo spostandone su un server le elaborazioni cliente (ad esempio impiegando le VDI) in modo da ridurre i rischi connessi al dispositivo?
Si, questa è una possibilità molto interessante, spostando sposta direttamente su un server che il datore di lavoro gestisce e governa anche dal punto di vista della sicurezza le funzionalità elaborative del dispositivo finale. All’utente/dipendente rimane solo il compito di raggiungere una risorsa web e quindi, estremizzando, gli sarebbe sufficiente una connessione ad internet, un video, una tastiera e un mouse, mentre tutto il resto si sposterebbe sul server, sicurezza compresa.
Tuttavia, qualche rischio connesso al dispositivo in realtà andrebbe comunque considerato. Una delle minacce è infatti rappresentata dai keylogger, ovvero particolari malware in grado rubare identità e privilegi intercettando le combinazioni dei tasti della tastiera usati per accedere.
Per questo, in questi casi, non si può prescindere dall’ usare sistemi di autenticazione forte a 2 fattori e non si può fare a meno di implementare controlli e blocchi di sicurezza durante lo spostamento dei dati tra il server e il dispositivo privato.
Ci sono aspetti connessi alla privacy nel premettere l’uso di un dispositivo privato?
Decisamente sì. Dovendo implementare controlli sul dispositivo privato è necessaria una valutazione d’impatto, da sottoporre a parere del DPO ed è obbligatorio rendere un’informativa chiara e trasparente agli utenti/dipendenti su finalità e modalità di trattamento dei dati raccolti nell’ambito dei controlli di sicurezza.
Deve anche essere stabilito e reso noto qual è il confine tra l’uso privato e l’uso aziendale del dispositivo, quali limitazioni verrebbero apportate al dispositivo personale e altre modifiche o altri elementi importanti da conoscere nel momento in cui un certo dispositivo personale entra nel perimetro di utilizzo aziendale.
Conclusioni
Il BYOD e in generale tutti gli aspetti legati all’utilizzo di dispositivi mobili hanno assunto particolare rilevanza durante la pandemia, con la necessaria esplosione e accelerazione sul tema dello smart working. Ci si è trovati davanti alle situazioni più disparate, dove chi disponeva di postazioni agili si è trovato avvantaggiato, mentre in altri casi si è fatto anche ricorso all’utilizzo del BYOD abbinato alla semplice VPN con user/password per l’accesso ai servizi determinando situazioni ad alto rischio cyber security.
Inoltre, non tutti sanno che esistono strumenti client proxy che, una volta installati sui dispositivi gestiti e colloquiando con il proxy centrale dell’infrastruttura permettono all’utente/dipendente di accedere alla rete aziendale come con una vpn ma senza i rischi di sicurezza correlati.
La realtà è che ancora adesso le organizzazioni stanno in una fase di transizione e generalmente siamo e saremo ancora per un po’ sempre a lavori in corso.
