Alcuni clienti hanno una reazione di sorpresa quando chiedo loro in che modo proteggono i device mobili aziendali e dei dipendenti (smartphone e tablet) contro possibili perdite e/o violazioni di dati.
Se, da un lato, è raro trovare un imprenditore che non abbia pensato a proteggere gli strumenti ICT presenti in azienda, dall’altro lato, non è inconsueto constatare una certa noncuranza per quanto riguarda l’adozione di adeguate misure di sicurezza, tecniche ed organizzative, sui device mobili.
Ciò accade, soprattutto, quando i lavoratori utilizzano device mobili di loro proprietà, vi installano le applicazioni che preferiscono e si interfacciano con le rete aziendale tramite questi dispostivi: questa tendenza – denominata Byod (Bring your own device) – è in atto da diversi anni ed è sempre più difficile vietarla, imponendo una suddivisione tra strumenti personali e professionali.
Poiché non è ipotizzabile, soprattutto nelle realtà meno strutturate, evitare la diffusione, più o meno autorizzata, del fenomeno del Byod, le aziende devono trovare il modo di proteggere i propri dati anche senza possedere e controllare direttamente smartphone e tablet utilizzati dai lavoratori per accedervi.
Vediamo quali sono alcune possibili strade per farlo.
1. Controllare il flusso di dati e, comunque, imporre l’adozione di un adeguato software antivirus
Laddove sia possibile (per capacità dei sistemi, dimensione dell’impresa, budget, etc.), è opportuno puntare su tecnologie capaci di controllare il flusso dei dati in ogni “tratta” e, cioè, tra un device mobile e l’altro e tra questi e le risorse aziendali di back end o il mondo esterno.
In questo modo, analogamente a quanto avviene per la rete aziendale “classica”, l’azienda potrà accorgersi di eventuali flussi anomali di traffico sui device (per intensità, modalità, tempo di utilizzo, etc.) e prendere, di conseguenza, le opportune contromisure in modo tempestivo.
In ogni caso, soprattutto nelle situazione di Byod e in realtà meno strutturate, il Titolare del trattamento deve perlomeno pretendere (ed assicurarsi) che ogni device sia dotato, come misura minima di sicurezza, di un software antivirus di qualità (in commercio ve ne sono moltissimi) che permetta, tra le altre cose:
- la rilevazione di app con problemi per la privacy;
- la localizzazione da remoto dello smartphone o del tablet in caso di smarrimento o furto;
- il blocco del device e, se occorre, anche la cancellazione dei dati tramite un reset da remoto.
2. Implementare le funzionalità di base
Le aziende che pensano di integrare o hanno già adottato tecnologie di sicurezza mobile, si limitano, per lo più, a funzionalità di base legate al controllo degli accessi e alla mitigazione dei danni che possono potenzialmente derivare dalla perdita dei device.
E’ , invece, consigliabile valutare l’adozione di misure di sicurezza più incisive, quali, ad esempio, i sistemi per la crittografia del dispositivo (per sapere come fare sui dispositivi Android, potete cliccare qui; per i sistemi IOS potete cliccare qui) o i sistemi per il filtraggio delle URL.
La crittografia, in particolare, può aiutare a prevenire il furto dei dati ed è molto efficace se accompagnata da periodici backup.
3. Autenticazione biometrica
L’autenticazione biometrica, già usata di default sui device più recenti ed evoluti, può essere considerata – pur adottando le opportune cautele per la tutela dei dati personali sensibili dei lavoratori che vengono registrati – una misura efficace per proteggere i device mobili.
Se non si può far ricorso all’autenticazione biometrica, è, comunque, indispensabile che l’accesso ai device sia sempre protetto, almeno, da una password alfanumerica, escludendo, di preferenza, l’utilizzo di sequenze da tracciare con il dito: queste ultime, infatti, risultano meno affidabili, dato che lasciano tracce sullo schermo che potrebbero rivelare quale sia il segno di sblocco.
4. Monitorare e autorizzare le app installate
Siamo tutti consapevoli del proliferare di applicazioni di ogni sorta e tipo, utili per le più svariate esigenze.
Occorre, però, che i lavoratori siano consapevoli dei rischi per la tutela dei dati personali connessi a certe tipologie di app e, quindi, è necessario che siano adeguatamente informati dal Titolare del trattamento in ordine al fatto che:
- non possono scaricare qualunque tipo di app, bensì solo quelle preselezionate dai responsabili IT;
- devono tenere conto di fattori quali l’interoperabilità con l’ambiente IT aziendale, la sicurezza, le performance e l’affidabilità della specifica app e dello store da cui proviene;
- devono prestare particolare attenzione alle autorizzazioni che vengono richieste per il funzionamento dell’app, rifiutando l’accesso a funzionalità estranee o non pertinenti con la finalità dell’app stessa.
5. Limitare le connessioni wi-fi, NFC e Bluetooth al minimo indispensabile
Gli attuali smartphone, di norma, si connettono automaticamente ad Internet ricercando continuamente reti wireless attive: questa funzione potrebbe, tuttavia, rivelare molte informazioni, per esempio, sull’identità dell’utente e sulla sua posizione.
Inoltre, la connessione automatica a punti di accesso non protetti potrebbe consentire l’accesso allo smartphone ed alle attività online da parte di cyber criminali : molti hotspot wi-fi pubblici, come quelli che si trovano in luoghi di ristoro, aeroporti e hotel, non cifrano le informazioni che inviamo su Internet e non sono sicuri.
Per ridurre al minimo i rischi, è opportuno adottare delle best practice, quali:
- non permettere allo smartphone di connettersi automaticamente alle reti wireless ma utilizzare la funzione di attivazione/disattivazione manuale del wi-fi,
- utilizzare la funzione wi-fi solo in determinati luoghi che sappiamo essere sicuri (ad esempio a casa) oppure sfruttando le funzioni di apposite app di monitoraggio delle reti wi-fi;
- se si ha davvero la necessità di collegarsi ad un hotspot pubblico, bisogna, comunque, evitare di visitare siti non protetti da una connessione sicura (quelli, cioè, privi del protocollo HTTPS) e di effettuare operazioni bancarie o altre attività ad alto rischio.
Anche la tecnologia Bluetooth e NFC (Near Field Communication) – pur risultando utile in molti casi per la connettività perché consente di utilizzare accessori come auricolari e tastiere wireless o di effettuare pagamenti contactless – può essere sfruttata per accessi illeciti al dispositivo.
In ogni caso, è assolutamente da sconsigliare la pratica di associare il proprio smartphone ad altri dispositivi e, comunque, non deve mai essere accettata una richiesta da dispositivi sconosciuti.
E’ bene, quindi, che il Titolare del trattamento informi adeguatamente i lavoratori dei rischi connessi a queste tipologie di connessione, raccomandi loro di tenerle spente e di attivarle solo quando serve e, quando possibile, mettere il dispositivo in modalità “non rilevabile”.
Anche nell’utilizzo dei device mobili deve essere tenuta in considerazione la regola secondo cui la prima difesa degli strumenti ICT aziendali è la formazione del personale (vedi il mio articolo “come prevenire un data breach”).
Sarà, inoltre, molto utile inserire anche le regole di corretto utilizzo dei device mobili nella policy aziendale, dandone il massimo risalto e diffusione all’interno dell’organizzazione aziendale e monitorandone l’effettivo rispetto, così da poter adeguatamente assolvere anche l’onere di dimostrazione, imposto dal GDPR ai Titolari del trattamento, dell’adozione di tutte le misure di sicurezza adeguate e della loro verifica nel tempo.