Che cos'è bring your own device (BYOD)?

Il concetto BYOD è emerso con il debutto degli smartphone iOS e Android alla fine degli anni 2000, poiché sempre più lavoratori preferivano questi dispositivi rispetto ai telefoni cellulari forniti dall'azienda. L'aumento degli accordi di lavoro a distanza e ibridi, insieme alla crescente integrazione delle reti aziendali con fornitori e appaltatori, hanno accelerato la necessità di estendere le policy BYOD oltre gli smartphone.

Più recentemente, la pandemia di COVID-19, insieme alla carenza di chip e alle interruzioni della catena di supply chain, ha costretto molte organizzazioni ad adottare le politiche BYOD. Questo approccio ha permesso ai nuovi assunti di continuare a lavorare in attesa di un dispositivo rilasciato dall'azienda.

In genere elaborata dal Chief Information Officer (CIO) e da altri decisori IT di alto livello, la politica BYOD definisce i termini in base ai quali i dispositivi di proprietà dei dipendenti possono essere utilizzati sul lavoro. Stabilisce inoltre le politiche di sicurezza che gli utenti finali devono osservare durante l'utilizzo.

Sebbene le specifiche di una policy BYOD possano variare a seconda degli obiettivi della strategia BYOD di un'organizzazione, la maggior parte delle policy sui dispositivi definisce alcune variazioni di questi elementi:

Uso accettabile: le policy BYOD in genere delineano come e quando i dipendenti possono utilizzare i dispositivi personali per attività legate al lavoro. Ad esempio, le linee guida per l'uso accettabile possono includere informazioni sulla connessione sicura alle risorse aziendali tramite una rete privata virtuale (VPN) e un elenco di app di lavoro approvate.

Le policy di utilizzo accettabile spesso specificano come i dati aziendali sensibili devono essere gestiti, archiviati e trasmessi utilizzando dispositivi di proprietà dei dipendenti. Ove applicabile, le policy BYOD possono anche includere policy sulla conservazione e sicurezza dei dati, conformi a normative come l'Health Insurance Portability and Accountability Act (HIPAA), il Sarbanes-OxleyAct e il Regolamento generale sulla protezione dei dati (GDPR).

Dispositivi consentiti: una policy BYOD può delineare i tipi di dispositivi personali che i dipendenti possono utilizzare per scopi lavorativi e le relative specifiche dei dispositivi, come la versione minima del sistema operativo.

Misure di sicurezza: le politiche BYOD in genere stabiliscono standard di sicurezza per i dispositivi dei dipendenti. Queste misure possono includere requisiti minimi di password e criteri di autenticazione a due fattori, protocolli per il backup delle informazioni sensibili e procedure da seguire in caso di smarrimento o furto di un dispositivo. Le misure di sicurezza possono anche specificare il software di sicurezza che i dipendenti devono installare sui propri dispositivi, come gli strumenti di gestione dei dispositivi mobili (MDM) o di gestione delle applicazioni mobili (MAM). Queste soluzioni di sicurezza BYOD sono illustrate in modo più dettagliato di seguito.

Privacy e autorizzazioni: le policy BYOD in genere delineano le misure che il reparto IT adotterà per rispettare la privacy dei dipendenti sui propri dispositivi, incluso il modo in cui l'organizzazione manterrà la separazione tra i dati personali dei dipendenti e i dati aziendali. La policy può anche specificare le autorizzazioni specifiche di cui il reparto IT necessita sul dispositivo del dipendente, inclusi alcuni software che potrebbe dovere installare e le app che potrebbe dover controllare.

Rimborso: se l'azienda rimborsa i dipendenti per l'utilizzo dei loro dispositivi personali, ad esempio offrendo una somma per l'acquisto di dispositivi o sovvenzionando piani dati internet o mobile, una policy BYOD delinea come viene gestito il rimborso. Specifica inoltre gli importi che i dipendenti possono ricevere.

Supporto IT: la policy BYOD può specificare in che misura il reparto IT di un'azienda sarà (o non sarà) disponibile per aiutare i dipendenti a risolvere i problemi dei dispositivi personali guasti o non funzionanti correttamente.

Offboarding: infine, le politiche BYOD in genere delineano i passaggi da seguire se un dipendente lascia l'azienda o annulla l'iscrizione del proprio dispositivo al programma BYOD. Queste procedure di uscita spesso includono piani per la rimozione di dati aziendali sensibili dal dispositivo, la revoca dell'accesso del dispositivo alle risorse di rete e la disattivazione dell'account dell'utente o del dispositivo.

I programmi BYOD sollevano problemi di sicurezza dei dispositivi che i dipartimenti IT non incontrano spesso, o incontrano in misura minore, con i dispositivi forniti dall'azienda. Le vulnerabilità hardware o di sistema nei dispositivi dei dipendenti potrebbero ampliare la superficie di attacco dell'azienda, offrendo cosi agli hacker nuovi modi per violare la rete aziendale e accedere ai dati sensibili. Sui dispositivi personali, i dipendenti potrebbero adottare comportamenti di navigazione, e-mail o messaggistica più rischiosi rispetto a quelli che oserebbero adottare con un dispositivo aziendale. Il malware che infetta il computer di un dipendente a causa dell'uso personale potrebbe facilmente diffondersi nella rete aziendale.

Con i dispositivi forniti dall'azienda, l'IT può evitare questi e altri problemi simili monitorando e gestendo direttamente le impostazioni, le configurazioni, il software applicativo e le autorizzazioni dei dispositivi. Ma è improbabile che i team di sicurezza IT abbiano lo stesso controllo sui dispositivi personali dei dipendenti, e i dipendenti probabilmente non apprezzerebbero quel livello di controllo. Nel tempo, le aziende si sono rivolte a una varietà di altre tecnologie per mitigare i rischi di sicurezza del BYOD.

I desktop virtuali, noti anche come infrastruttura desktop virtuale (VDI) o desktop as a service (DaaS), sono istanze di elaborazione desktop completamente fornite che vengono eseguite su macchine virtuali ospitate su server remoti. I dipendenti accedono a questi desktop e in pratica li eseguono in remoto dai propri dispositivi personali, in genere tramite una connessione crittografata o VPN.

Con un desktop virtuale, tutto avviene all'altro capo della connessione: non vengono installate applicazioni e non vengono elaborati o memorizzati dati aziendali sul dispositivo personale, il che elimina di fatto la maggior parte dei problemi di sicurezza legati ai dispositivi personali. I desktop virtuali possono essere tuttavia costosi da implementare e gestire perché si basano sulla connessione Internet e non c'è modo per i dipendenti di lavorare offline.

Il software-as-a-service (SaaS) basato sul cloud è in grado di fornire un vantaggio analogo per la sicurezza con meno costi di gestione, ma anche un po' meno controllo sul comportamento degli utenti finali.

Prima del BYOD, le organizzazioni gestivano i dispositivi mobili concessi in dotazione dall'azienda utilizzando un software di mobile device management (MDM). Gli strumenti MDM offrono agli amministratori il controllo totale sui dispositivi: possono applicare criteri di accesso e crittografia dei dati, installare app aziendali, inviare aggiornamenti alle app, monitorare la posizione del dispositivo e bloccare o cancellare un dispositivo in caso di smarrimento, furto o altro tipo di compromissione.

L'MDM era una soluzione di gestione dei dispositivi mobili accettabile fino a quando i dipendenti non hanno iniziato a utilizzare i propri smartphone al lavoro e si sono subito affrettati a garantire ai team IT questo livello di controllo sui propri dispositivi personali, app e dati. Da allora, sono emerse nuove soluzioni di gestione dei dispositivi man mano che gli utenti di dispositivi personali e gli stili di lavoro dei dipendenti sono cambiati:

Gestione delle applicazioni mobili (MAM): anziché controllare il dispositivo stesso, la MAM si concentra sulla gestione delle app, garantendo agli amministratori IT il controllo solo sulle app e sui dati aziendali. La MAM spesso raggiunge questo obiettivo attraverso la containerizzazione, ovvero la creazione di enclave sicure per i dati aziendali e le applicazioni sui dispositivi personali. La containerizzazione offre all'IT il controllo completo sulle applicazioni, i dati e le funzionalità dei dispositivi all'interno del container, ma non consente di toccare o vedere i dati personali o l'attività del dispositivo del dipendente al di fuori del container.

Gestione della mobilità aziendale (EMM): via via che la partecipazione al BYOD cresceva e si estendeva dagli smartphone ai tablet (e oltre Blackberry OS e Apple iOS fino ad Android), le soluzioni MAM faticavano a tenere il passo con tutti i nuovi dispositivi di proprietà dei dipendenti introdotti nelle reti aziendali. Ben presto, per risolvere questo problema sono nati gli strumenti di gestione della mobilità aziendale (EMM). Gli strumenti EMM combinano le funzionalità di MDM, MAM e gestione delle identità e degli accessi (IAM), fornendo ai reparti IT una visione a piattaforma singola di tutti i dispositivi mobili personali e di proprietà dell'azienda presenti sulla rete.

Unified endpoint management (UEM): L'unico svantaggio dell'EMM era che non poteva gestire i computer Microsoft Windows, Apple MacOS e Google Chromebook, il che rappresentava un problema, poiché il BYOD doveva espandersi per includere dipendenti e terze parti che lavoravano da remoto utilizzando i propri PC. Le piattaforme UEM sono emerse per colmare questa lacuna, riunendo la gestione di dispositivi mobili, laptop e desktop in un'unica piattaforma. Con l'UEM, i reparti IT possono gestire strumenti, policy e workflow di sicurezza IT per tutti i tipi di dispositivi, eseguendo qualsiasi sistema operativo, indipendentemente da dove si connettono.

I benefici del BYOD per l'organizzazione più frequentemente citati sono:

• Risparmio sui costi e riduzione degli oneri amministrativi IT: il datore di lavoro non è più responsabile dell'acquisto e della fornitura di dispositivi per tutti i dipendenti. Per le aziende in grado di implementare e gestire con successo il BYOD per la maggior parte o per tutti i dipendenti, questi risparmi possono essere considerevoli.
  
  
• Onboarding più rapido dei nuovi assunti: i dipendenti non devono più aspettare un dispositivo fornito dall'azienda per svolgere attività lavorative. Ciò è stato particolarmente rilevante durante la recente carenza di chip e altre interruzioni della supply chain, che possono impedire a un'azienda di fornire puntualmente computer ai dipendenti affinché possano iniziare a lavorare.
  
  
• Maggiore soddisfazione e produttività dei dipendenti: alcuni dipendenti preferiscono lavorare con i propri dispositivi, che trovano più familiari o capaci rispetto alle apparecchiature aziendali.

Questi e altri benefici del BYOD possono essere controbilanciati da sfide e compromessi per i dipendenti e i datori di lavoro:

• Timori per la privacy dei dipendenti: i dipendenti potrebbero preoccuparsi della visibilità dei propri dati personali e delle proprie attività. Potrebbero anche non sentirsi a proprio agio nell'installare il software richiesto dall'IT sui propri dispositivi personali.
  
  
• Pool di candidati limitati, problemi di inclusione: se il BYOD è obbligatorio, le persone che non possono permettersi o non possiedono dispositivi personali adeguati potrebbero non essere prese in considerazione. Alcune persone potrebbero anche preferire non lavorare per un'organizzazione che richiede loro di utilizzare il computer personale, indipendentemente dal fatto che il datore di lavoro li rimborsi o meno.
  
  
• Rischi di sicurezza residui: anche con le soluzioni di sicurezza e di gestione dei dispositivi BYOD, i dipendenti potrebbero non aderire sempre alle best practice di cybersecurity, come una buona igiene delle password e la sicurezza fisica dei dispositivi personali, aprendo la porta a hacker, malware e violazioni dei dati.
  
  
• Problemi di conformità normativa: i datori di lavoro dei settori sanitario, finanziario, governativo e di altri settori altamente regolamentati potrebbero non essere in grado di implementare il BYOD per alcuni o per tutti i dipendenti, a causa delle severe normative e delle costose sanzioni che riguardano la gestione di informazioni sensibili.