BYOD, che sta per “bring your own device” (porta il tuo dispositivo), si riferisce alla politica aziendale per l'IT che determina quando e come dipendenti, appaltatori e altri utenti finali autorizzati possono utilizzare i propri laptop, smartphone e altri dispositivi personali sulla rete aziendale per accedere ai dati aziendali e svolgere le proprie mansioni lavorative.

La politica BYOD si è diffusa con il debutto degli smartphone iOS e Android alla fine degli anni 2000, poiché sempre più lavoratori preferivano questi dispositivi ai telefoni cellulari standard dell'epoca assegnati dall'azienda. L'aumento del lavoro a distanza, degli accordi di lavoro ibrido e l'apertura delle reti aziendali a fornitori e appaltatori hanno accelerato la necessità che la politica BYOD si espandesse oltre gli smartphone. Più di recente, la pandemia di COVID-19, e la conseguente carenza di chip e interruzioni della supply chain hanno costretto molte più organizzazioni ad adottare la politica BYOD, per consentire ai nuovi assunti di lavorare in attesa che venisse loro assegnato un dispositivo dall'azienda.

Tipicamente realizzata dal responsabile dei dispositivi IT (CIO) e da altri responsabili di alto livello delle decisioni sull'IT, la politica BYOD definisce i termini in base ai quali i dispositivi di proprietà dei dipendenti possono essere utilizzati per il lavoro e le politiche di sicurezza che gli utenti finali devono osservare durante l'utilizzo.

Sebbene le specifiche di una politica BYOD varino a seconda degli obiettivi della strategia BYOD di un'organizzazione, la maggior parte delle politiche sui dispositivi definisce qualcosa di molto simile a quanto segue:

Uso accettabile: le politiche BYOD in genere descrivono come e quando i dipendenti possono utilizzare i dispositivi personali per attività legate al lavoro. Ad esempio, le linee guida sull'uso accettabile possono includere informazioni sulla connessione sicura alle risorse aziendali tramite una rete privata virtuale (VPN) e un elenco di app di lavoro approvate.

Le politiche di uso accettabile spesso specificano in che modo i dati aziendali sensibili devono essere gestiti, archiviati e trasmessi utilizzando i dispositivi di proprietà dei dipendenti. Ove applicabile, le politiche BYOD possono includere anche politiche di sicurezza e conservazione dei dati conformi a normative quali l'Health Insurance Portability and Accountability Act (HIPAA), il Sarbanes-Oxley Act e il Regolamento generale sulla protezione dei dati (General Data Protection Regulation, GDPR).

Dispositivi consentiti: Una politica BYOD può definire i tipi di dispositivi personali che i dipendenti possono utilizzare per attività lavoratile e le specifiche di tali dispositivi, come la versione minima del sistema operativo.

Misure di sicurezza: Le politiche BYOD in genere stabiliscono standard di sicurezza per i dispositivi dei dipendenti. Questi possono includere requisiti minimi per le password e politiche di autenticazione a due fattori, protocolli per il backup delle informazioni riservate e procedure da seguire in caso di smarrimento o furto di un dispositivo. Le misure di sicurezza possono anche specificare i software di sicurezza che i dipendenti devono installare sui propri dispositivi, come gli strumenti di gestione dei dispositivi mobili (mobile device management, MDM) o di gestione delle applicazioni mobili (mobile application management, MAM). Queste soluzioni di sicurezza BYOD sono discusse di seguito nel dettaglio.

Privacy e autorizzazioni: Le politiche BYOD in genere definiscono le procedure che il reparto IT metterà in atto per rispettare la privacy dei dipendenti sui loro dispositivi, incluso il modo in cui l'organizzazione manterrà la separazione tra i dati personali dei dipendenti e i dati aziendali. La politica può anche riportate nel dettagli le specifiche autorizzazioni di cui il reparto IT ha bisogno sul dispositivo del dipendente, inclusi alcuni software che potrebbe essere necessario installare e app che potrebbe essere necessario controllare.

Rimborso: Se l'azienda prevede rimborsi per i dipendenti che utilizzano i loro dispositivi personali, ad esempio offrendo uno sussidio per l'acquisto di dispositivi o sovvenzionando piani Internet o dati mobili, la politica BYOD delineerà come viene gestito il rimborso e gli importi che i dipendenti possono ricevere.

Supporto IT: La politica BYOD può specificare la misura in cui il reparto IT di un'azienda sarà o meno disponibile per aiutare i dipendenti a risolvere i problemi sui dispositivi personali guasti o con malfunzionamenti.

Off-boarding: Infine, le politiche BYOD in genere delineano le procedure da seguire se un dipendente lascia l'azienda o annulla la registrazione del proprio dispositivo al programma BYOD. Queste procedure di uscita spesso includono piani per la rimozione dal dispositivo dei dati aziendali sensibili, la revoca dell'accesso del dispositivo alle risorse di rete e la disattivazione dell'account utente o del dispositivo. 

I programmi BYOD sollevano problemi di sicurezza dei dispositivi che i reparti IT spesso non incontrano, o incontrano in misura minore, con i dispositivi forniti dall'azienda. Le vulnerabilità dell'hardware o del sistema nei dispositivi dei dipendenti potrebbero espandere la superficie di attacco dell'azienda, offrendo agli hacker nuovi modi per violare la rete aziendale e accedere ai dati sensibili. I dipendenti potrebbero adottare comportamenti di navigazione, di comunicazione via e-mail o messaggi più rischiosi sui dispositivi personali di quanto farebbero su un dispositivo fornito dall'azienda. Il Malware che infetta il computer di un dipendente a causa dell'uso personale potrebbe facilmente diffondersi nella rete aziendale.

Sui dispositivi forniti dall'azienda, il reparto IT può evitare questi e altri problemi simili monitorando e gestendo direttamente le impostazioni, le configurazioni, il software applicativo e le autorizzazioni dei dispositivi Ma è improbabile che i team di sicurezza IT abbiano lo stesso controllo sui dispositivi personali dei dipendenti e i dipendenti probabilmente non gradirebbero un tale livello di controllo. Nel tempo, le aziende si sono rivolte a una varietà di altre tecnologie per mitigare i rischi per la sicurezza derivanti dall'adozione della politica BYOD.

Desktop virtuali

I desktop virtuali, noti anche come infrastruttura desktop virtuale (virtual desktop infrastructure, VDI) o desktop as a service (DaaS), sono istanze di elaborazione di un desktop con provisioning completo che vengono eseguite su macchine virtuali ospitate su server remoti. I dipendenti accedono a questi desktop e li eseguono essenzialmente in remoto dai propri dispositivi personali, solitamente su una connessione crittografata o VPN.

Con un desktop virtuale tutto accade all'altro capo della connessione: nessuna applicazione viene installata sul dispositivo personale e nessun dato aziendale viene elaborato o archiviato sul dispositivo personale, il che elimina di fatto la maggior parte dei problemi di sicurezza relativi ai dispositivi personali. Ma i desktop virtuali possono essere costosi da implementare e gestire; poiché dipendono da una connessione Internet, non c'è modo per i dipendenti di lavorare offline.

Il software-as-a-service (SaaS) su cloud può fornire un vantaggio in termini di sicurezza simile con meno spese generali di gestione, ma anche un controllo leggermente inferiore sul comportamento dell'utente finale.

Soluzioni per gestione dispositivi

Prima delle politiche BYOD, le organizzazioni gestivano i dispositivi mobili assegnati dall'azienda utilizzando il software di gestione dei dispositivi mobili (MDM). I tool MDM offrono agli amministratori il controllo totale sui dispositivi, possono applicare politiche di accesso e crittografia dei dati, installare app aziendali, eseguire il push degli aggiornamenti delle app, tenere traccia della posizione del dispositivo e bloccare e/o cancellare un dispositivo in caso di smarrimento, furto o altro

La MDM è stata una soluzione di gestione mobile accettabile fino a quando i dipendenti non hanno iniziato a utilizzare i propri smartphone al lavoro e si sono rapidamente irrigiditi rispetto al garantire ai team IT questo livello di controllo sui propri dispositivi, app e dati personali. Da allora, sono emerse nuove soluzioni di gestione dei dispositivi man mano che gli utenti dei dispositivi personali e gli stili di lavoro dei dipendenti sono cambiati:

Gestione delle applicazioni mobili (Mobile application management, MAM): Invece di controllare il dispositivo in se, MAM si concentra sulla gestione delle app, garantendo agli amministratori IT il controllo solo sulle app e sui dati aziendali. MAM spesso raggiunge questo obiettivo attraverso la containerizzazione, la creazione di enclavi sicure per i dati aziendali e le applicazioni sui dispositivi personali. La containerizzazione consente al reparto IT un controllo completo su applicazioni, dati e funzionalità del dispositivo all'interno del contenitore, ma non gli sarà possibile toccare o anche visualizzare i dati personali del dipendente o l'attività del dispositivo al di là del contenitore.

Gestione della mobilità aziendale (Enterprise mobility management, EMM): Con la crescita della adozione di politiche BYOD e la relativa estensione oltre gli smartphone e i tablet, e oltre Blackberry OS e Apple iOS fino ad Android, la MAM ha trovato difficoltà a tenere il passo con tutti i nuovi dispositivi di proprietà dei dipendenti introdotti nelle reti aziendali. Sono quindi rapidamente emersi strumenti EMM per risolvere questo problema. Gli strumenti EMM combinano le funzionalità di MDM, MAM e della gestione di identità e accessi (Identity and Access Management, IAM), fornendo ai reparti IT una vista su un'unica piattaforma e un singolo pannello per tutti i dispositivi mobili personali e di proprietà dell'azienda presenti sulla rete.

UEM (unified endpoint management) L'unico inconveniente della gestione EMM era che non poteva gestire i computer Microsoft Windows, Apple MacOS e Google Chromebook, il che rappresentava un problema poiché la politica BYOD doveva espandersi per includere dipendenti e terze parti che lavoravano in remoto utilizzando i propri PC. È così emersa la piattaforma UEM a colmare questa lacuna, unendo la gestione di dispositivi mobili, laptop e desktop in una singola piattaforma. Con la UEM, i reparti IT possono gestire tool, politiche e flussi di lavoro di sicurezza IT per tutte le tipologie di dispositivi, eseguendo qualsiasi sistema operativo, indipendentemente da dove si connettono.

I vantaggi più citati per l'organizzazione derivanti delle politiche BYOD sono:

• Risparmio sui costi e riduzione del carico amministrativo dell'IT: Il datore di lavoro non è più responsabile dell'acquisto e della fornitura di dispositivi per tutti i dipendenti. Per le aziende in grado di implementare e gestire con successo le politiche BYOD per la maggior parte o per tutti i dipendenti, questi risparmi possono essere considerevoli.
  
  
• Procedure di onboarding più rapide per i nuovi assunti: I dipendenti non devono più attendere che gli venga fornito un dispositivo dall'azienda per iniziare a lavorare. Ciò si è rilevato particolarmente importante durante le recenti carenze di chip e altre interruzioni nella supply chain, che possono impedire a un'azienda di fornire computer ai dipendenti in tempo per iniziare a lavorare.
  
  
• Maggiore soddisfazione e produttività del dipendente: Alcuni dipendenti preferiscono lavorare con i propri dispositivi, che ritengono più familiari o funzionali rispetto alle apparecchiature aziendali.

Questi e altri vantaggi del BYOD possono essere controbilanciati da sfide e compromessi, per dipendenti e datori di lavoro:

• Preoccupazioni legate alla privacy dei dipendenti: I dipendenti potrebbero preoccuparsi della visibilità dei propri dati personali e delle proprie attività e potrebbero non sentirsi a proprio agio nell'essere obbligati dal reparto IT a installare software sui propri dispositivi personali.
  
  
• Pool di candidati limitato, problemi di inclusione: Se la politica BYOD è obbligatoria, le persone che non possono permettersi o non possiedono dispositivi personali adeguati potrebbero non essere considerate. E alcune persone potrebbero preferire non lavorare per un'organizzazione che richiede loro di utilizzare il proprio personal computer, indipendentemente dal fatto che il datore di lavoro li rimborsi o meno.
  
  
• Rischi riservatezza residui: Anche con soluzioni di sicurezza BYOD e gestione dei dispositivi in atto, i dipendenti potrebbero non attenersi sempre, sui loro dispositivi personali, alle best practice di sicurezza informatica, ad esempio una adeguata politica di gestione delle password o della sicurezza dei dispositivi fisici, aprendo la porta a hacker, malware e violazioni dei dati.
  
  
• Questioni di conformità normativa: I datori di lavoro nei settori sanitario, finanziario, pubblico e di altri settori altamente regolamentati potrebbero non essere in grado di implementare politiche BYOD per alcuni o nessun dipendenti, a causa di normative rigorose e sanzioni costose relative alla gestione di informazioni sensibili.