BYOD: la mobility come nuovo paradigma aziendale

23.08.2016

Bring Your Own Device: che cos'è

BYOD (bring your own device) è un termine che descrive la crescente tendenza verso dispositivi di proprietà dei dipendenti all'interno delle aziende. Gli smartphone sono l'esempio più comune ma i dipendenti portano con loro anche i propri tablet, computer portatili e unità USB sul posto di lavoro.

I dispositivi BYOD fanno parte del più ampio trend di consumerizzazione IT e dell’internet delle cose (IoT), in cui software e hardware di tipo consumer vengono portati in azienda. BYOT (bring your own Technology) si riferisce all'uso di dispositivi e applicazioni consumer sul posto di lavoro. Variazioni più specifiche sul termine includono le proprie applicazioni (BYOA) e il proprio PC (BYOPC).

 

Scenario del BYOD: quali minacce

I prodotti di largo consumo collegati alla rete sono già stimabili in miliardi, e gli analisti prevedono che arriveremo a 6,4 miliardi in tutto il mondo già quest'anno. C'è un sacco di potenziale in termini di business in questa espansione, ma c'è anche un grande svantaggio: Il numero di possibili vulnerabilità è in crescita esponenziale. L'Internet delle cose rende praticamente ogni aspetto della gestione delle informazioni più complicato: ci sono più dispositivi e più rischi. "Si aprono ora nuove strade", ha detto Allan Haughton, Senior Manager, Accenture Digital Mobility - "l’IoT estende il modello di sicurezza in molti modi nuovi e spesso inaspettati. E’ un modello tentacolare".  Haughton ha fatto riferimento al telecomando del televisore per semplificare la portata della nuova minaccia. I nuovi telecomandi si attivano attraverso la voce e hanno i microfoni costantemente collegati alla rete. Sono convenienti? Sì. Sicuri? Forse no. “Le nuove opportunità offerte da queste tecnologie sono davvero cool, ma possono essere utilizzate impropriamente e questo è uno dei grandi problemi che stiamo osservando", ha detto Haughton.

Come anticipato nel post dedicato ai nuovi scenari sulla cyber security, uno studio FireEye afferma che il 17% delle aziende interessate da attacchi informatici ha scoperto che le minacce possono provenire dall’interno. Infatti, quasi il 40% delle imprese prese in esame non ha ancora adottato strumenti idonei a monitorare i dispositivi BYOD sulle reti aziendali. Gli inconvenienti dovuti ai dispositivi BYOD sono raddoppiati dal 6% rilevato nel 2014 al 13% del 2015. Stando poi ad una ricerca effettuata su 800 utenti LinkedIn, il 39% dei dipendenti potrebbe aver scaricato malware attraverso questi dispositivi.

 

BYOD_malware

 

I dirigenti aziendali non dovrebbero sottovalutare le sfide relative alla sicurezza dell’IoT. Secondo i dati diffusi da Gartner, nel mese di novembre ci saranno 6,4 miliardi di oggetti collegati, con 5,5 milioni di nuovi prodotti che si connetteranno tutti i giorni. Entro il 2020, il numero di oggetti connessi dovrebbe passare a 20,8 miliardi. Gli analisti prevedono che i costi del crimine informatico aumenteranno drammaticamente di pari passo col numero di dispositivi collegati. Secondo il rapporto di Juniper Research del Maggio 2015  "Il futuro del cybercrime e sicurezza”, il costo delle violazioni raggiungerà 2.100.000.000.000 di dollari a livello globale entro il 2019. Questo è quattro volte il costo stimato delle violazioni nel 2015. La maggior parte delle violazioni in futuro verrà dalle infrastrutture IT esistenti, ma l'internet degli oggetti rappresenterà comunque una porzione significativa delle perdite.

I cybercriminali possono accedere non solo ai nostri dati, come i numeri di carta di credito, ma potrebbero anche sabotare infrastrutture critiche, quali i sistemi di controllo del traffico, la rete elettrica o interi impianti produttivi. Le attuali misure di sicurezza non saranno sufficienti per fermarli, ha dichiarato Steve Wilson, vice presidente e principale analista di Constellation Research. "Lo stato dell'arte nella sicurezza delle informazioni è francamente non all'altezza del compito di salvaguardare l'Internet delle cose" ha detto in una intervista. "Il livello di affidabilità e resilienza necessarie per gestire l’IoT è di gran lunga superiore a quello che siamo abituati in informatica oggi". I manager IT di tutto il mondo stanno lavorando in questa direzione, dicono gli analisti; lo sviluppo di strategie e best practice per rispondere alle vulnerabilità di sicurezza create dall'evoluzione degli oggetti è ormai una priorità.

In qualche caso le aziende sanzionano i dipendenti che si avvalgono di BYOD e rafforzano questa posizione fornendo loro dispositivi aziendali. In altri casi, i dispositivi di proprietà dei dipendenti sono parte del sistema parallelo conosciuto come “shadow IT”: hardware o software all'interno di un'azienda che non sono supportati dal dipartimento IT centrale dell'organizzazione. Che hardware e software di proprietà dei dipendenti siano ammessi o meno all’interno delle imprese, essi pongono comunque in essere rischi per la sicurezza dell'organizzazione quando si collegano alla rete o effettuano l'accesso ai dati aziendali. Per ridurre al minimo questi rischi molte aziende stanno quindi implementando policies specifiche. 

 

Cosa fare per gestire in sicurezza una soluzione BYOD

Diverse strategie di sicurezza sono in gioco, in particolare per quanto riguarda i diritti di accesso e l’analisi comportamentale. Le organizzazioni possono utilizzare i Big Data per imparare, identificare e quindi rispondere a un comportamento insolito che potrebbe indicare una potenziale violazione, ha detto Robert Stroud, Presidente di ISACA e principal analyst di Forrester Research: "La tecnologia non sta solo creando il problema, ma sta anche aiutando a mitigarlo”.

I vendor, inoltre, stanno fornendo ulteriori misure di sicurezza che sono fondamentali nell'ecosistema IoT. I fornitori di cloud offrono la crittografia, altri propongono piattaforme di autenticazione. Ci sono anche proposte per la creazione di standard di protocolli di comunicazione che consentano non solo l'interoperabilità e più resilienza, ma anche lo sviluppo di una maggiore sicurezza dell’IoT.

Christian Renaud, direttore di ricerca per 451 Research, ha dichiarato che i modelli di collaborazione antiquati rimangono critici. CIO, CISO e altri dirigenti, in particolare quelli in ambito operativo, devono costruire un clima di comprensione e fiducia in modo che le organizzazioni, come una squadra, siano in grado di identificare potenziali minacce, valutare i rischi che comportano per i processi e mettere a punto e distribuire strategie e tecnologie per mitigare i questi rischi. Questo significa che la competenza relativa alla sicurezza IoT deve andare oltre il CIO o l'ufficio del CISO.

"E' un problema organizzativo molto prima che di natura tecnica", ha detto Renaud. Nonostante i rischi, gli analisti sono ottimisti e ritengono che le imprese siano capaci di fare business nell’ambito dell'Internet delle cose. Essi si sono affrettati a riconoscere, però, che nessuno dei due ambiti sarà immune da possibili senza battute d'arresto.

 

Windows 10 e Enterprise Mobility Suite

"Ci saranno early adopter che diranno: Che diavolo…Facciamolo! Saranno loro le persone che scopriranno dove sono le mine e ci permetteranno di fare il grande salto", ha detto Renaud. Questo salto però è reso più facile da alcune tecnologie già a disposizione delle aziende. Il riferimento è a Windows 10 che, insieme a Enterprise Mobility Suite (EMS), consente una gestione organica delle applicazioni per consentire agli utenti di migliorare la propria produttività e accedere ai dati aziendali in mobilità. Questo sistema offre un ambiente sicuro agli utenti che attraverso i loro device e le loro app possono beneficiare della mobilità propria di un approccio "Bring Your Own Device". Il sistema consente di gestire le autenticazioni, identificare tempestivamente le minacce persistenti avanzate (APT), proteggere gli accessi e di modulare i livelli di protezione per dispositivi mobili di ogni genere (iOS, Android o Windows mobile). Inoltre, permette di proteggere i dati contenuti nei file aziendali mantenendo il controllo su di essi, mediante l’utilizzo della crittografia, di procedure di autenticazione e criteri di autorizzazione su più dispositivi, come telefoni, tablet e PC.

I BYOD hanno gettato il guanto, ora tocca alle imprese raccogliere la sfida e dotarsi di tutti gli strumenti necessari per rimanere al passo col cambiamento e con l’innovazione.