BYOD: usa il tuo dispositivo in azienda con le linee guida per la privacy

Sono sempre più diffuse le politiche aziendali che permettono ai dipendenti di portare i propri dispositivi personali nel posto di lavoro (byod) e usarli per lavorare e accedere alle informazioni aziendali e alle loro applicazioni.

Bring your own device (BYOD), o bring your own technology (BYOT), tradotto letteralmente significa “porta il tuo dispositivo” (o porta la tua tecnologia) ed è un’espressione riferita alle policy aziendali che permettono ai lavoratori di portare i propri dispositivi personali nel posto di lavoro ed utilizzarli come strumenti aziendali.

Si tratta chiaramente di un’ipotesi diversa dall’uso dei dispositivi mobili aziendali assegnati al dipendente, che costituiscono strumenti aziendali nel senso proprio del termine e sono di proprietà del datore. Nel caso del BYOD i devices sono infatti di proprietà dei lavoratori e quindi vengono normalmente utilizzati a fini privati, ma l’azienda consente di usarli anche a fini lavorativi. I dispositivi personali che possono essere interessati da un uso lavorativo sono tutti i devices quali lo smartphone, il tablet, il notebook, ma anche le schede di memoria, le chiavette USB, i cloud, ecc.

L’ampio ricorso allo smart working ha certamente incrementato i casi di ricorso a policy BYOD da parte delle aziende. Si tratta, del resto, di una pratica ammessa e anche per certi versi conveniente.

Occorre tuttavia che la policy aziendale sia conforme alle Linee Guida del Garante Europeo della protezione dei dati (EDPS) in materia di dati personali e sull’utilizzo di dispositivi mobili per motivi di lavoro. In assenza di una specifica normativa nazionale, infatti, è importante che sia comunque assicurato il rispetto di tutte le disposizioni in materia di sicurezza nonché di quelle sulla privacy. Sotto quest’ultimo aspetto, in particolare, non si deve perdere di vista la circostanza che i dispositivi in commento nascono per un uso personale e non lavorativo. Questo significa che i dati gestiti dai dispositivi sono normalmente anche quelli della vita privata dei dipendenti.

BYOD policy: le misure in materia di privacy e linee guida

L’utilizzo di dispositivi mobili per motivi di lavoro è soggetto alle condizioni e ai limiti del Regolamento UE 2016/679 (“GDPR”). In particolare, occorre prestare attenzione alla circostanza che i dispositivi mobili consentono l’uso di applicazioni che comunicano dati e questo a volte accade senza che gli utenti ne siano consapevoli. È quindi fondamentale il coinvolgimento nella policy del responsabile della protezione dei dati. Occorre trovare un punto d’incontro tra l’esigenza dell’azienda di proteggere i propri dati da eventuali rischi e quella del dipendente di non subire intrusioni nella sua sfera privata. In particolare, le aziende non possono esercitare sui dispositivi privati utilizzati secondo una policy di BYOD lo stesso livello di controllo che applicano sui dispositivi aziendali.

Le Linee Guida per i BYOD suggeriscono le misure di sicurezza che possono seguire le aziende:

  • è opportuno, innanzitutto, effettuare una valutazione dei rischi che analizzi l’uso dei dispositivi mobili privati ai fini lavorativi;
  • devono essere anche individuati i controlli appropriati da attuare al fine di ridurre i rischi a un livello accettabile;
  • la valutazione del rischio deve essere riesaminata periodicamente per verificarne la validità;
  • il processo di gestione del rischio deve essere documentato e reso noto a tutti i dipendenti.

MDM – Gestione dei dispositivi mobili

Le linee guida si soffermano anche sulla gestione dei dispositivi mobili (Mobile Device Management – MDM), fornendo preziose indicazioni su cosa dovrebbe prevedere una gestione compliant.

Il primo aspetto trattato rimane quello della gestione sicurezza. Tra gli interventi suggeriti, si segnalano: l’utilizzo di PIN/password per l’accesso al dispositivo mobile e ad applicazioni specifiche; il blocco e la cancellazione dei dispositivi da remoto (di tutti i dati sul dispositivo o solo di informazioni aziendali); il rilevamento di modifiche della configurazione; le limitazioni all’accesso dell’utente e dell’applicazione all’hardware del dispositivo; il backup e ripristino delle informazioni aziendali nel dispositivo mobile; la verifica di conformità prima di accedere alle risorse aziendali; la crittografia dei dati; la distribuzione e gestione dei certificati digitali.

Occorre inoltre provvedere ad una corretta gestione del dispositivo attraverso l’applicazione centralizzata della policy di sicurezza e l’utilizzo di una tipologia di scambio dati che consente l’aggiornamento del software di un dispositivo digitale (tablet, smartphone, etc…) tramite una comunicazione end-to-end e per mezzo di una rete wireless. Quanto alla gestione delle applicazioni vengono proposte le seguenti soluzioni: blocco e cancellazione di applicazioni da remoto; whitelist e blacklist delle applicazioni; creazione di applicazioni aziendali; garantire la distribuzione sicura delle applicazioni con controlli adeguati contro le manomissioni; inventario delle applicazioni dei dispositivi (sia istituzionali che personali); sicurezza delle applicazioni.

Cosa deve fare l’azienda interessata ad introdurre una policy BYOD?

Date tutte queste informazioni, si suggerisce all’azienda interessata ad introdurre una policy BYOD di introdurre una serie di attività in materia di sicurezza e privacy.

In primo luogo, è opportuno adottare una policy di sicurezza delle informazioni dei dispositivi mobili, nonché fornire l’informativa privacy a tutti i lavoratori e collaboratori che si avvalgono dei propri dispositivi.
Devono essere stabiliti processi organizzativi che garantiscano l’applicazione delle politiche dell’organizzazione sui dispositivi e deve essere fornito ai lavoratori il necessario supporto per la configurazione dei dispositivi in linea con le policy.

Si consiglia inoltre di predisporre procedure di sicurezza per prevenire o rimediare ad eventuali problemi di sicurezza, come ad esempio lo smarrimento di un dispositivo mobile abilitato. Devono inoltre essere fornite ai dipendenti le indicazioni sulle azioni da intraprendere in caso di incidenti di sicurezza come, appunto, lo smarrimento del dispositivo o il furto dello stesso.

Fluida permette di salvare i documenti aziendali e di accederci da qualsiasi dispositivo in qualunque momento! Scopri il software HR Fluida e fai una prova gratuita!