Nelle PMI italiane, la distinzione tra dispositivi aziendali e personali è spesso sfumata. I dipendenti leggono le email di lavoro sullo smartphone personale, accedono al gestionale aziendale dal tablet di casa, usano WhatsApp per comunicazioni con i clienti. Questo fenomeno — noto come BYOD (Bring Your Own Device) — porta indubbi vantaggi in termini di flessibilità e produttività, ma introduce rischi di sicurezza che molte aziende non hanno ancora adeguatamente affrontato.
I rischi specifici del mobile e del BYOD
- Dispositivo smarrito o rubato: uno smartphone senza PIN o cifratura che contiene email aziendali, contatti clienti e documenti è una violazione di dati pronta all'uso per chiunque lo trovi.
- App malevole: store non ufficiali, app con permessi eccessivi, versioni modificate di app legittime che installano malware o raccolgono dati.
- Wi-Fi pubblici non sicuri: connessioni non cifrate in aeroporti, hotel e bar permettono attacchi man-in-the-middle che intercettano il traffico non protetto.
- Mancanza di aggiornamenti: dispositivi personali vengono aggiornati meno sistematicamente rispetto ai dispositivi aziendali gestiti.
- Offboarding incompleto: quando un dipendente lascia l'azienda, il dispositivo personale con le email e i documenti aziendali rimane in suo possesso senza che i dati vengano rimossi.
- Backup automatici su cloud personale: documenti aziendali che finiscono nel backup iCloud o Google Photos personale del dipendente, fuori dal controllo dell'azienda.
MDM: Mobile Device Management
La risposta tecnica al BYOD è il MDM (Mobile Device Management), un software che permette all'IT aziendale di gestire e proteggere centralmente i dispositivi mobili — sia aziendali che personali (in modalità BYOD con contenitore separato).
Le funzionalità principali di un MDM includono:
- Wipe remoto: cancellazione dei dati aziendali dal dispositivo in caso di smarrimento o al momento dell'offboarding del dipendente
- Policy di sicurezza: imposizione di PIN/biometria, cifratura del dispositivo, blocco screen timeout
- Containerizzazione: separazione dei dati aziendali da quelli personali in un "contenitore" cifrato — il dipendente mantiene la privacy nella parte personale del dispositivo
- Distribuzione app: installazione e aggiornamento delle app aziendali approvate
- Gestione certificati: distribuzione di certificati per VPN e Wi-Fi aziendali
Policy BYOD: il documento che formalizza le regole
Prima della tecnologia, serve una policy BYOD chiara e condivisa con i dipendenti. I punti essenziali da includere:
- Quali dispositivi e sistemi operativi sono ammessi (versioni minime, jailbreak/root vietati)
- Quali app aziendali possono e non possono essere installate su dispositivi personali
- Quali dati aziendali possono risiedere sul dispositivo personale e in quale forma
- Cosa succede al momento dell'offboarding (wipe aziendale, non personale)
- Obbligo di aggiornamento del sistema operativo entro X giorni dal rilascio
- Responsabilità in caso di violazione dei dati causata da dispositivo personale non conforme
Sicurezza mobile e accesso alle web app
Per le web app e i gestionali sviluppati su misura, la sicurezza dell'accesso mobile va progettata dall'inizio: sessioni con timeout appropriati, MFA per l'accesso, crittografia del traffico HTTPS, minimizzazione dei dati scaricati sul dispositivo. NEO WEB progetta web app e gestionali con gestione sicura degli accessi mobile integrata. Contattaci per valutare la sicurezza mobile della tua infrastruttura digitale.
