Quali sono i rischi del BYOD?

8
Minute Read

Il concetto di Bring Your Own Device (BYOD) si riferisce all’utilizzo da parte dei dipendenti di dispositivi di loro proprietà per scopi lavorativi. Con il BYOD, un’organizzazione possiede i dati e le risorse aziendali accessibili o memorizzati su tali dispositivi, pur lasciando la proprietà fisica agli utenti.

Questo approccio è evoluto rispetto alle sue origini, mirando a fornire:

  • Flessibilità agli utenti nell’utilizzare l’IT che preferiscono.
  • Riduzione dei costi aziendali derivanti dalla fornitura di dispositivi aziendali.
  • Supporto per il lavoro flessibile, inclusa la modalità remota.
  • Incremento della produttività.
  • Un’alternativa quando l’accesso al luogo di lavoro principale è limitato.

Sebbene il BYOD condivida alcuni rischi e mitigazioni con altre soluzioni di lavoro flessibile, presenta sfide uniche.

L’efficacia della protezione dei dati BYOD dipende da:

  • La gestibilità del dispositivo (in accordo con il proprietario).
  • Il bilanciamento tra usabilità e sicurezza.

Le sfide del BYOD includono:

  • L’adeguamento dei dispositivi e dei loro proprietari alle politiche aziendali.
  • Il supporto per una vasta gamma di dispositivi e sistemi operativi.
  • La protezione dei dati e dell’infrastruttura aziendale.
  • Il rispetto della privacy dell’utente finale.
  • La conformità legale e contrattuale.

Queste sfide non devono essere sottovalutate, ma possono essere affrontate con i controlli tecnici e le politiche adeguate.

I rischi associati al BYOD possono includere (ma non si limitano a):

  • La perdita intenzionale di dati da parte dell’utente, ad esempio copiando i dati dal lavoro alle applicazioni personali.
  • Un’incrementata possibilità di perdita accidentale di dati, come nel caso di un backup del dispositivo contenente dati di lavoro o la condivisione del dispositivo con la famiglia.
  • L’esfiltrazione dolosa di dati, come l’utilizzo di applicazioni dannose che consentono il trapelare di dati a cui gli utenti hanno concesso l’accesso.
  • Una minore fiducia nel dispositivo BYOD al momento dell’iscrizione o del primo utilizzo. È probabile che un dispositivo BYOD abbia avuto un utilizzo pregresso prima di essere adibito a scopi lavorativi, pertanto, al momento della registrazione o dell’utilizzo iniziale per scopi professionali, non c’è alcun modo di garantire che sia in uno stato ottimale. Di conseguenza, il dispositivo potrebbe non rispondere in modo accurato a domande fondamentali sul suo stato di salute, come ad esempio la versione del sistema operativo in uso.

I collaboratori hanno accesso a più risorse e servizi di quanto necessario. Alcuni servizi aziendali potrebbero non essere adatti all’uso BYOD, e quelli esposti devono essere in linea con gli obiettivi, le esigenze e i rischi aziendali. Inoltre, non tutti gli utenti del BYOD avranno bisogno di accedere alle stesse risorse. È fondamentale adattare queste risorse agli utenti o ai gruppi per ridurre al minimo l’esposizione dei dati e dei servizi. Ad esempio, i dipendenti di un reparto finanziario potrebbero necessitare di applicazioni diverse rispetto a quelli di un reparto di ingegneria. È probabile che nessuno dei due abbia accesso alle stesse risorse disponibili in ufficio.

Potrebbe non essere possibile garantire che i dati, le applicazioni e le credenziali aziendali siano stati rimossi dal dispositivo dell’utente in caso di cessazione del rapporto di lavoro o di abbandono dell’organizzazione.

C’è un’incrementata probabilità di dispositivi non supportati o non aggiornati, che espone a sfruttamenti di vulnerabilità di sicurezza note da parte di malware di base. Inoltre, l’utilizzo dei dispositivi in un contesto personale più ampio aumenta l’esposizione alle minacce, soprattutto quando gli utenti condividono dispositivi o password con altre persone. Spesso, gli utenti sono riluttanti a segnalare all’organizzazione gli incidenti di sicurezza che coinvolgono il loro dispositivo personale, per timore di intromissioni nella loro privacy.

Mentre i rischi possono essere presenti anche nelle soluzioni gestite dall’azienda, nelle soluzioni BYOD tali rischi possono essere amplificati. Tra i rischi aggiuntivi, vi è lo sfruttamento malevolo dei dispositivi a causa di una configurazione di sicurezza debole, come l’assenza di crittografia dei dati a riposo o la mancanza di controlli di sicurezza fisici sul dispositivo, come password, PIN o autenticazione biometrica. Inoltre, l’assenza di monitoraggio può facilitare lo sfruttamento dannoso dei dispositivi, portando alla diffusione di malware come screen scraping e keylogger, che possono esfiltrare credenziali e dati aziendali.

L’accesso da reti non sicure e luoghi pubblici, come i trasporti pubblici o bar, aumenta il rischio di intercettazioni per accedere alle risorse aziendali. Inoltre, l’utilizzo di dispositivi infetti, portati in ufficio e collegati alle reti interne, rappresenta un ulteriore pericolo per la sicurezza. L’accesso esterno alle risorse interne, specialmente da postazioni remote, può comportare rischi aggiuntivi, poiché i dati escono ed entrano nella rete aziendale attraverso Internet. Gli utenti al di fuori dello spazio e dei controlli dell’ufficio possono navigare su contenuti non professionali o tentare di connettersi alle risorse aziendali da account personali privi di adeguate protezioni aziendali.

Prima di introdurre il BYOD è essenziale valutare attentamente i rischi associati. Poiché l’organizzazione avrà meno controllo e visibilità sul dispositivo personale dell’utente rispetto a quelli di proprietà e gestiti dall’azienda, il BYOD comporta maggiori rischi per la sicurezza. Per massimizzare i vantaggi del BYOD, l’organizzazione dovrà bilanciare una postura di accesso più flessibile ai servizi e ai dati aziendali esposti, mantenendo al contempo pratiche di sicurezza ragionevoli.

Oltre ai rischi tecnici e di sicurezza, è importante considerare l’aspetto psicologico nell’adozione del BYOD considerando i comportamenti a rischio che possono emergere. Gli utenti che utilizzano i propri dispositivi personali per scopi lavorativi possono essere influenzati da diversi fattori emotivi e psicologici, che possono avere un impatto significativo sulla sicurezza dei dati aziendali.

Uno dei comportamenti a rischio più comuni è rappresentato dalla pratica di utilizzare applicazioni personali sul dispositivo BYOD per accedere, memorizzare o manipolare dati aziendali sensibili. Ad esempio, un dipendente potrebbe scaricare applicazioni di social media sul proprio dispositivo personale e utilizzarle per condividere informazioni di lavoro, senza rendersi conto del rischio di perdita o compromissione dei dati sensibili.

Un altro comportamento a rischio è rappresentato dalla pratica di connettersi a reti Wi-Fi non sicure o pubbliche mentre si utilizza il dispositivo BYOD per scopi aziendali. Ad esempio, un dipendente potrebbe accedere al proprio account aziendale o condividere file sensibili mentre si trova in un caffè o su un trasporto pubblico, esponendo i dati aziendali a potenziali attacchi di intercettazione o hackeraggio.

Inoltre, l’uso prolungato del dispositivo BYOD per scopi lavorativi al di fuori dell’orario lavorativo può portare a una maggiore esposizione dei dati aziendali a minacce esterne. Ad esempio, un dipendente potrebbe rispondere a e-mail di lavoro o accedere a documenti sensibili mentre si trova a casa o in vacanza, senza adottare le stesse misure di sicurezza che adotterebbe in ufficio, aumentando il rischio di perdita o compromissione dei dati.

Per mitigare questi rischi, è importante sensibilizzare gli utenti sui comportamenti a rischio e fornire formazione adeguata sulla sicurezza informatica. Gli utenti devono essere consapevoli delle potenziali conseguenze dei loro comportamenti e incoraggiati a seguire le migliori pratiche di sicurezza, anche quando utilizzano il dispositivo BYOD al di fuori dell’ambiente lavorativo.

Sebbene il BYOD possa essere utilizzato per alcune funzioni aziendali, ci saranno quasi certamente aspetti dei dati e delle risorse aziendali che dovranno essere mantenuti all’interno di ambienti completamente gestiti. È importante gestire le aspettative di tutte le parti coinvolte, poiché molti collaboratori potrebbero non essere in grado di replicare completamente l’ambiente aziendale su un dispositivo personale. Potranno invece avere accesso a un sottoinsieme di applicazioni e risorse, i cui livelli dipenderanno dalla propensione al rischio dell’organizzazione. Ad esempio, gli utenti con accessi privilegiati o amministrativi ai sistemi aziendali che richiedono postazioni di lavoro ad accesso privilegiato non dovrebbero avere gli stessi livelli di accesso su un dispositivo BYOD. Potrebbero invece ottenere gli accessi BYOD standard concessi agli altri utenti. Questi utenti dovrebbero avere la priorità per i dispositivi di proprietà e gestiti dall’azienda, se ciò fa parte della soluzione di lavoro flessibile dell’organizzazione.

Nessuna implementazione BYOD proteggerà i dati aziendali con la stessa efficacia dei dispositivi gestiti dall’azienda, quindi è importante considerare le potenziali conseguenze se i servizi esposti dovessero essere compromessi.

@neurobytes

@ RIPRODUZIONE RISERVATA

China-Linked CeranaKeeper Targeting Southeast Asia with Data Exfiltration

Fake Job Applications Deliver Dangerous More_eggs Malware to HR Professionals

Alert: Over 700,000 DrayTek Routers Exposed to Hacking via 14 New Vulnerabilities

Alert: Adobe Commerce and Magento Stores Under Attack from CosmicSting Exploit

5 Must-Have Tools for Effective Dynamic Malware Analysis

Researchers Sound Alarm on Active Attacks Exploiting Critical Zimbra Postjournal Flaw

AI-Powered Rhadamanthys Stealer Targets Crypto Wallets with Image Recognition

CISA Kicks Off 21st Anniversary of Cybersecurity Awareness Month

5 Actionable Steps to Prevent GenAI Data Leaks Without Fully Blocking AI Usage

Free Sniper Dz Phishing Tools Fuel 140,000+ Cyber Attacks Targeting User Credentials

New Cryptojacking Attack Targets Docker API to Create Malicious Swarm Botnet

U.K. Hacker Charged in $3.75 Million Insider Trading Scheme Using Hacked Executive Emails

THN Cybersecurity Recap: Last Week’s Top Threats and Trends (September 23-29)

Critical Flaws in Tank Gauge Systems Expose Gas Stations to Remote Attacks

Intelligenza Artificiale e contrasto al cybercrime
L’arroganza e la Nemesi della cybersecurity


Home

Cyber Trolling eBook 2023
ᴘᴀᴏʟᴀ ɢɪᴀɴɴᴇᴛᴀᴋɪꜱ

Analisi comportamentale

Cybersecurity

Intelligenza Artificiale

News

ᴘᴀᴏʟᴀ ɢɪᴀɴɴᴇᴛᴀᴋɪꜱ

Cookie Policy - Terms and Conditions - Privacy Policy