Privacy e sicurezza di smartphone e tablet. Utili, ma non immuni da rischi

Articolo parzialmente modificato, pubblicato anche su Gruppo TakeITEasy.

Smartphone e tablet sono, tra le periferiche hardware, quelle che maggiormente trainano un segmento di mercato che, analogamente a molti altri, risente della crisi in una certa misura. Questo si deve, in parte, al fenomeno della consumerizzazione dell’IT che si sta diffondendo, anche grazie alla presa che lo slogan “porta il lavoro sempre in tasca con te” esercita sulle aziende, spingendole a fare investimenti in questo settore, con grande gioia dei vendor.

Si tratta di un fenomeno abbastanza consolidato, almeno secondo le indagini effettuate che parlano di un 88% del campione di riferimento (600 aziende in 17 paesi), i cui dipendenti utilizzano sul posto di lavoro i dispositivi citati non solo per la gestione della posta elettronica e l’accesso ai social network, ma anche per  le applicazioni aziendali, CRM in primis.

La stessa ricerca, inoltre, evidenzia una propensione alla spesa nel settore che, per le aziende italiane, si attesta intorno al 28% del budget IT.
Quale è il punto allora ? Cominciamo col dire che non è tutto oro quel che luccica: non possiamo certo negare l’utilità della tecnologia, in generale, e di questa in particolare, a condizione che non diventi un mezzo di eterna schiavitù dal lavoro, ma dobbiamo adottare una prospettiva più ampia, integrale, che tenga conto anche dei rischi e dei profili di responsabilità per le aziende che decidono di investire in essa.

Questioni da considerare

  • smartphone e tablet stanno diventando strumenti elettronici di trattamento dei dati personali, di cui l’azienda è titolare (es. dati dei clienti, dipendenti/collaboratori, ecc…), con conseguente applicabilità degli obblighi di protezione del T.U privacy (D.Lgs. 196/03);
  • con questi dispositivi gli utenti aziendali accedono ad Internet, per cui gli eventuali illeciti commessi sulla rete (si pensi ad ipotesi di download illegale di risorse protette, di diffamazione, ecc…) possono comportare a carico dell’azienda profili di corresponsabilità civile, per omessa adozione di controlli e misure di sicurezza;
  • l’uso dei dispositivi è spesso “promiscuo”, cioè riguarda sia gli aspetti lavorativi che quelli concernenti la vita privata dell’utilizzatore (es. dati finanziari, home banking, foto di famiglia, ecc…), per cui anche i dati di quest’ultimo sono a rischio (es. furti di identità);
  • possibilità di tracciamento e/o profilazione dell’utente, a sua insaputa, attraverso dati univoci (codice IMEI e numero di telefono) e moduli GPS (tra l’altro la geolocalizzazione integrare una forma di controllo a distanza dell’attività lavorativa, con le ben note problematiche di cui all’art. 4 dello Statuto dei lavoratori);
  • se non adeguatamente custoditi tali strumenti possono essere facilmente smarriti o rubati, con tutte le conseguenze che ne derivano (si tratta del primo di tre rischi più alti – vedi sotto (3));
  • la trasportabilità dei dispositivi favorisce l’esternalizzazione di dati e servizi (es. cloud computing);
  • una insufficiente conoscenza od “alfabetizzazione informatica” dell’utilizzatore può comportare una rivelazione non intenzionale di dati personali o confidenziali (si tratta del secondo di tre rischi più alti – vedi sotto (3));
  • una dismissione impropria, nel caso di sostituzione, mette a rischio i dati, se questi ultimi non sono prontamente cancellati in modo sicuro (si tratta del terzo di tre rischi più alti – vedi sotto (3));
  • trattandosi di una tecnologia relativamente nuova, il livello della sicurezza delle applicazioni e dei moduli software non è ancora sufficientemente affidabile, anche per via di una distribuzione poco tempestiva degli aggiornamenti;
  • le clausole e/o condizioni di utilizzo delle applicazioni sono poco chiare, soprattutto per gli aspetti relativi al trattamento ed alla sicurezza delle informazioni, comprese quelle di natura personale;
  • esiste una miriade di fonti, poco o per nulla attendibili, dalle quali possono essere scaricate applicazioni potenzialmente nocive (il fenomeno del mobile malware è in fortissima ascesa);

Naturalmente questo elenco non vuole avere carattere di esaustività, però parliamo in generale di aspetti ben documentati (vedi approfondimenti) che non possono essere ignorati ma devono essere gestiti in modo adeguato, per evitare che il ricorso alla tecnologia, allo scopo di migliorare ed ottimizzare il funzionamento di una struttura aziendale o professionale (si, perchè la questione può riguardare anche i professionisti, specie quelli deontologicamente vincolati ad obblighi di segretezza più ampi del semplice diritto alla riservatezza), si trasformi in un boomerang di eventi causativi di responsabilità che ne azzerano completamente l’utilità.

Consigli per l’uso

Alcuni consigli ed azioni da intraprendere per un uso ottimale della tecnologia mobile, da parte di aziende e professionisti, sono i seguenti:

  • fare una analisi dei rischi (organizzativi, tecnologici, legali) ed adottare le opportune misure di sicurezza, soprattutto quelle minime ed idonee richieste dal T.U privacy;
  • valutare attentamente le clausole dei contratti con i produttori dei dispositivi e del software di sistema e con gli operatori di telecomunicazione che li commercializzano con il proprio brand;
  • valutare attentamente le condizioni legali d’uso delle applicazioni mobile installate sui dispositivi;
  • predisporre regolamenti per un corretto utilizzo (trattandosi di strumenti aziendali che accedono ad Internet ed alla posta elettronica, essi potrebbero rientrare nell’ambito applicativo del provvedimento del garante del 1 marzo 2007);
  • impedire l’installazione, l’accesso e l’uso di applicazioni di dubbia od illecita provenienza;
  • formare adeguatamente gli utenti, soprattutto per quanto concerne rischi e responsabilità aziendali;
  • predisporre regolamenti per gestire i casi di dismissione dei dispositivi e le procedurre per la sicura cancellazione dei dati;

Approfondimenti

  1. Smartphone e tablet: scenari attuali e prospettive operative
  2. Smartphone: information security risks, opportunities and recommendations for users
  3. Top ten smartphone risks
  4. Smartphone secure development guidelines
  5. Data leakage resulting from device loss or theft

0 commenti: