A cosa servono oggi i nostri smartphone? In minima parte, ormai, a effettuare chiamate vocali, mentre sempre di più sono utilizzati per trasmettere e ricevere informazioni e dati di tipo digitale. Nei nostri dispositivi sono infatti disponibili dati come l’ubicazione spaziale, la rubrica dei contatti, l’identità dell’interessato, il registro delle chiamate, l’e-mail, i numeri della carta di credito, la cronologia di navigazione, gli sms e la messaggistica istantanea, credenziali di autenticazioni per i servizi web e social, fotografie e filmati, ecc. Anche se è innegabile che la maggioranza di queste informazioni riguardino la nostra sfera privata e personale, una fetta importante dei bytes che transitano dai nostri dispositivi ha a che fare con la nostra sfera professionale, dal momento che anche negli smartphone personali abbiamo accesso alla email aziendale oltre che ad altre tipologie di applicazioni strettamente connesse alla vita lavorativa.
Una realtà sotto gli occhi di tutti, che dovrebbe interessare particolarmente il management, poiché la potenziale esposizione di dati non può essere certo trascurata. Eppure troppo spesso gli apparecchi mobile sono caratterizzati dalla completa mancanza di adeguate politiche aziendali di privacy e sicurezza. Una carenza che può portare all’utilizzo di applicazioni e siti web non conformi e insicuri, oltre che a una possibile intercettazione dei dati a causa dell’impiego di connessioni Wi-fi non sicure. Prima della sicurezza, ovvero della possibilità di finire sotto attacco del cybercrime, c’è però un livello che deve necessariamente interessare le aziende di tutti i settori e dimensioni, spingendole verso l’adozione e la rivisitazione delle loro strategie mobile. Stiamo parlando naturalmente della conformità normativa che, quando si ha a che fare con dati personali (di clienti/contatti/utenti…), è diventata ancora più importante con l’entrata in vigore del GDPR (General Data Protection Regulation – GDPR). Con la nuova normativa europea le aziende devono infatti sostanzialmente garantire che i dati personali (non i dati personali dell’utilizzatore dello smartphone, quanto i dati personali di terzi presenti o accessibili tramite lo smartphone dell’utilizzatore) archiviati sui cellulari dei propri dipendenti siano protetti almeno quanto le informazioni custodite nei database e nei server aziendali.
Uno dei principali assunti del GDPR, infatti, è che la singola organizzazione sia responsabile dell’adeguatezza delle misure di sicurezza in base al livello di rischio. In caso contrario, è possibile andare incontro alle pesanti sanzioni che possano essere comminate in base al GDPR (fino al 4% dei ricavi aziendali per ogni incidente), con conseguenti ripercussioni economiche e d’immagine che vanno a sommarsi ai danni diretti dell’azione del cybercrime.
Cosa occorre dunque fare per garantire la conformità in ambito mobile? Innanzitutto, le organizzazioni devono abituarsi a trattare i dispositivi mobili come una repository di dati aziendali, così come sono stati tradizionalmente considerati i server e i pc fissi. Successivamente, occorre creare una politica aziendale relativa alla gestione dei dati aziendali in mobilità, in conformità con la strategia complessiva sul GDPR, che deve inevitabilmente passare anche per l’adozione di apposite soluzioni tecnologiche.
Queste ultime devono consentire una efficace gestione dei profili utente, minimizzando il rischio e permettendo l’accesso ai dati soltanto quando veramente necessario. Da un punto di vista più operativo, la corretta implementazione di una strategia mobile deve passare per l’adozione di vari step (dalla configurazione delle connessioni disponibili a quella dei dispositivi di archiviazione fino alla configurazione della fotocamera, dell’audio). Più in generale, occorre garantire una regolare distribuzione degli aggiornamenti e la corretta manutenzione del sistema operativo. Infine, una volta realizzata, questa politica deve essere pienamente implementata e monitorata mediante strumenti di gestione mobile adeguati.
