Il fenomeno del Byod – Bring Your Own Device - sta prendendo sempre più piede nelle aziende, che devono necessariamente affrontarlo per non subirlo. Di fronte alla consumerizzazione delle IT e all'entrata in azienda delle generazioni dei Millennial e dei nativi digitali le aziende stanno studiando le modalità migliori per sfruttare a proprio favore questa tendenza, attrezzandosi al meglio per governarla.
Proprio per capire come lo affrontano le aziende italiane, Symantec ha commissionato un'indagine ad AstraRicerche, condotta lo scorso mese di maggio su un campione di 1.062 dipendenti di aziende italiane (di differenti industry) con un organico compreso tra i 100 e i 2.500 dipendenti. Sono stati intervistati in modalità on line i C-Level di queste aziende che per motivi di lavoro accedono al sistema informativo aziendale con dispositivi mobili personali e/o aziendali.


La ricerca fotografa una situazione composita, in cui prevale un atteggiamento secondo cui il dipendente accede al sistema informativo aziendale soprattutto con il proprio dispositivo personale, poco controllato.  Di fronte a problemi relativi ai dispositivi mobili la scarsa fiducia in termini di sicurezza e il timore di sentirsi in difetto innescano un atteggiamento "fai da te" che, inevitabilmente, può mettere a rischio il patrimonio informativo aziendale.
Marco Bavazzano  e Antonio Forzieri, rispettivamente Director Security Strategy Southern Region e Security Practice Manager della Technology Sales Organization di Symatec Italia, spiegano le principali evidenze della ricerca. 
La fotografia scattata mostra una situazione di forte promiscuità, in quanto molto spesso non vi è distinzione tra dispositivo mobile  personale e dispositivo professionale per accedere a servizi e applicazioni aziendali così come per accedere a servizi per uso personale.
Un esempio su tutti quello dell'e-mail personale a cui il dipendente accede nel 59,3% dei casi con dispositivi aziendali non solo dal computer o dal portatile di proprietà del dipendente, ma anche dai laptop aziendali (56,2%) e dai cellulari aziendali (40,8%). Viceversa, mediante i propri dispositivi personali si accede alla posta elettronica aziendale tramite browser Internet  con  il computer portatile (52,1%) e il tablet (45,6%).
Da sottolineare come l'accesso via Internet a cartelle personali (per es. Dropbox e similari) avvenga con una percentuale maggiore per i dispositivi aziendali (37,7%) rispetto a quelli personali (32,5%).  Il 36% del campione usa il laptop aziendale per sincronizzare cartelle personali nel cloud.
"La tendenza a utilizzare il proprio dispositivo aziendale anche per uso personale risale a molto tempo fa mentre è molto più recente quella di servirsi del proprio dispositivo personale a livello aziendale. Oggi le scelte tecnologiche sono molto più guidate dal mondo consumer che non dall'enterprise. E' il fenomeno della consumerizzazione dell'IT introdotto da Apple con la commercializzazione  dei suoi prodotti.  L'esperienza fatta con il dispositivo personale spesso è molto gratificante", sottolinea Bavazzano. Che prosegue: "Le aziende devono prendere consapevolezza di questa promiscuità; devono esse stesse rendere disponibile una sorta di ‘application store' autorizzato, una vetrina di applicazioni aziendali e non che risponde a regole aziendali definite e chiare - a cui il dipendente può accedere e e scaricare le applicazioni in tutta sicurezza ".
Dall'indagine emerge che l'installazione di apps sui dispositivi mobili è uno standard;  basti dire che  l'81% degli intervistati ha installato applicazioni sui dispositivi personali e l'89,4% su quelli aziendali. Tra le fonti più utilizzate per installare le applicazioni gli store ufficiali sono utilizzati sia per i dispositivi personali (66,9%) che per quelli aziendali (66%).
Sorprende invece il dato relativo al fenomeno del jailbreack - l'installazione di applicazioni dopo aver rotto i sistemi di protezione degli smartphone :  la percentuale più elevata si rileva proprio per i dispositivi aziendali, il 16%, contro l'11,9% dei dispositivi personali, con un evidente rischio per i dati sensibili e le informazioni aziendali.
"E' un dato sorprendente: perché mentre ci si aspettava  che si scaricassero applicazioni sul dispositivo aziendale  da appstore ufficiali al contrario non ci si aspettava che questa operazione fosse effettuata da  mercati paralleli. Questo fa percepire fa quantoil rischio di sicurezza sia più elevato", dice Bavazzano. 
"Serve un approccio maturo alla sicurezza mobile da parte delle aziende che contempli sia la protezione dei dati aziendali ma anche delle applicazioni personali che l'utente intende utilizzare. Occorre creare una sorta di ‘bolla'  intorno a ciò che non è aziendale, come riesce a fare Symantec attraverso la propria tecnologia acquisita da Nukona, consentendo al dipendente di utilizzare le applicazioni che più gli interessano, garantendo allo stesso tempo la  protezione dei dati aziendali. Se l'azienda non mette a disposizione strumenti di questo tipo il rischio è che l'utente faccia da sé, con tutti i rischi che conseguono", spiega Forzieri

[tit: Regole aziendali e sicurezza]
Un altro fattore critico riguarda le regole aziendali sulla materia, ancora poco restrittive.
Le aziende infatti dotano di dispositivi mobili i dipendenti senza però aver pre-installato applicazioni e lasciando dunque spazio alle scelte degli utenti: solo il 26,6% di coloro che utilizzano un cellulare o un tablet aziendale ha trovato una o più applicazioni già installate dall'azienda. E se da una parte il 15% non può  aggiungere e configurare applicazioni perché il dispositivo non lo consente e il 18,1% non può farlo vietato dall'azienda, dall'altra il 56,7% del campione può invece configurare alcune applicazioni o addirittura non ha limiti nella scelta delle apps da aggiungere al dispositivo, favorendo così il download di applicazioni non sicure e comunque fuori controllo. 
Altresì critico il fattore sicurezza: il 77,2% del campione è a conoscenza dell'esistenza di virus in grado di rendere un dispositivo inutilizzabile e il 35,9% ne ha sperimentato personalmente gli effetti, così come più della metà conosce o ha sentito parlare di trojan, malware, phishing, furto di password e codici di accesso, ma la percezione dei dipendenti nei confronti dei sistemi di protezione promossi dalle aziende è bassa. Il 36,7% svolge azioni i specifiche relative ai sistemi di protezione sui dispositivi aziendali, il 38,6% solo a volte, il 5,5% lo fa per propria iniziativa il 19,3% non lo fa né spinto dall'azienda né di propria iniziativa.
E il quadro è anche peggiore per quanto riguarda i dispositivi personali che sono utilizzati per accedere al sistema informativo aziendale: soltanto il 24,9% deve svolgere regolarmente interventi relativi alla sicurezza. Il  18,3% degli utilizzatori di dispositivi personali lo fo di propria iniziativa senza essere stato sollecitato dall'azienda, a testimonianza della scarsa impegno delle aziende a informare e formare i dipendenti sulla sicurezza mobile.
"Esiste un problema di mancanza di conoscenza delle minacce informatiche. Infatti, mentre c'è consapevolezza sull' esistenza del malware sui dispositivi tradizionali non c'è sull'esistenza delle minacce in ambito mobile. Solo l'anno scorso sono state rilevate  67 famiglie di malware su mobile, ognuno delle quali  ha 4.000 mutazioni. Il mobile può diventare una vulnerabilità all'interno dell'azienda per effettuare attacchi mirati. Il fatto che gli utenti non siano coinvolti dalle aziende per essere consapevoli dei rischi e quindi non essere sicuri e protetti mette in serio pericolo l'azienda  riguardo alla protezione di dati aziendali", rammenta Forzieri.
Ad avallare la tesi che le indicazioni fornite dalle aziende sono troppo poche e poco restrittive altri dati dell'indagine:  solo il 54,2% afferma di dover avere un software antivirus installato, il 37,1% ricorda che l'azienda gli ha chiesto di tenerlo aggiornato, il 25,9% deve impostare una password sul proprio cellulare o tablet.  Solo il 10,4% degli intervistati afferma che le regole aziendali gli impongono di non salvare i dati relativi al business sui dispositivi mobili. E poi c'è anche chi non rispetta proprio le regole: il 28,1%, ad esempio, non installa antivirus o non lo tiene aggiornato.
In termini di comportamento nel caso di gravi rischi per la sicurezza dei dispositivi personali e di quelli aziendali l'indagine rileva il prevalere dell'arte "di arrangiarsi". Gli utenti non dimostrano infatti fiducia nelle aziende di fronte a problemi quali per esempio la perdita del dispositivo o un'infezione. Solo il 38,6%, si rivolgerebbe all'area IT della propria azienda per cercare supporto, il 35% prova a risolvere il problema da solo, il 22,8% punta a un'assistenza tecnica esterna all'azienda, il 20,9% cerca l'aiuto di un conoscente e il 13,5% va dai colleghi in azienda. Il 6.1% aspetta che il problema si risolva senza alcun intervento.
Optano per il "fai da te", soprattutto gli under 30, che prediligono l'utilizzo del dispositivo mobile personale mentre gli over 50 si affidano più di altri al supporto dell'IT aziendale. Il  46,5% di coloro che "si arrangiano" lo fa perché  non ha ricevuto indicazioni chiare e formalizzate dall'azienda su come comportarsi in caso di gravi rischi per la sicurezza di dispositivi mobili personali e il 32,8% per quelli aziendali, mentre l'8,4% per i dispositivi personali e il 7,4% per quelli aziendali ha ricevuto indicazioni ma non le seguirebbe o è già capitato che non le abbia seguite. Si agisce in questo modo per non sentirsi in difetto e non fare brutta figura - gli uomini molto più delle donne – o perché si pensa che sia troppo tardi, ma anche perché si temono sanzioni disciplinari (19,4%) o economiche (13,3%). 

[tit:L'approccio olistico di Symantec]
Dato per assodato che la mobilità è un fenomeno inarrestabile  nelle aziende, è fondamentale che l'adozione e l'utilizzo di dispositivi mobili in azienda sia di successo.
A tal fine Symantec propone un approccio completo e olistico di gestione e sicurezza della mobilità denominato Enterprise Mobile Management & Security che poggia su cinque pilastri fondamentali: 
- Device & user management  che prevede la gestione del dispositivo (Mobile Device Management – Mdm) attraverso una soluzione per configurare e controllare dispositivi aziendali (e qui entra in gioco la tecnologia Altiris).
- Protection of apps &data - Protezione dell'applicazione e dei dati in mobilità – Mobile Application Management (Mam) attraverso la soluzione Nukona  di gestione dei dispositivi anche personali che lavora a livello delle applicazioni ed è indipendente dal dispositivo. Le funzionalità di Nukona  sono ora disponibili sia per i modelli Saas che per quelli on-premise. Grazie alla capacità di proteggere e controllare le applicazioni iOS, Android e HTML5, Symantec affronta il problema chiave della separazione di dati personali e aziendali senza limitare l'end user experience o l'adozione di applicazioni. A ciò si aggiunge Data Loss Prevention for Mobile (disponibile dalla seconda metà del 2012) che di recente ha aggiunto il supporto per iPhone a quello già disponibile per iPad.
- Treath protection - protezione delle minacce con soluzioni antivirus e antimalware per mobile. Oggi è già disponibile la soluzione Symantec Norton per Android, a breve arriverà anche la versione Enterprise.
- Expense management – E' l'unico tassello al momento non coperto, su cui però Symantec sta lavorando , al fine di fornire strumenti di gestione e controllo dei costi, che vadano oltre la fatturazione del telco provider.
- Enterprise integration - intesa come capacità di integrarsi con policy e tecnologie già presenti in azienda, facendo riuso delle tecnologie già implementate.