In tempi di smart e remote working le aziende e i dipendenti hanno imparato a confrontarsi con i differenti modelli di connettività da remoto alle infrastrutture interne: sigle come BYOD (Bring Your Own Device), CYOD (Choose Your Own Device), COPE (Company Owned/Personally Enabled) e COBO (Company Owned/Business Only) sono entrate nel gergo comune di molte organizzazioni, ma in realtà non è semplice comprendere appieno le differenze pratiche e operative che le distinguono.
La tecnologia BYOD, ad esempio, offre alle aziende flessibilità per i dispositivi dei dipendenti e collaboratori, mentre la tecnologia COBO offre sicurezza. Nessuno dei due aspetti, però, può essere il fattore predominante nella scelta per la strategia di gestione dei dispositivi mobili aziendali.
Le organizzazioni riconoscono la necessità di flessibilità quando si tratta di supportare i dispositivi mobili del personale e devono bilanciare ciò che loro si aspettano con quello che l’IT e la sicurezza richiedono.
Sicurezza dei dispositivi mobili: cos’è e gli strumenti per migliorarne la cyber postura
Indice degli argomenti
BYOD, CYOD, COPE e COBO: di cosa parliamo
BYOD è una delle opzioni di gestione dei dispositivi mobili più popolari in aziende che non hanno una gestione formale dei dispositivi mobili (Mobile Device Management, MDM). Tuttavia, per problemi di sicurezza e controlli limitati associati alle BYOD, le tecnologie COPE, CYOD e COBO talvolta prendendo il sopravento.
Quando si confrontano tra loro BYOD, COPE, COBO e CYOD nell’intento di trovare una politica da adottare, l’IT aziendale dovrebbe applicare un approccio funzionale e fattibile, quindi che sia accettabile per il personale e per la loro organizzazione.
Quando si decide di aggiungere soluzioni di mobilità aziendale all’infrastruttura aziendale, non si può semplicemente adottare dei dispositivi mobili e portarli da subito in produzione: si ha bisogno di un piano in atto che delinei le responsabilità per il mantenimento della sicurezza del dispositivi, protegga i dati aziendali e assuma i costi dei servizi.
Ognuno di questi modelli ha il proprio set di regole e offerte, e stabiliscono disposizioni diverse per organizzazioni e utenti. Conoscere le differenze tra BYOD, CYOD COPE e COBO aiuterà l’organizzazione a decidere quale politica adottare.
Passiamo dunque a spiegare le caratteristiche singolari tra BYOD, CYOD e COPE e come ciascun modello può avvantaggiare l’azienda, illustrando anche le restrizioni COBO.
BYOD: quando adottarla è una buona idea
BYOD (Bring Your Own Device) si riferisce a qualsiasi tipo di dispositivo di proprietà dei dipendenti, o di terzi, in genere smartphone o tablet che vengono utilizzati per lavoro. Pensare a BYOD come una chiavetta USB blindata da dove fare bootstrap è un errore.
Molti dipendenti configurano i loro telefoni cellulari personali con la posta elettronica di lavoro e utilizzano il dispositivo per attività legate al lavoro. Potrebbero installare applicazioni che utilizzano per il loro lavori, applicazioni interne o applicazioni che richiedono accesso a informazioni relative al lavoro, o applicazioni relative all’autenticazione di due fattori.
Utilizzare il proprio dispositivo personale al lavoro offre la massima flessibilità per i dipendenti, ma non significa la migliore protezione per l’azienda. Gli utenti che adottano il BYOD dovrebbero considerare di investire in strumenti di protezione che supportano il BYOD e aggiungono livelli di sicurezza.
Le policy di gestione delle applicazioni mobili (MAM) aggiungono controlli sulle applicazioni aziendali di proprietà nei dispositivi, isolandoli dalle applicazioni personali del collaboratore garantendo al tempo stesso crittografia e altre misure di sicurezza.
Questo approccio si riferisce alla gestione dell’intero ciclo di vita di ogni applicazione utilizzata in un’azienda. Esse includono l’installazione, l’eliminazione e l’aggiornamento sui dispositivi aziendali e personali utilizzati nell’azienda, insieme alla gestione delle licenze, dei permessi e della configurazione delle applicazioni.
I metodi MAM comprendono anche la definizione di politiche per le applicazioni, che includono limitazioni relative alle applicazioni stesse e ai dati memorizzati sulle stesse.
BYOD è senza dubbio la politica più nota in questo elenco e il modello di distribuzione più popolare per le aziende. In base a una politica BYOD, i collaboratori portano i propri dispositivi personali in ufficio e come detto prima lo utilizzano per compiti legati al lavoro.
Dopo che il dispositivo è stato approvato, l’azienda deve quindi installare un agente o applicazione che consente loro di gestire la sicurezza del dispositivo.
Talvolta, questa politica non viene ben vista in quanto non si può esigere al collaboratore di mettere il proprio dispositivo a completa disposizione dell’azienda in quanto questa prassi a livello GDPR viene vista come un invasione di campo dell’azienda sul dispositivo di proprietà del collaboratore.
Con un modello BYOD in atto, i collaboratori sono pienamente responsabili quindi della sicurezza del dispositivo per quanto riguarda la perdita o furto del medesimo. Ciò include anche evitare le reti Wi-Fi pubbliche e non portare programmi e applicazioni dannosi sul dispositivo.
In pratica, la sicurezza del dispositivo stesso è in definitiva nelle mani dell’utente, e può essere difficile per le aziende applicare le politiche di sicurezza. Ecco perché una soluzione di gestione dei dispositivi è così importante per le imprese, in particolare per le organizzazioni compatibili con il BYOD.
Tuttavia, una politica BYOD di successo può essere la soluzione più conveniente per le aziende e allo stesso tempo più soddisfacente per i collaboratori. Pertanto consentire loro di utilizzare quei dispositivi per attività lavorative può portare ad una maggiore produttività. Inoltre, poiché il dispositivo è di loro proprietà, i dipendenti pagheranno anche per il piano mobile erogando un risparmio per l’azienda.
CYOD e le differenze con le altre politiche mobili
CYOD (Choose Your Own Device) offre all’azienda un controllo maggiore rispetto a BYOD, perché l’azienda offre una gamma di marche o modelli di smartphone e tablet che i collaboratori scelgono come dispositivo di lavoro e personale. Alcune aziende considerano la politica CYOD un’opzione praticabile per offrire flessibilità ai dipendenti. Il team IT può bloccare e gestire completamente il dispositivo, pur consentendo anche l’utilizzo personale.
Con un modello CYOD, l’IT può applicare determinate politiche di sicurezza sul dispositivo. Le restrizioni tipiche includono requisiti di password complesse e approvazione dal IT per installazioni di applicazioni, filtraggio dei contenuti e tracciamento GPS. Quindi questa politica consente la gestione, la supervisione e l’aggiornamento da remoto dei dispositivi.
Con le politiche CYOD, un’azienda fornirà a scelta una serie di dispositivi mobili previamente approvati ai collaboratori consentendo loro di adottarne un tipo. Questi dispositivi sono in genere configurati con protocolli di sicurezza e applicazioni aziendali prima che vengano offerti ai collaboratori. A seconda della politica CYOD, l’utente potrebbe possedere il dispositivo dopo averlo selezionato e pagarlo in anticipo o l’azienda potrebbe offrire ai dipendenti un bonus per coprire i costi mantenendo la proprietà del medesimo.
La politica CYOD è spesso vista come una via di mezzo tra BYOD e altre politiche, poiché garantisce ancora ai dipendenti un certo grado di libertà nella scelta del proprio dispositivo. Dal momento che l’azienda sceglie quali tipi di dispositivi verranno distribuiti, si possono mantenere le compatibilità dei dispositivi e installare le funzionalità di sicurezza necessarie prima che i dipendenti inizino ad utilizzarli. Ciò può aiutare tutti a garantire la protezione dei dati contenuti all’interno.
Una panoramica sulla tecnologia CYOD
Come detto prima in se CYOD è simile a BYOD, esso consente ai dipendenti di lavorare da qualsiasi luogo utilizzando un dispositivo mobile. Tuttavia, a differenza di BYOD in cui l’utente può utilizzare qualsiasi dispositivo, i dispositivi CYOD devono essere approvati dall’azienda.
Nella maggior parte dei casi, l’organizzazione fornisce il dispositivo mobile e il dipendente sceglie da un elenco di dispositivi approvati. L’azienda acquista il dispositivo e lo gestisce. Mentre l’utente finale ha la flessibilità di utilizzare il dispositivo mobile ovunque, l’organizzazione ne possiede effettivamente la proprietà ed il controllo del dispositivo, questo garantisce all’azienda da e dove si connette e prende governo sulle VPN o sistemi di connessione all’azienda.
Le reti CYOD forniscono maggiore stabilità e sicurezza, e offrono al personale IT un maggiore controllo sui dispositivi nella rete. L’accesso ad applicazioni, dati e funzioni può essere limitato e con meno dispositivi approvati nella rete, il supporto diventa semplice e veloce.
La politica CYOD è particolarmente utile per le aziende che si occupano di temi sensibili. Con la possibilità di installare e gestire la sicurezza sul dispositivo, i dati aziendali sono privi di malware e minacce hacking e se un dispositivo viene perso o rubato, i dati aziendali non cadono in mani indesiderate.
Le organizzazioni dovrebbero considerare diversi aspetti prima di scegliere tra politiche BYOD e CYOD. I budget IT ridotti e le infrastrutture deboli tendono per richiedere una politica BYOD, mentre requisiti di sicurezza più elevati prediligono una politica CYOD.
In cosa dovrebbe consistere una politica CYOD
La propria politica CYOD deve definire il tipo di dispositivo che deve essere utilizzato. Il tipo di dispositivo può essere qualsiasi cosa, da smartphone, tablet, laptop o altri dispositivi. L’azienda deve definire quale dispositivo si deve utilizzare, la parte che paga il dispositivo e la parte che paga i piani di connettività mensili.
La scelta del dispositivo può rientrare ovunque tra un ampia gamma dove “tutto è concesso” a un insieme controllato di scelte con severi requisiti hardware.
Un altro elemento che deve essere inserito a tutti i costi nella politica CYOD è la rappresentanza esplicita del responsabile per la gestione e il supporto dei dispositivi citati nelle policy. Le capacità di gestione e supporto possono essere minimaliste (gestione e supporto minimo) o massimaliste (installazione e gestione con controlli forti).
La propria politica CYOD deve anche menzionare la rete in cui deve essere integrato il dispositivo, le applicazioni che il dispositivo deve eseguire, le restrizioni sulle applicazioni personali e il livello di integrazione (flusso di lavoro quotidiano di base versus elevati requisiti di risorse) richiesto dai dispositivi selezionati.
Mentre un approccio CYOD offre maggiore controllo e sicurezza alle reti, sottopone pure alcune sfide. In primo luogo, le organizzazioni devono fare enormi investimenti iniziali per l’acquisto e la gestione dell’hardware.
Questo è in contrasto con il Cloud computing, dove i costi di ingresso sono normalmente bassi. In secondo luogo, limitare l’utilizzo del dispositivo da parte dei dipendenti può provocare insoddisfazione che a sua volta incide sulla produttività.
In terzo luogo, il tempo di approvazione del tipo di dispositivo è un altro aspetto negativo. Il tempo perso per approvare il tipo di dispositivo potrebbe portare a perderne per strada nuove tecnologie.
Cosa si intende con la tecnologia COPE
CYOD in sé è una versione di COPE e concede agli utenti l’accesso a dispositivi mobili che sono interamente di proprietà dell’azienda. L’azienda manterrà la piena proprietà del dispositivo mobile e ne pagherà i costi operativi.
Tuttavia, il dispositivo con cui lavora l’utente può essere personalizzato e si possono scaricare applicazioni non correlate al lavoro e personalizzate le interfaccia a loro gradimento.
Le aziende hanno un controllo maggiore dei dispositivi in base a una politica COPE. Non rinunciano alla proprietà dei dispositivi mobili e possono configurarli prima della consegna per la manutenzione automatica del dispositivo e la sicurezza dei dati.
Ciò significa che i dispositivi gestiti da una politica COPE sono più semplici per proteggere i dati, poiché l’azienda può bloccarli in modo efficace e in anticipo. Significa anche che l’utente ha il minimo grado di libertà nella selezione di un dispositivo adatto alle loro esigenze, e questo potrebbero generare malcontento tra la forza lavoro.
Inoltre, la politica COPE può essere costosa per l’azienda perché l’azienda è responsabile per intero dei costi.
La policy COBO e quando ha senso applicarla
COBO è la policy più restrittiva per tablet, smartphone o altri tipi di dispositivi. L’azienda possiede e controlla per intero l’uso del dispositivo. In base a una policy COBO, il dispositivo di proprietà dell’azienda funziona esclusivamente per le applicazioni delle aziende. Questi dispositivi potrebbero essere condivisi da più dipendenti. Per questo motivo, le policy COBO sono tipiche per i collaboratori che attuano consegne e lavorano presso i magazzini.
La policy COBO è adatta quando più utenti accedono ad un unico dispositivo, e quindi non ha senso che queste persone lo utilizzino per memorizzare informazioni personali o installare applicazioni personali.
La policy COBO è semplicemente restrittiva. Un dispositivo che solo esegue una singola applicazione, come un sistema di inventario che include uno scanner di codici a barre integrato, potrebbe essere indicato come candidato ad essere COBO.
Come scegliere tra BYOD, CYOD, COPE e COBO
L’IT ha diverse strategie di implementazione dei dispositivi mobili tra cui scegliere da BYOD, CYOD, COPE e COBO.
La strategia deve concentrarsi sulla sicurezza e protezione della rete e dei dati.
Prendere in considerazione i requisiti di conformità pertinenti e quale approccio fornisce migliore tutele per l’azienda è sempre l’obbiettivo finale.
L’allontanamento dalla politica BYOD non è sempre la risposta ai problemi di sicurezza che le aziende possono avere.
Pro e contro di BYOD e COPE
Ai dipendenti piace la possibilità di avere un unico dispositivo per uso personale e lavorativo. Questa configurazione è più conveniente piuttosto che avere due smartphone da portarsi presso. Le politiche BYOD e COPE favoriscono i collaboratori perché queste strategie forniscono un unico dispositivo da utilizzare per tutte le attività.
Di solito è meglio sollevare i collaboratori dalle preoccupazioni sulla privacy quando hanno dispositivi mobili aziendali per uso personale. Il team IT probabilmente implementerà sistemi di tutela MDM o MAM per proteggere i dati aziendali. Con questo approccio, i dipendenti godono di maggiore libertà e sicurezza dei dati personali e non corrono il rischio di intromissioni esterne.
L’azienda potrebbe coinvolgere i dipendenti sul costo dei dispositivi mobili BYOD o COPE evidenziando l’aumento dei costi di servizio come anche l’aumento della larghezza di banda o dei dati utilizzati sul proprio piano tariffario, coprendo in parte il proprio utilizzo per lavoro e personale.
I dipendenti potrebbero aspettarsi anche che la loro azienda fornisca supporto finanziario o incentivi per le tariffe dei dispositivi.
Senza sostegno finanziario, BYOD e COPE perdono fascino tra i collaboratori, d’altro canto una politica COPE e COBO significa che il dispositivo e il suo utilizzo sono interamente di proprietà e pagati dal datore di lavoro.
Qual è il modello più adatto
Quando si tratta di determinare quale sarà la politica aziendale da attuare, è necessario considerare i vantaggi e svantaggi che ognuna porta, sia all’azienda che ai dipendenti.
È da capire se l’azienda desidera dare priorità alla soddisfazione e alla produttività dei collaboratori o alla sicurezza del dispositivo e alla protezione dei dati.
Si potrebbe trovare un compromesso tra queste due idee per tentare di accontentare le parti.
Il modo migliore per evitare di cadere negli inconvenienti della politica che si sceglie è quella di personalizzarla. L’azienda di solito ha pieno controllo per progettare il suo modello di mobilità attorno alle caratteristiche desiderate, trovando il giusto equilibrio tra controllo e libertà.
Un altro fattore da considerare è che BYOD, CYOD e COPE non sono gli unici modelli in circolazione. Esiste anche CLEO, dove i collaboratori possiedono la proprietà del dispositivo ma l’azienda è responsabile dei costi di servizio. Quest’ultima si presenta anche come un’opzione valida da poter esaminare come soluzioni di mobilità.
Il modello adatto è semplicemente il vostro, quello studiato ed elaborato considerando tutti i modelli e le politiche esistenti. Creare una propria politica in base alle politiche già esistenti darà all’azienda un look di propria personalità in tema di connettività per la mobilità.
