Dalla falla di WhatsApp alla sicurezza delle informazioni aziendali: focus sul BYOD

E’ notizia di ieri la scoperta e il repentino bug fixing di una falla in WhatsApp, il popolare servizio di messaggistica istantanea. Per coloro che hanno aggiornato la versione web dell’app in questa ultima settimana, non c’è niente da temere: il problema è stato risolto e i dati di 200 milioni di utenti non sono più a rischio.
Una vulnerabilità nella gestione dei contatti inviati nel formato vCard (biglietti da visita virtuali) consentiva agli hacker di inviare vCard apparentemente sicuri, distribuire codice malevolo e entrare in possesso dei numeri telefonici presenti nella rubrica del dispositivo e altre informazioni.

Questa notizia riapre il dibattito sull’opportunità per le aziende di abbracciare il BYOD (acronimo per Bring You Own Device) ovvero l’utilizzo per scopi lavorativi dei dispositivi tecnologici di proprietà dei dipendenti; nel recentissimo caso appena citato, infatti, oltre al danno subito dal possessore del dispositivo “infettato”, potrebbero configurarsi anche problemi per l’azienda, nel caso in cui l’ambito privato e lavorativo siano condivisi.

Il BYOD è una tendenza che va sempre più diffondendosi nelle aziende, e non deve essere guardata con sospetto, a patto che sia utilizzata con intelligenza. Il BYOD infatti può essere utile in un’ottica di risparmio e di produttività del lavoratore ma deve essere regolamentato sia per evitare i rischi (in caso di uso improprio a danno dell’azienda, o come sopra, in caso di intrusioni), ma anche per tutelare la privacy del lavoratore e i suoi orari di lavoro.

Sempre più aziende richiedono consulenze per la stesura di policy aziendali ovvero accorgimenti volti a sfruttarne i vantaggi del BYOD (in termini di risparmi e aumentata produttività del lavoratore) limitando le possibilità di uso improprio del terminale.
Un accorgimento importate è quello di definire una distinzione tra uso professionale e personale: a seconda della tipologia di lavoro e di informazioni trattate, può essere utile creare nel dispositivo due ambienti separati, uno personale e l’altro aziendale.
Altrettanta attenzione deve essere posta alle normative sulla privacy che regolano la possibilità di controllo e acquisizione di informazioni direttamente dai dispositivi dei dipendenti.