Privacy: pubblicate le linee guida per i dispositivi mobili

Smartphone, tablet, notebook: “questa privacy s’ha da fare”

Sono state pubblicate interessanti linee guida europee per la protezione dei dati personali sui dispositivi mobili in vista del nuovo Regolamento Europeo Privacy.

Le indicazioni fornite riguardano dispositivi mobili cellulari, smartphone, tablet, laptop e netbook, vale a dire tutti i dispositivi che consentono al personale di lavorare in mobilità, così come i dispositivi di memorizzazione come hard disk esterni e unità flash USB forniti dalle organizzazioni e quelle di proprietà dei lavoratori se utilizzate per scopi professionali.

Il principio di base è che il trattamento tramite dispositivi mobili deve soddisfare gli stessi requisiti e principi operazioni di trattamento nell’ambiente ‘tradizionale’ del desktop.

Ma quali sono i più rilevanti rischi per i dati personali connessi all’uso di dispositivi mobili?
Ci accorgeremo dall’elenco sotto riportato che si tratta di rischi non cosi’ trascurabili:

  • perdita accidentale
  • alterazione o distruzione a causa di un accesso non autorizzato
  • perdita a causa di un accesso non autorizzato ai dati con conseguenti danni di carattere reputazionale o finanziario
  • illecito rilevamento della posizione geografica dell’utente da parte di potenziali aggressori
  • furto di identità attraverso la compromissione di credenziali (username, password, certificati) memorizzati sui dispositivi mobili.

Ma da dove nascono tali rischi? Quali situazioni possono generare quanto sopra descritto? Ecco alcuni possibili “minacce” a cui prestare attenzione:

  • utilizzo di applicazioni mobili e / o dispositivi mobili che, in violazione di legge, raccolgono e trattano dei dati personali (es: posizione geografica degli utenti senza il loro consenso, analisi del testo di messaggi ai fini di profilazione commerciale, etc);
  • personalizzazione da parte dei produttori di dispositivi e sviluppatori del sistema operativo, che portano a configurazioni e caratteristiche soggette ad un blocco (Es: impossibilita’ a disattivare sensori GPS);
  • sfruttamento intenzionale da parte di hacker della vulnerabilità per re-indirizzare i dati personali (Es: un file PDF infetto viene inviato all’utente di un dispositivo mobile con l’obiettivo di compromettere il dispositivo per leggere le email dell’utente);
  • perdita accidentale o furto del dispositivo mobile;
  • manomissione fisica del dispositivo per accedere alle informazioni o per l’installazione di malware (es. il dispositivo mobile è lasciato incustodito in un albergo o sala riunioni consentendo a soggetti estranei di interagire fisicamente con il dispositivo e installare / modificare le applicazioni contenute o alterarle);
  • abuso (es. a causa di una configurazione errata l’utente è in grado di disattivare il firewall installato pur contravvenendo al contenuto della politica dell’organizzazione in merito);
  • errore umano (Es: l’utente ignora un avviso di protezione fornito da un dispositivo mobile e il dispositivo viene infettato da malware).

Appare evidente come sia fondamentale, prima di dotare la propria organizzazione di dispositivi mobili, una valutazione dei rischi (o delle minacce esistenti) ed un adeguato piano di “prevenzione” di tali rischi che per esempio preveda l’adozione di procedure interne periodicamente aggiornate e condivise per la gestione dei dispositivi in sicurezza.
E’ opportuno anche prevedere un piano di formazione e aggiornamento mirato che contempli alcuni aspetti non generici ma specifici. Eccoli di seguito:

  • conseguenze relative al cattivo uso delle risorse mobili;
  • informazioni e dati personali che e’ consentito memorizzare e trasferire ai dispositivi mobili;
  • tipo e versione dei dispositivi mobili e sistemi operativi approvati;
  • applicazioni autorizzate per essere installate e utilizzate;
  • uso dei servizi cloud;
  • restituzione e smaltimento;
  • responsabilità dell’utente e dell’organizzazione;
  • monitoraggio dell’uso di dispositivi mobili da parte dell’azienda, dei dati personali che l’utente può raccogliere ed elaborare tramite il suo dispositivo mobile.

L’organizzazione dovra’ anche mantenere un inventario dei dispositivi mobili che comprenda per ogni dispositivo, almeno: identificazione del dispositivo e, se del caso, l’identificazione di SIM; stato del dispositivo (ad es: nuovo, in manutenzione, assegnato, da smaltire …); utente a cui il dispositivo è allocato, con inizio e fine assegnazione; proprietà.
È importante inoltre non solo regolamentare la gestione dell’assegnazione e dell’utilizzo dei dispositivi ma anche il fine vita degli stessi il cui smaltimento deve assicurare, in particolare, che tutti i dati personali vengono rimossi.

Ma come garantire che i criteri di sicurezza siano applicati ai dispositivi?

L’approfondimento nella prossima news.