Credit: Klaus Vedfelt/DigitalVision/GettyMolti di noi hanno rinunciato all’idea di portarsi dietro un telefono di lavoro dedicato. Dopo tutto, perché preoccuparsi quando si può ottenere tutto ciò di cui si ha bisogno sul proprio smartphone personale?
Ecco una ragione: il tuo account di lavoro potrebbe spiarti in background.
Quando aggiungi un indirizzo e-mail di lavoro al tuo telefono, probabilmente ti verrà chiesto di installare qualcosa chiamato profilo MDM (Mobile Device Management). È probabile che accetterai ciecamente. (L’MDM è impostato dal dipartimento IT della tua azienda per entrare nel tuo telefono in background, permettendo loro di assicurarsi che il tuo dispositivo sia sicuro, sapere dove si trova e cancellare a distanza i tuoi dati se il telefono viene rubato.
Dalla prospettiva della tua azienda, ci sono ovvie ragioni di sicurezza per installare un MDM sul telefono di un dipendente. Ma per i dipendenti, è difficile dire cosa questi profili invisibili stanno raccogliendo dietro le quinte, in quanto forniscono alle persone della tua azienda un controllo invisibile sul tuo dispositivo. Ecco perché quando si tratta del tuo telefono, non importa quanto ti fidi del tuo dipartimento IT, è una buona idea tenere separati il lavoro e il piacere.
I profiliDM, abbinati agli strumenti di gestione dei dispositivi, consentono alle aziende di monitorare i telefoni dei dipendenti in un unico cruscotto. Possono mitigare le violazioni della sicurezza o i potenziali danni di un dipendente disonesto; se lavori per uno studio legale, ad esempio, e il tuo capo teme che tu stia facendo trapelare e-mail sensibili dal tuo smartphone, potrebbe cancellare i tuoi dati da remoto. I profili MDM possono anche costringerti a usare una lunga password sul tuo dispositivo, piuttosto che un semplice PIN, tra le altre politiche.
Fino a quando l’iPhone ha debuttato oltre un decennio fa e ha portato gli smartphone alle masse, era pratica comune per le aziende distribuire un BlackBerry o un Palm Pilot aziendale, permettendo ai loro dipendenti di controllare le e-mail in movimento, e fare più lavoro.
Quando è arrivato l’iPhone, i dipendenti hanno improvvisamente voluto usare i loro nuovi telefoni intelligenti in ufficio, non quelli ingombranti, forniti dal lavoro con la tastiera fisica. Aggiungevano le loro email di lavoro al loro smartphone se potevano, o escogitavano subdoli workaround per accedervi.
La funzionalità DM esisteva già prima di questo cambiamento, ma con il boom degli smartphone, è diventata una parte fondamentale della politica IT. Le aziende erano felici di permettere ai dipendenti di accedere alle loro e-mail sui propri dispositivi, risparmiando il costo dell’acquisto di telefoni di lavoro separati e piani di dati, ma significava anche che gli individui che accettavano l’accordo perdevano il controllo sui loro dati sensibili.
Questi strumenti presuppongono ciecamente che il dipartimento IT e la gestione siano degni di fiducia e infallibili, e sembrano non considerare se un abusatore potrebbe avere accesso diretto a loro.
In molti casi, MDM dà alle aziende la possibilità di tracciare la tua posizione e installare una VPN aziendale. Questo significa che possono instradare il tuo traffico attraverso una rete di proprietà dell’azienda – e se possiedono quella rete, l’azienda può monitorare il traffico su di essa, fornendo uno specchio a senso unico nella tua vita, senza alcun modo di tornare indietro.
Alcuni strumenti MDM di terze parti mettono in relazione tutto questo con la produttività dei lavoratori. Hexnode, per esempio, commercializza il suo strumento dicendo che “le prestazioni dei dipendenti possono essere valutate monitorando il rapporto di localizzazione di questi dispositivi” e che “la durata del tempo trascorso in una particolare posizione dà un’idea generale sulle loro prestazioni”. Suona familiare?
Tecnicamente, iOS e Android non consentono il monitoraggio dei dati di localizzazione senza il consenso dell’utente. Ma soluzioni di terze parti possono aggirare questo punto costringendoti a installare un’app che esegue il tracciamento stesso quando aggiungi un indirizzo email aziendale al tuo dispositivo.
Questi strumenti spesso permettono agli amministratori di curiosare anche su come viene usato il telefono, recuperando i registri delle chiamate, la cronologia degli SMS e, nei casi più estremi, i log completi della navigazione web. Ci si potrebbe ragionevolmente aspettare questo tipo di monitoraggio su un dispositivo di lavoro dedicato, ma forse non sul tuo telefono personale. Una volta che l’e-mail di lavoro e l’MDM sono installati, tuttavia, le due cose sono essenzialmente la stessa cosa.
Ti fidi del tuo amministratore?
Un cattivo attore nel dipartimento IT potrebbe abusare del suo accesso per tracciare la posizione dei dipendenti, o sbirciare nella vita privata delle persone senza che loro sappiano mai che sta succedendo. Non c’è essenzialmente alcun modo per voi di vedere chi ha accesso ai vostri dati, o se sono stati visti o meno. Solo l’amministratore ha accesso ai registri che mostrerebbero questo, nonostante si tratti di informazioni su un dispositivo di vostra proprietà.
L’anno scorso, il New York Times ha scritto su come l’internet delle cose ha permesso gli abusi domestici, e ci sono molti paralleli nella scarsa considerazione che gli strumenti informatici aziendali danno alla sicurezza degli utenti sottoposti alla loro sorveglianza. Probabilmente capite che il vostro capo può accedere alla vostra email – anche se solo per un motivo reale – ma che ne dite di tracciare ogni vostra mossa, su richiesta?
Questi strumenti presuppongono ciecamente che il dipartimento IT e la direzione siano degni di fiducia e infallibili, e sembrano non considerare se un abusatore potrebbe avere accesso diretto ad essi, o come questi strumenti possano essere utilizzati per molestare qualcuno all’interno dell’azienda.
Così, è una buona idea fermarsi mentre si sta aggiungendo una e-mail di lavoro al proprio dispositivo, e viene richiesto l’installazione di un profilo MDM. Come puoi essere sicuro che ci siano controlli adeguati per impedire a qualcuno di sfruttare l’accesso al tuo dispositivo?
Su Android, ci sono strumenti che aiutano a impedire all’IT di raggiungere il tuo telefono. Se è permesso dal tuo amministratore, puoi creare un profilo “lavoro” separato che contiene versioni sandboxed delle tue applicazioni per evitare di confondere la linea tra personale e lavoro. Il profilo di lavoro può quindi essere disabilitato su richiesta e riacceso solo quando ne avete bisogno, fornendo un livello di controllo che iOS non consente ancora.
Per gli utenti iOS, se un’app deve essere installata con la vostra email di lavoro, disattivate l’accesso alla posizione nelle impostazioni per tagliarla fuori dal GPS, o considerate l’aggiunta di una “restrizione” tramite il controllo parentale che non permetta di avviarla in primo luogo.
Personalmente, preferirei tenere il lavoro fuori dal mio telefono personale. La cosa più potente che puoi fare per proteggerti in primo luogo potrebbe significare tenere la tua email di lavoro fuori dal tuo telefono e richiederne uno fornito dal lavoro. Almeno al giorno d’oggi non sarà un Palm Pilot.