Governance del BYOD secondo ISO 27001, NIS2, DORA e GDPR
L’iPad smarrito alle 8:12
Alle 8:12, lo schermo di Sarah si illuminò con un normale ticket di supporto: “iPad smarrito, Direttore vendite”.
Sarah era la CISO di una fintech in rapida crescita e capì subito che non si trattava di un ordinario problema di asset. Il Direttore vendite usava intensamente il proprio iPad personale. Accedeva a record CRM, e-mail, elenchi sensibili di prospect clienti, spazi di collaborazione e dashboard della pipeline dei pagamenti da camere d’albergo, lounge aeroportuali e sedi dei clienti.
Nel giro di pochi minuti, la situazione peggiorò. Il dispositivo non era registrato nella soluzione di gestione dei dispositivi mobili. Non vi era conferma che fosse cifrato. Non era disponibile alcuna capacità di cancellazione remota. Esistevano regole di accesso condizionale, ma al Direttore vendite era stata concessa un’eccezione mesi prima perché era “sempre in viaggio”. Il team privacy non riusciva a confermare quali dati dei clienti fossero stati memorizzati localmente nella cache. Il Responsabile Compliance inoltrò un nuovo messaggio dell’auditor esterno: “Fornire evidenze che i dispositivi mobili personali che accedono ai dati dei clienti siano governati, monitorati, cifrati e rimovibili dal servizio in caso di compromissione”.
L’iPad smarrito non era la vera esplosione. Era il colpo di avvertimento.
Questo è il problema della governance dei dispositivi mobili e del BYOD nel 2026. Telefoni e tablet personali non sono più semplici comodità per i dipendenti. Sono endpoint aziendali, fattori di identità, archivi di dati, strumenti di approvazione dei pagamenti, supporti per l’accesso privilegiato e canali di segnalazione degli incidenti. Un singolo dispositivo personale può contenere un’app di autenticazione per accessi amministrativi, e-mail aziendale con dati personali, file cloud memorizzati nella cache, screenshot di informazioni regolamentate, sessioni browser attive verso console SaaS e token di accesso per strumenti operativi.
Per CISO, Responsabili Compliance e consigli di amministrazione, la domanda non è più: “Consentiamo il BYOD?”. La vera domanda è: “Siamo in grado di dimostrare che ogni percorso di accesso mobile è governato, sottoposto a valutazione del rischio, controllato tecnicamente, monitorato e recuperabile?”.
La risposta non dovrebbe richiedere programmi di conformità separati per ISO 27001, NIS2, DORA e GDPR. Un Sistema di gestione della sicurezza delle informazioni ISO/IEC 27001:2022 ISO/IEC 27001:2022 con un campo di applicazione ben definito può assorbire il rischio mobile e BYOD in policy, titolarità degli asset, controllo degli accessi, conformità dei dispositivi, registrazione, risposta agli incidenti, controlli privacy ed evidenze sui fornitori. L’approccio di Clarysec consiste nel costruire tali evidenze una sola volta e riutilizzarle per l’igiene di cybersicurezza NIS2, la gestione dei rischi ICT DORA e la sicurezza del trattamento di GDPR Article 32.
Perché il BYOD è ormai una questione di conformità a livello di consiglio di amministrazione
Il lavoro ibrido ha reso permanente l’accesso mobile. I dirigenti commerciali approvano contratti da iPhone personali. I responsabili finanziari autorizzano pagamenti da tablet. Gli ingegneri usano app di autenticazione sui propri telefoni. I dirigenti viaggiano con la posta aziendale su dispositivi personali perché è comodo. I collaboratori esterni accedono ai ticket da browser mobili. I team di supporto ricevono allerte sugli incidenti tramite app di messaggistica mobile.
Questa flessibilità crea una lacuna di governance quando l’accesso cresce più rapidamente della progettazione delle policy e dei controlli.
NIS2 rende visibile la lacuna a livello di direzione. Article 20 richiede agli organi di gestione di approvare le misure di gestione dei rischi di cybersicurezza, sovrintenderne l’attuazione e ricevere formazione. Article 21 richiede misure tecniche, operative e organizzative appropriate e proporzionate, comprese analisi dei rischi, gestione degli incidenti, continuità operativa, sicurezza della catena di fornitura, acquisizione e manutenzione sicure, valutazione dell’efficacia, igiene di cybersicurezza, crittografia, sicurezza delle risorse umane, controllo degli accessi e gestione degli asset. La governance mobile e BYOD tocca quasi tutti questi temi.
DORA innalza il livello di attenzione per gli enti finanziari. Da gennaio 2025, DORA richiede un quadro documentato per la gestione del rischio ICT, la supervisione dell’organo di gestione, la continuità operativa ICT, la gestione degli incidenti ICT, i test di resilienza operativa digitale e la gestione del rischio ICT di terze parti. Se i dipendenti accedono a funzioni critiche o importanti tramite dispositivi mobili, tali dispositivi fanno parte della superficie di rischio ICT. Anche un fornitore di gestione dei dispositivi mobili o di unified endpoint management può diventare rilevante per le evidenze ICT di terze parti, se protegge l’accesso a operazioni regolamentate.
GDPR aggiunge la prospettiva della responsabilizzazione. Article 5 richiede che i dati personali siano trattati in modo sicuro e impone al titolare del trattamento di dimostrare la conformità. Article 32 richiede misure tecniche e organizzative appropriate, comprese riservatezza, integrità, disponibilità, resilienza e capacità di ripristinare l’accesso ove necessario. In pratica, i revisori privacy formulano domande concrete: chi può accedere ai dati personali da dispositivi mobili? Come viene limitato l’accesso? Cosa accade quando un telefono viene smarrito? I dati aziendali possono essere cancellati senza invadere la sfera privata? I log sono conservati? Sono disponibili evidenze per la valutazione della violazione?
ISO/IEC 27001:2022 fornisce il modello operativo. Le clausole da 4.1 a 4.4 richiedono alle organizzazioni di determinare questioni interne ed esterne, requisiti delle parti interessate, obblighi normativi, campo di applicazione e dipendenze. La clausola 5 richiede leadership, ruoli e responsabilità. La clausola 6 richiede valutazione del rischio e trattamento. Le clausole 8.2 e 8.3 richiedono all’organizzazione di eseguire valutazioni dei rischi per la sicurezza delle informazioni e attuare piani di trattamento del rischio.
Questo significa che il BYOD non può restare confinato in un promemoria IT dimenticato. Deve rientrare nel campo di applicazione del SGSI, dove vengono gestiti obblighi legali, aspettative dei clienti, dipendenze operative e decisioni di trattamento del rischio.
Il cluster di controlli ISO 27001 per la governance mobile e BYOD
Clarysec avvia normalmente la governance mobile con un cluster di tre controlli dell’Appendice A di ISO/IEC 27001:2022, supportato dalle linee guida di attuazione ISO/IEC 27002:2022.
| Tema del controllo | Significato per la governance mobile | Evidenze tipiche |
|---|---|---|
| A.8.1 Dispositivi endpoint degli utenti | Smartphone, tablet e laptop devono essere rafforzati, gestiti e monitorati in funzione del rischio | Report di registrazione MDM, stato della cifratura, conformità alla baseline OS, protezione antimalware, capacità di cancellazione remota |
| A.6.7 Lavoro da remoto | L’accesso fuori sede deve essere governato da policy, criteri di idoneità, accesso sicuro e aspettative sul comportamento degli utenti | Policy di lavoro da remoto, accordo BYOD, regole VPN o di accesso condizionale, registrazioni della formazione |
| A.7.9 Sicurezza degli asset fuori sede | Dispositivi e supporti al di fuori dei locali controllati devono essere protetti fisicamente e tracciati | Inventario degli asset, titolarità assegnata, procedura per dispositivi smarriti, indicazioni per i viaggi, evidenze di cifratura |
In Zenith Controls: The Cross-Compliance Guide Zenith Controls, Clarysec considera questi controlli come reciprocamente rafforzativi. Per i dispositivi endpoint degli utenti, Zenith Controls classifica il controllo A.8.1 come preventivo, a supporto di riservatezza, integrità e disponibilità, mappato al concetto di cybersicurezza Protect e alle capacità operative di gestione degli asset e protezione delle informazioni.
La guida spiega inoltre perché i controlli sui dispositivi endpoint sono collegati direttamente a uso accettabile, lavoro da remoto, limitazione dell’accesso, autenticazione sicura, protezione fisica, obblighi di riservatezza e formazione di sensibilizzazione.
“I dispositivi endpoint sono piattaforme primarie attraverso le quali vengono applicate le policy di uso accettabile.”
Fonte: Zenith Controls, dispositivi endpoint degli utenti, controllo 8.1 Zenith Controls
Per il lavoro da remoto, Zenith Controls mappa A.6.7 ad A.7.9 sicurezza degli asset fuori sede, A.8.1 dispositivi endpoint degli utenti, A.5.1 policy per la sicurezza delle informazioni, A.6.3 consapevolezza, istruzione e formazione sulla sicurezza delle informazioni, A.5.14 trasferimento delle informazioni, A.8.20 sicurezza delle reti, A.8.22 segregazione delle reti, A.7.7 scrivania pulita e schermo bloccato, A.5.29 sicurezza delle informazioni durante le interruzioni e A.5.30 preparazione ICT per la continuità operativa.
Questa mappatura rispecchia il modo in cui si svolgono realmente gli audit. Un auditor non si ferma a: “Avete una policy BYOD?”. Verifica se la policy è applicata, se i dispositivi sono registrati, se l’accesso dipende dalla conformità, se esistono log, se gli utenti sono formati, se gli incidenti relativi a dispositivi smarriti sono gestiti e se le eccezioni sono accettate in base al rischio.
Le fondamenta della policy: dichiarare esplicitamente le regole di governance
Un programma BYOD difendibile inizia da regole esplicite. La libreria di policy di Clarysec fornisce modelli sia per PMI sia per imprese, così le organizzazioni possono scalare i requisiti senza perdere chiarezza in sede di audit.
Per le PMI, la Policy sui dispositivi mobili e sul Bring Your Own Device (BYOD) - PMI Policy sui dispositivi mobili e sul Bring Your Own Device (BYOD) - PMI crea un semplice punto di controllo di governance:
“I dispositivi BYOD personali devono essere approvati dal Direttore generale prima dell’uso.”
Fonte: Policy sui dispositivi mobili e sul Bring Your Own Device (BYOD) - PMI, requisiti di governance, clausola 5.1.1 Policy sui dispositivi mobili e sul Bring Your Own Device (BYOD) - PMI
Questa breve frase chiude una lacuna di audit comune. Impedisce l’accesso silenzioso da dispositivi personali, crea un punto di approvazione e assegna al titolare dell’attività o al Direttore generale un ruolo di governance visibile. Supporta inoltre le clausole ISO 27001 da 5.1 a 5.3, nelle quali l’alta direzione deve dimostrare leadership, comunicare le aspettative e assegnare le responsabilità.
La policy per PMI rende inoltre chiara l’applicazione della baseline:
“I seguenti controlli devono essere applicati su tutti i dispositivi mobili (aziendali e BYOD):”
Fonte: Policy sui dispositivi mobili e sul Bring Your Own Device (BYOD) - PMI, requisiti di governance, clausola 5.2.1 Policy sui dispositivi mobili e sul Bring Your Own Device (BYOD) - PMI
Per organizzazioni regolamentate o di maggiori dimensioni, la Policy sui dispositivi mobili e sul Bring Your Own Device (BYOD) Policy sui dispositivi mobili e sul Bring Your Own Device (BYOD) è più prescrittiva:
“Tutti i dispositivi mobili (aziendali o personali) che accedono alle risorse dell’organizzazione devono essere:
5.1.1 Registrati e iscritti in una piattaforma approvata di gestione dei dispositivi mobili (MDM).
5.1.2 Configurati con controlli tecnici di sicurezza, compresi cifratura e autenticazione obbligatorie.
5.1.3 Monitorati per la conformità alle baseline definite del sistema operativo (OS) e di applicazione delle patch.”
Fonte: Policy sui dispositivi mobili e sul Bring Your Own Device (BYOD), requisiti di governance, clausola 5.1 Policy sui dispositivi mobili e sul Bring Your Own Device (BYOD)
Questo è linguaggio pronto per l’audit. L’auditor può verificare la popolazione dei dispositivi mobili, confrontarla con i log degli accessi, campionare le registrazioni di iscrizione e verificare che cifratura, autenticazione e baseline di patch siano applicate.
Il BYOD richiede anche confini di consenso attenti alla privacy. La policy enterprise stabilisce:
“L’accesso Bring Your Own Device (BYOD) deve essere concesso solo previa accettazione formale dell’accordo di utilizzo Bring Your Own Device (BYOD) dell’organizzazione, che include:
5.2.1 Consenso al monitoraggio dei container aziendali o delle applicazioni gestite
5.2.2 Presa d’atto dei controlli di gestione dei dispositivi mobili (MDM), quali cancellazione remota o blocco
5.2.3 Accordo alla partecipazione volontaria e diritto di recesso”
Fonte: Policy sui dispositivi mobili e sul Bring Your Own Device (BYOD), requisiti di governance, clausola 5.2 Policy sui dispositivi mobili e sul Bring Your Own Device (BYOD)
Questa clausola è centrale per l’allineamento al GDPR. Chiarisce che il monitoraggio si applica ai container aziendali o alle applicazioni gestite, documenta la presa d’atto da parte del dipendente del blocco o della cancellazione remota e preserva il diritto di recesso. Aiuta a separare il legittimo monitoraggio di sicurezza aziendale dalla sorveglianza eccessiva della vita personale.
Dalla policy ai controlli: MDM, container, accesso e log
Una policy diventa governance solo quando viene applicata e supportata da evidenze. La baseline pratica inizia con la registrazione.
“Tutti i dispositivi mobili devono essere registrati in una soluzione di gestione dei dispositivi mobili (MDM) prima di accedere ai sistemi aziendali.”
Fonte: Policy sui dispositivi mobili e sul Bring Your Own Device (BYOD), requisiti di applicazione della policy, clausola 6.1.1 Policy sui dispositivi mobili e sul Bring Your Own Device (BYOD)
Per gli ambienti enterprise, lo stesso livello di attuazione deve applicare cifratura, PIN, passcode o autenticazione biometrica, blocco per inattività, versioni OS supportate, rilevamento di jailbreak o root, baseline di patch e cancellazione o reimaging dopo ripetuti tentativi di accesso non riusciti.
Per il BYOD, la progettazione più adeguata è di norma l’uso di applicazioni gestite o container aziendali, anziché la sorveglianza dell’intero dispositivo. La policy lo recepisce:
“I dati aziendali devono essere archiviati esclusivamente all’interno di container cifrati e gestiti.”
Fonte: Policy sui dispositivi mobili e sul Bring Your Own Device (BYOD), requisiti di applicazione della policy, clausola 6.6.1 Policy sui dispositivi mobili e sul Bring Your Own Device (BYOD)
Questo supporta la minimizzazione dei dati ai sensi del GDPR e la sicurezza del trattamento di Article 32, perché i dati aziendali sono limitati ad aree gestite e le aree personali non sono trattate come repository aziendali. Fornisce anche all’organizzazione una risposta pratica quando un telefono personale viene smarrito: revocare le sessioni, cancellare i dati aziendali, preservare i log e valutare l’esposizione senza eliminare foto, messaggi o applicazioni personali.
L’accesso condizionale collega quindi l’identità al livello di sicurezza del dispositivo. Come minimo, i sistemi sensibili devono richiedere registrazione, MFA, cifratura, OS supportato, blocco dello schermo, assenza di jailbreak o root, accesso tramite applicazioni gestite e restrizioni su download, condivisione degli appunti o acquisizione dello schermo laddove il rischio lo richieda. Questo dà effetto concreto ad A.8.1 dispositivi endpoint degli utenti, A.8.3 limitazione dell’accesso alle informazioni e A.8.5 autenticazione sicura.
La registrazione chiude il ciclo. La policy enterprise richiede:
“I log degli accessi mobili devono essere acquisiti e conservati per almeno 90 giorni, con integrazione alla piattaforma SIEM centrale ove applicabile.”
Fonte: Policy sui dispositivi mobili e sul Bring Your Own Device (BYOD), requisiti di governance, clausola 5.6 Policy sui dispositivi mobili e sul Bring Your Own Device (BYOD)
Per gli ambienti più piccoli, la Policy di registrazione e monitoraggio - PMI Policy di registrazione e monitoraggio - PMI aggiunge un requisito minimo pratico:
“I sistemi BYOD e remoti devono avere la registrazione locale abilitata per gli eventi di autenticazione e le rilevazioni antivirus”
Fonte: Policy di registrazione e monitoraggio - PMI, requisiti di applicazione della policy, clausola 6.3.1 Policy di registrazione e monitoraggio - PMI
Un programma di governance mobile privo di log è difficile da difendere. Un’indagine su un dispositivo smarrito richiede cronologia degli accessi, tentativi non riusciti, stato di conformità del dispositivo, evidenza della revoca delle sessioni e qualsiasi attività DLP o del container pertinente.
Dove si colloca la governance mobile nella roadmap in 30 passaggi
Zenith Blueprint: An Auditor’s 30-Step Roadmap di Clarysec Zenith Blueprint colloca la governance mobile e BYOD in più fasi di attuazione. Non tratta il BYOD come un singolo documento di policy.
Nella fase Controls in Action, Step 16, People Controls II, Zenith Blueprint affronta lavoro da remoto e BYOD:
“L’uso di dispositivi personali (BYOD) deve essere vietato oppure consentito solo a condizioni rigorose, come la registrazione in una soluzione di gestione dei dispositivi mobili (MDM) che supporti la containerizzazione dei dati e la cancellazione remota dei dati aziendali se il dispositivo viene smarrito o se l’utente lascia l’azienda.”
Fonte: Zenith Blueprint, fase Controls in Action, Step 16, People Controls II Zenith Blueprint
Nello Step 19, Technological Controls I, Zenith Blueprint descrive gli endpoint come punto di partenza dell’interazione digitale:
“I dispositivi endpoint degli utenti, laptop, smartphone, tablet, desktop e persino thin client, sono il punto in cui inizia l’interazione digitale. Sono porte e finestre verso i vostri sistemi.”
Fonte: Zenith Blueprint, fase Controls in Action, Step 19, Technological Controls I Zenith Blueprint
Lo Step 18, Physical Controls II, copre la sicurezza degli asset fuori sede. Ciò include dispositivi lasciati in auto, tablet usati in spazi pubblici, laptop imbarcati nel bagaglio e file conservati offline. Il principio è semplice: anche se un dispositivo viene smarrito o rubato, i dati devono restare inaccessibili.
| Fase e step di Zenith Blueprint | Output di governance mobile | Valore per l’audit |
|---|---|---|
| Controls in Action, Step 16 | Condizioni per lavoro da remoto e BYOD | Dimostra policy, idoneità, formazione e aspettative MDM |
| Controls in Action, Step 18 | Protezione degli asset fuori sede | Dimostra assegnazione degli asset, comportamento in viaggio ed evidenze di cifratura |
| Controls in Action, Step 19 | Configurazione sicura e gestione degli endpoint | Dimostra conformità del dispositivo, applicazione delle patch, monitoraggio e accesso condizionale |
Questo approccio a livelli è il modo in cui Sarah è passata dal panico alla governance. Non ha acquistato uno strumento dichiarando risolto il problema. Ha collegato regole sulle persone, comportamenti fisici e applicazione tecnica in un unico sistema verificabile.
Sprint di una settimana per un pacchetto di evidenze BYOD
Un modo pratico per chiudere la lacuna è costruire un pacchetto di evidenze BYOD. È l’insieme di artefatti che un CISO può consegnare a un auditor, a un’autorità di regolamentazione, a un valutatore del cliente o a un comitato del consiglio di amministrazione.
| Giorno | Azione | Evidenze prodotte |
|---|---|---|
| Giorno 1 | Definire il campo di applicazione dell’accesso mobile secondo le clausole ISO 27001 da 4.1 a 4.4 | Inventario dei casi d’uso mobili, requisiti delle parti interessate, sistemi in ambito |
| Giorno 2 | Approvare la regola BYOD e assegnare la titolarità | Policy approvata, RACI, registrazione di approvazione della direzione |
| Giorno 3 | Configurare la baseline tecnica | Esportazione registrazioni MDM, impostazioni di cifratura, baseline OS, regole di autenticazione |
| Giorno 4 | Collegare l’accesso alla conformità del dispositivo | Policy di accesso condizionale, evidenza di blocco dei dispositivi non conformi, elenco delle eccezioni |
| Giorno 5 | Acquisire evidenze di registrazione e incidente | Campione SIEM, log degli accessi mobili, modello di ticket di incidente, workflow per dispositivi smarriti |
| Giorno 6 | Testare la risposta a dispositivo smarrito | Verbali dell’esercitazione tabletop, evidenza di revoca delle sessioni, test di cancellazione remota, note di valutazione della violazione |
| Giorno 7 | Approvare eccezioni e rischio residuo | Registrazione di accettazione del rischio, controlli compensativi, data di scadenza, approvazione del Risk Owner |
Per il Giorno 1, identificare telefoni aziendali, telefoni personali usati per MFA, tablet BYOD che accedono a dashboard, dispositivi mobili dei collaboratori esterni, utenti privilegiati che accedono a console amministrative e qualsiasi accesso mobile a sistemi che trattano dati personali o transazioni finanziarie.
Per il Giorno 6, testare uno scenario realistico: un Direttore vendite segnala che un telefono personale con posta aziendale gestita è stato rubato in aeroporto. La policy per PMI definisce una chiara aspettativa di segnalazione:
“I dispositivi smarriti, rubati o compromessi devono essere segnalati al Direttore generale entro 1 ora”
Fonte: Policy sui dispositivi mobili e sul Bring Your Own Device (BYOD) - PMI, requisiti di applicazione della policy, clausola 6.4.1 Policy sui dispositivi mobili e sul Bring Your Own Device (BYOD) - PMI
L’esercitazione deve verificare se il team è in grado di identificare il dispositivo, revocare le sessioni, cancellare da remoto i dati aziendali, preservare i log, valutare l’esposizione dei dati personali, decidere se sia necessaria un’analisi di violazione ai sensi del GDPR e determinare se possano essere attivate le soglie di segnalazione NIS2 o DORA.
Cross-compliance: un programma mobile, quattro storie di evidenza
Il valore della governance BYOD basata su ISO 27001 è il riuso. Un unico insieme di controlli può generare evidenze per più obblighi, se strutturato correttamente.
| Quadro di riferimento | Domanda mobile e BYOD | Evidenze dall’approccio Clarysec |
|---|---|---|
| ISO/IEC 27001:2022 | I rischi mobili sono identificati, trattati e controllati tramite il SGSI? | Campo di applicazione, valutazione del rischio, Dichiarazione di Applicabilità, approvazione della policy, report MDM, log, registrazioni degli incidenti |
| NIS2 | Sono attuate igiene di cybersicurezza, controllo degli accessi, gestione degli asset, gestione degli incidenti e formazione? | Approvazione del consiglio di amministrazione, policy BYOD, registrazioni della formazione, controlli degli accessi, workflow per dispositivi smarriti, evidenze sui fornitori |
| DORA | I dispositivi mobili fanno parte del rischio ICT, della gestione degli incidenti, dei test di resilienza e della governance delle terze parti? | Registro dei rischi ICT, conformità dei dispositivi, classificazione degli incidenti, evidenze di test, due diligence del fornitore MDM |
| GDPR Article 32 | Le attività di trattamento dei dati personali sono protette con misure tecniche e organizzative appropriate? | Containerizzazione, cifratura, limitazione dell’accesso, registrazione, valutazione della violazione, registrazioni di protezione dei dati fin dalla progettazione |
La stessa logica si applica a livello di controllo.
| Controllo Appendice A ISO/IEC 27001:2022 | Valore di evidenza per NIS2 | Valore di evidenza per DORA | Valore di evidenza per GDPR Article 32 |
|---|---|---|---|
| A.8.1 Dispositivi endpoint degli utenti | Supporta igiene di cybersicurezza, gestione degli asset e policy di controllo degli accessi | Supporta protezione degli asset ICT, monitoraggio degli endpoint e test di resilienza | Supporta cifratura, riservatezza, integrità e accesso sicuro ai dati personali |
| A.6.7 Lavoro da remoto | Supporta accesso remoto sicuro, formazione e aspettative di segnalazione degli incidenti | Supporta procedure del quadro di riferimento per il rischio ICT e gestione degli incidenti di lavoro da remoto | Supporta regole organizzative per il trattamento dei dati personali fuori dai locali controllati |
| A.7.9 Sicurezza degli asset fuori sede | Supporta protezione degli asset, continuità e aspettative di gestione da parte di terze parti | Supporta la mitigazione dei rischi di furto o smarrimento per dispositivi usati da remoto | Supporta la prevenzione di perdita accidentale, distruzione o accesso non autorizzato |
Per NIS2, l’ambito conta. Fornitori di infrastrutture digitali, fornitori cloud, provider di data centre, content delivery network, provider DNS, registri TLD, prestatori di servizi fiduciari, fornitori di comunicazioni elettroniche pubbliche, fornitori B2B di servizi gestiti e fornitori di servizi di sicurezza gestiti possono rientrare nelle categorie di soggetti essenziali o importanti a seconda di dimensione, settore e attuazione nazionale. In questo contesto, l’accesso mobile non gestito a sistemi operativi non è una piccola eccezione IT. È una questione di governance.
Per DORA, il fornitore MDM o UEM può diventare parte delle evidenze sul rischio di terze parti se supporta l’accesso a funzioni critiche o importanti. Le organizzazioni orientate a DORA devono documentare due diligence, livelli di servizio, localizzazioni dei dati, assistenza sugli incidenti, misure di sicurezza, diritti di audit, disposizioni di uscita e partecipazione del fornitore ai test, ove pertinente.
Per GDPR, un telefono personale smarrito non costituisce automaticamente una violazione dei dati personali soggetta a notifica. Diventa una questione seria se i dati aziendali sono accessibili, non cifrati, memorizzati nella cache fuori dai container gestiti o esposti tramite sessioni attive. L’organizzazione deve sapere quali dati erano accessibili, se i controlli hanno impedito l’accesso non autorizzato e se i log supportano la conclusione.
Come gli auditor testeranno la governance BYOD
Un programma maturo deve essere preparato a diversi stili di audit.
| Profilo dell’auditor | Probabile approccio di audit | Evidenze attese |
|---|---|---|
| Auditor ISO 27001 | Tracciare il rischio mobile da contesto, ambito, valutazione del rischio e Dichiarazione di Applicabilità fino ai controlli attuati | Campo di applicazione del SGSI, registrazioni dei rischi mobili, SoA, policy, report di registrazione, regole di accesso, azioni correttive |
| Valutatore NIST CSF | Confrontare profili attuali e target tra risultati GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND e RECOVER | Profilo CSF, piano d’azione prioritizzato, inventario dei dispositivi, monitoraggio, piani di risposta, evidenze di ripristino |
| Auditor COBIT 2019 o ISACA | Concentrarsi su obiettivi di governance, responsabilità, prestazioni, titolarità del rischio ed efficacia dei controlli | Approvazione della direzione, RACI, metriche, registro delle eccezioni, test dei controlli, risoluzione dei rilievi |
| Revisore DORA | Trattare l’accesso mobile come parte del rischio ICT, della gestione degli incidenti, dei test di resilienza e della dipendenza da terze parti | Quadro di riferimento del rischio ICT, classificazione degli incidenti, registrazioni dei test di resilienza, registro dei fornitori MDM, piano di uscita |
| Auditor GDPR o revisore privacy | Valutare se il trattamento mobile dei dati personali è lecito, necessario, protetto e dimostrabile | Confini del consenso BYOD, containerizzazione, DLP, cifratura, log degli accessi, registrazioni di valutazione della violazione |
La checklist di audit di Zenith Blueprint per il lavoro da remoto è diretta: gli auditor verificheranno se la policy è applicata, non semplicemente documentata. Occorre essere pronti a presentare la policy formale, spiegare l’applicazione tecnica come l’uso della VPN, la cifratura degli endpoint o MDM, mostrare registrazioni BYOD o restrizioni, fornire registrazioni della formazione e dimostrare che i dipendenti da remoto comprendono i propri doveri.
NIST CSF 2.0 offre un utile modello complementare. La sua funzione GOVERN richiede che i requisiti di cybersicurezza legali, normativi e contrattuali siano compresi e gestiti, che il rischio di cybersicurezza sia integrato nella gestione del rischio aziendale, che ruoli e autorità siano definiti, che le policy siano stabilite e monitorate e che le prestazioni siano valutate. Per la governance mobile, un profilo target pratico potrebbe affermare: tutti i dispositivi che accedono a dati personali o sistemi critici per l’attività sono registrati, cifrati, conformi, monitorati e rimovibili entro un’ora dalla notifica di compromissione.
Risultanze dell’audit BYOD comuni
Le risultanze di audit sulla governance mobile raramente derivano da un singolo guasto catastrofico. Di solito nascono da piccole eccezioni che non sono mai state chiuse.
Le risultanze comuni includono:
- BYOD consentito nella pratica ma non formalmente approvato
- App di autenticazione trattate come fuori dal campo di applicazione del SGSI
- MDM configurato per dispositivi aziendali ma non per dispositivi personali con accesso aziendale
- Dirigenti esclusi dalle baseline di conformità dei dispositivi
- Accesso condizionale aggirato tramite protocolli legacy o browser non gestiti
- Dispositivi personali che accedono alla posta elettronica senza containerizzazione
- Log mobili conservati in piattaforme SaaS ma non riesaminati né esportati
- Esiste una procedura per dispositivi smarriti, ma il personale non conosce il termine di segnalazione
- Mancanza di linguaggio privacy che spieghi cosa l’azienda può e non può monitorare
- Nessuna evidenza che le eccezioni mobili siano limitate nel tempo e accettate in base al rischio
- Fornitore MDM non incluso nella gestione del rischio ICT di terze parti
- Nessuna esercitazione tabletop per la compromissione mobile
- Nessuna mappatura dai controlli BYOD alle evidenze GDPR Article 32, NIS2 o DORA
Ogni risultanza è risolvibile. Il problema di solito non è la mancanza di strumenti. È la mancanza di titolarità, progettazione delle evidenze e mappatura cross-compliance.
La narrazione per il consiglio di amministrazione
La direzione non ha bisogno di ogni dettaglio di configurazione MDM. Ha bisogno di una chiara narrazione di responsabilità.
Una posizione BYOD solida a livello di consiglio di amministrazione afferma:
- Sappiamo quali dispositivi mobili accedono alle risorse dell’organizzazione.
- Distinguiamo tra accesso da dispositivi aziendali e accesso BYOD.
- Il BYOD è volontario, approvato e disciplinato da accordo.
- I dati aziendali sono cifrati e isolati.
- L’accesso dipende dalla conformità del dispositivo.
- I log sono conservati e riesaminati.
- I dispositivi smarriti o compromessi sono segnalati rapidamente.
- I dati aziendali possono essere cancellati oppure l’accesso può essere revocato.
- I rischi per i dati personali sono valutati ai sensi del GDPR.
- Le eccezioni sono approvate, limitate nel tempo e riesaminate.
Questo collega la governance mobile alla propensione al rischio, alla resilienza operativa, alla responsabilità legale e alla fiducia dei clienti. Fornisce inoltre agli organi di gestione le evidenze necessarie per dimostrare la supervisione ai sensi di NIS2 e DORA.
Come aiuta Clarysec
Il modello di governance mobile e BYOD di Clarysec combina policy, attuazione e mappatura cross-compliance.
In primo luogo, la libreria di policy fornisce alle organizzazioni linguaggio di governance pronto da adattare. La Policy sui dispositivi mobili e sul Bring Your Own Device (BYOD) - PMI è pratica per le imprese più piccole che necessitano di regole chiare di approvazione e segnalazione. La Policy sui dispositivi mobili e sul Bring Your Own Device (BYOD) supporta ambienti regolamentati che richiedono MDM, cifratura, autenticazione, baseline OS, DLP, container, registrazione e accordi BYOD formali.
In secondo luogo, Zenith Blueprint fornisce il percorso di attuazione. Mostra dove collocare la governance mobile nella roadmap di audit in 30 passaggi: lavoro da remoto, sicurezza degli asset fuori sede e controlli sui dispositivi endpoint. Questo evita l’errore comune di trattare il BYOD come un singolo documento anziché come un sistema di controllo vivo.
In terzo luogo, Zenith Controls fornisce la bussola cross-compliance. Collega i controlli dell’Appendice A di ISO/IEC 27001:2022 A.8.1, A.6.7 e A.7.9 ai controlli correlati, agli standard di supporto e alle aspettative di audit. Questa mappatura aiuta i CISO a rispondere alla vera domanda dell’autorità di regolamentazione: dimostrare che la governance mobile è proporzionata, attuata ed efficace.
Prossimi passi: costruire un pacchetto di evidenze BYOD difendibile
Se la tua organizzazione consente accessi mobili o BYOD, non aspettare che un iPad smarrito esponga la lacuna nelle evidenze.
Inizia con una valutazione mirata:
- Elenca ogni percorso di accesso mobile ai dati aziendali e ai sistemi critici.
- Confronta l’accesso effettivo con la Policy sui dispositivi mobili e sul Bring Your Own Device (BYOD) Policy sui dispositivi mobili e sul Bring Your Own Device (BYOD) o con la Policy sui dispositivi mobili e sul Bring Your Own Device (BYOD) - PMI Policy sui dispositivi mobili e sul Bring Your Own Device (BYOD) - PMI.
- Crea una voce di registro dei rischi mobile di una pagina collegata a ISO/IEC 27001:2022 ISO/IEC 27001:2022.
- Usa Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint per attuare controlli su lavoro da remoto, asset fuori sede ed endpoint.
- Usa Zenith Controls: The Cross-Compliance Guide Zenith Controls per mappare le evidenze rispetto alle aspettative NIS2, DORA, GDPR, NIST e COBIT 19.
- Usa la Policy di registrazione e monitoraggio - PMI Policy di registrazione e monitoraggio - PMI per definire aspettative pratiche di registrazione per ambienti più piccoli.
- Esegui un’esercitazione tabletop su dispositivo smarrito e conserva le evidenze.
Clarysec può aiutarti a trasformare l’accesso mobile non gestito in un programma di governance difendibile e verificabile. Scarica le policy, mappa i controlli con Zenith Controls, attua la roadmap con Zenith Blueprint e pianifica una valutazione Clarysec prima che il tuo prossimo auditor ponga la domanda delle 8:12.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
