Secondo Gartner, i dipendenti aziendali si stanno avvicinando sempre più ai servizi cloud e abituandosi a introdurre nelle reti aziendali i loro dispositivi personali, alimentando così il trend che va sotto il nome di Byod (Bring Your Own Device) e sollevando non poche criticità, per i dipartimenti It, in ambito sicurezza e integrazione.
Di fatto, il fenomeno dell’It Consumerization copre essenzialmente due ambiti, a partire da una sempre più diffusa fruibilità applicativa as a service: 1) quello dei device mobili, che porta i responsabili di sicurezza delle aziende alla definizione di nuove politiche per consentire l’utilizzo dei dispositivi (anche quelli privati degli utenti) in azienda; 2) quello del sempre maggiore utilizzo di applicazioni e strumenti nati per il mercato consumer negli ambienti di lavoro (Twitter, Facebook, LinkedIn, YouTube, Dropbox, ecc.) utilizzati dagli utenti per collaborare e condividere, diffondere e promuovere le informazioni aziendali.
L'articolo continua alla pagina seguente
*BRPAGE*
Come affrontare allora queste sfide dalla prospettiva degli staff It, dei CIO e dei responsabili della sicurezza? Quali sono le tecnologie di supporto che consentono di mantenere il controllo sui dati, le applicazioni e i servizi It pur lasciando liberi gli utenti di utilizzare strumenti e dispositivi di tipo consumer?
Ne abbiamo discusso nel corso di un recente incontro “mattutino” (un modello di incontro che abbiamo battezzato “Breakfast con l’Analista”) organizzato da ZeroUno con la sponsorship di Check Point, al quale è intervenuta Annamaria Di Ruscio, direttore generale e partner di NetConsulting che, delineando un breve scenario di contesto, ha sottolineato la diffusione dei mobile device: “Il 2011 è stato l’anno del sorpasso: in Italia sono stati venduti più smartphone che Pc portatili (5,3 milioni di unità vendute per i primi contro i 4,5 milioni di Pc portatili). Ed è crescita forte anche per i tablet (900 mila tablet venduti, in Italia, solo nel 2011). Sono molti gli studi di analisti e aziende dell’Ict che stimano una crescita continua del fenomeno: Cisco, per esempio, ipotizza che entro il 2016 i device mobili connessi ad Internet saranno circa 10 miliardi. Gartner prevede che la somma di smartphone e tablet rapportata ai Pc, sempre nel 2016, sarà di 4 a 1. Insomma, un mondo molto diverso rispetto a quello che conosciamo oggi, ma in realtà il trend è già iniziato da tempo e non è arrestabile; basti pensare al numero di device che ognuno di noi già possiede, sia per uso personale sia per fini professionali”.
Ed è proprio qui che si inseriscono le criticità da un punto di vista Ict: “La diffusione dei device mobili in azienda è cresciuta significativamente negli ultimi due anni, con un traffico dati su reti mobili aziendali più che raddoppiato solo tra il 2010 e il 2011 – spiega Di Ruscio -; a spingere per l’utilizzo di questi strumenti è il top management che ne fa ampio uso. Gli impatti? Impennata dei dati che transitano sul mobile; impatto sulle infrastrutture e le architetture It aziendali con problemi di integrazione, governo e gestione dei device; differenti modalità di erogazione dei servizi It; protezione dei dati aziendali e problematiche di sicurezza. Se poi queste criticità devono fare i conti anche con il fatto che i device non rientrano negli asset dell’azienda ma sono di proprietà degli utenti, le cose si complicano”.
“Per noi oggi il problema è proprio regolamentare il Byod in base alle normative vigenti, soprattutto in termini di compliance alle leggi sulla privacy”, osserva, per esempio, Marco Godi, Security Architectures di Ubis-Unicredit. “Bisognerebbe riuscire a trovare un bilanciamento tra legislazione e utilizzo personale dei device in ambito aziendale che consenta alle aziende di beneficiare dei vantaggi legati alla mobility ma che, al tempo stesso, non porti nuova complessità tecnologica e organizzativa”.
Le sfide in ambito sicurezza
Stefano Uberti Foppa, direttore di ZeroUno (nella foto a sinistra, al tavolo dei relatori con Annamaria Di Ruscio, direttore generale e partner di NetConsulting, e Rodolfo Falcone, country manager di Check Point Italia), moderando la discussione durante la tavola rotonda, aggiunge alcune riflessioni che emergono dai risultati di una recente indagine condotta da Dimensional Research e sponsorizzata da Check Point (realizzata a gennaio di quest’anno su un panel di 768 rispondenti in Canada, Usa, Uk, Germania e Giappone – ndr): “L’89% delle persone intervistate dispone di device mobili quali smartphone o tablet connessi alle rispettive reti aziendali. Il dato è interessante se lo si collega ad alcune considerazioni che gli stessi intervistati hanno rilasciato: sugli aspetti di sicurezza, per esempio, ben il 64% dei rispondenti sostiene che si sia verificata una crescita delle minacce negli ultimi due anni (in stretta relazione con la crescita dell’utilizzo dei device mobili in azienda); il 71% di questi, per altro, sostiene proprio che le criticità maggiori in termini di sicurezza siano strettamente correlate all’utilizzo di questi strumenti per il proprio lavoro”.
“A mio avviso – interviene Paolo Manzoni, Cio di A2A – le criticità nascono dall’utilizzo dei dispositivi personali per le attività lavorative; sugli strumenti aziendali messi a disposizione dell’utente, il problema non sussiste: questi rientrano negli asset dell’azienda e, come tali, sono gestiti e governati in tutto il loro ciclo di vita secondo tutte le policy e le strategie decise dall’organizzazione (modalità di utilizzo, accesso ai dati, alle applicazioni e ai servizi It, aggiornamenti, ecc.). Quando il dispositivo invece è di proprietà dell’utente si innescano problematiche di varia natura: prima di tutto la sicurezza. Chi si assume la responsabilità quando, per esempio, un utente perde il suo smartphone tramite il quale accedeva ai sistemi e ai dati aziendali? Ma senza arrivare al caso limite, come governiamo la sicurezza imponendo il rispetto delle regole ziendali su sistemi e attrezzature che non sono dell’azienda?”.
“Responsabilizzando gli utenti – prova a rispondere Rodolfo Falcone, country manager di Check Point Italia -. Le tecnologie di sicurezza, di fatto, rappresentano solo uno degli anelli di una security strategy. A nostro avviso, per altro, sono l’anello finale. Prima vengono Policy e People, che significa definire a priori delle regole, anche molto rigorose, a tutela dell’azienda e intervenire con la giusta formazione alle persone, in modo che capiscano le esigenze di business e utilizzino consapevolmente i propri device anche per svolgere le proprie funzioni lavorative”.
Ma le opportunità non mancano
Accanto alle criticità e ai problemi di sicurezza e integrazione, fortunatamente, emergono anche le opportunità: “La maggior parte delle aziende, da alcune nostre dirette analisi, vede nell’It Consumerization e nella mobility vantaggi che vanno nell’ordine dell’incremento della produttività e dell’efficienza, la maggiore e migliore condivisione delle esperienze e conoscenza a livello aziendale, uno stimolo alla creatività e all’innovazione e, non da ultimo, il miglioramento della relazione con i clienti”, osserva Di Ruscio.
Certo, concordano le persone intervenute al nostro incontro, l’It consumerization, “che non si riduce al solo mondo mobile ma si allarga ai fenomeni del social networking e all’utilizzo di sistemi e applicazioni di uso comune ormai nel mondo consumer ma che stanno entrando sempre più spesso a supporto delle attività lavorative – osserva Uberti Foppa – va gestita”.
Massimo Iadarola, Information Security manager di Sia porta ad esempio la scelta della sua azienda: “Abbiamo introdotto da tempo l’utilizzo del BlackBerry, a vari livelli aziendali, optando per questa soluzione proprio perché fornisce sistemi di gestione e controllo che consentono all’azienda di trarre tutti i vantaggi della mobilità senza aumentarne i rischi. Sono convinto che si stia parlando di un trend che non può essere arrestato: il rischio più grande è di esserne travolti (perdendo il controllo sulla sicurezza ma al tempo stesso perdendo l’opportunità di coglierne i vantaggi); tuttavia, serve, come sempre, una strategia delineata a vari livelli, dalla definizione delle regole fino all’utilizzo stesso della tecnologia”.
Concludendo, Di Ruscio elenca alcuni degli step fondamentali che potrebbero venire in aiuto alle aziende: “Gestire l’It Consumerization richiede di: definire quali device (tipologie, Os) ammettere in azienda; definire policy per tipologia di utente e ruolo; identificare quali applicazioni rendere fruibili sui dispositivi mobili; stabilire regole di accesso alla rete; scegliere soluzioni di sicurezza adeguate; coinvolgere e formare gli utenti”.
