Da sempre ci sono ombre che si aggirano negli ecosistemi It aziendali. Insieme costituiscono quella che Larry Ponemon, fondatore della società di analisi americana Ponemon Institute, ci ricorda essere quella “Shadow It” che si sviluppa al di fuori del controllo – o con la tolleranza del – dipartimento di Information Technology aziendale. Oggi questo fenomeno è particolarmente evidente in quell’area It che si ricollega all’Unified Communications and Communication (Ucc), cioè l’insieme di strumenti – più o meno sofisticati, multimodali e integrati con le altre parti dell’ambiente tecnologico – che consentono agli utenti di comunicare e collaborare in modo flessibile e rapido fra loro, con i loro colleghi di aziende partner o addirittura con i clienti finali.
Larry Ponemon, fondatore della società di analisi americana Ponemon Institute
Ponemon ricorda l’esistenza di questa Shadow It nel corso di una chiacchierata in cui commenta per i lettori di ZeroUno le principali evidenze dello Studio sulla collaborazione open source: opinioni sulla sicurezza e la privacy negli Stati Uniti e nell’area Emea, condotto in modo indipendente con la sponsorizzazione di Zimbra (già Telligent Systems fino al 2013), uno dei principali fornitori di una piattaforma Ucc a sorgente aperto idonea all’implementazione in architetture client-server e in tutte le declinazioni del modello cloud.
Perché concentrarsi sulla tecnologia open source? Così come sta avvenendo in altri ambiti It, in cui i Cio e i responsabili dello sviluppo applicativo e infrastrutturale si ritrovano oggi a cercare soluzioni in grado di sfruttare nuovi paradigmi architetturali It – in primis il cloud e la mobility – anche in quello della comunicazione e della collaborazione molte delle risposte più aperte, flessibili, innovative e sicure, si trovano nel mondo open source; un settore in cui le software house sviluppano soluzioni che possono essere scaricate gratuitamente e modificate dalle community (grazie al fatto che il sorgente è aperto) oppure acquistate dal vendor o dai suoi rivenditori in distribuzioni basate sulle versioni più recenti, ma stabili del codice e corredate da servizi di implementazione, assistenza e manutenzione. Un esempio di questo tipo è proprio la piattaforma modulare di collaborazione open source Zimbra Collaboration, disponibile sia in versione community (Zimbra Collaboration Open Source Edition) sia open source commerciale (vedi questo articolo).
Una storia che si ripete
Ma facciamo un passo indietro al concetto di Shadow It. Perché questo fenomeno è una costante del mondo It? Qual è la differenza fra il modo in cui si verificava in passato e quello in cui si presenta oggi? Quali rischi comporta, per la sicurezza aziendale e la privacy dei clienti, ragioni per le quali è opportuno che i dipartimenti It assumano prima possibile la governance di queste innovazioni, che partono direttamente da singoli utenti o addirittura intere linee di business (Lob)?
La presenza di un certo margine di applicazioni adottate in modo “clandestino” o al massimo “tollerato” direttamente dagli utenti, senza l’avallo ufficiale da parte dei dipartimenti It, è fisiologico da quando i personal computer hanno debuttato sulle scrivanie aziendali dopo decenni di dominio assoluto dei sistemi mainframe e dei terminali cosiddetti stupidi. Da qualche anno, però, quella che prima era soprattutto una frizione fra utenti e It, si è trasformata quasi in un mondo parallelo che vede il proliferare (a volte anarchico e a volte governato in modo reattivo da parte dell’It aziendale) di applicazioni collaborative e di comunicazione adottate direttamente dagli end user.
FIGURA 1 – I dipendenti aumentano i rischi sulla privacy e la sicurezza. Fonte: Ponemon Institute, novembre 2014. Clicca per ingrandireSecondo il report pubblicato da Ponemon alla fine del 2014, i dipendenti che utilizzano sistemi di posta e di messaggistica non autorizzati sono il 74% negli Stati Uniti e il 71% nell’area Emea (vedi figura 1). “Questo avviene – afferma Ponemon – perché aumenta la disponibilità di applicazioni cloud che possono essere acquisite e implementate dagli utenti, senza il supporto degli specialisti It, e che permettono di svolgere attività di business in modo più produttivo rispetto alle applicazioni tradizionali già presenti in azienda”. Esempi di applicazioni di questo tipo sono Dropbox, Skype o Facebook. A fronte della diffusione di strumenti simili, molti dipartimenti It o direzioni aziendali diramano direttive per vietare il “fai da te” o rimuovere tali applicazioni considerate insicure o ancora da incanalare dentro processi di governance. Che queste linee di condotta vengano però spesso non rispettate lo dimostrano le risposte a un’altra domanda posta da Ponemon al suo campione: ebbene, ben l’89% dei dipendenti americani e il 79% di quelli Emea non seguono le policy aziendali in termini di privacy e sicurezza. Una conseguenza di questo comportamento, si ricava sempre dalla ricerca, è che l’80% degli employee statunitensi e il 69% di quelli europei inviano e ricevono file non diretti a loro.
Verso soluzioni con nuovi requisiti
Perché utenti e Lob decidono di adottare strumenti più flessibili, efficienti e più semplici da usare, assumendosi eventualmente anche dei rischi in termini di sicurezza? “Nel mondo in cui viviamo oggi – risponde il fondatore di Ponemon Institute – notiamo che la convenienza e la produttività assumono spesso più rilevanza della privacy e della sicurezza. Di conseguenza, le aziende stesse non sempre aiutano gli utenti finali a ottemperare a questi requisiti. Efficienza e risparmi sono considerati così prioritari che molte aziende non si danno troppo pensiero di individuare servizi cloud-based che possono garantire sicurezza e tutela della privacy. Questo problema non riguarda solo le applicazioni di collaborazione e comunicazione, ma anche altre che sfruttano le opportunità offerte dal paradigma cloud”.
FIGURA 2 – Fattori più importanti per la scelta di una soluzione di messaggistica e collaborativa. Fonte: Ponemon Institute, novembre 2014. Clicca per ingrandireChe le imprese stesse abbiano iniziato a rendersi conto dell’obsolescenza e della crescente inefficienza dei sistemi Ucc preesistenti lo dimostra un altro dei moltissimi dati contenuti nella ricerca Ponemon. Il 55% delle aziende Us e il 52% di quelle Emea affermano che le loro organizzazioni sostituiranno le soluzioni di messaggistica e collaborazione entro i prossimi due anni. Quali sono i fattori più importanti per la scelta di una nuova soluzione di Ucc? Qui (vedi figura 2) appaiono discrepanze fra le risposte fornite dagli intervistati negli Stati Uniti e nell’area Emea. “Le differenze – commenta Ponemon – sono significative. Negli Usa la facilità d’uso viene al primo posto, seguita dall’idoneità delle soluzioni a essere ospitate o gestite sul cloud. Per le aziende europee, invece, sono più rilevanti la qualità, la provenienza da fornitori con una buona reputazione e il supporto da parte dei vendor. All’origine di queste differenze vi sono diversità culturali. Gli americani prediligono la semplicità, nell’Emea viene al primo posto la qualità. Secondo me – afferma Ponemon – i paesi europei sono utenti di informazione più sofisticati e tendono ad avere una maggiore sensibilità verso il modo in cui le imprese commerciali tutelano la privacy dei loro clienti”.
Open source: perché può essere una risposta
Dalla ricerca Ponemon risulta poi che per il 53% del campione americano e il 57% di quello Emea, la nuova soluzione Ucc dovrebbe essere open source. “Dallo studio – fa notare Ponemon – sono emersi vantaggi dell’open source, derivanti soprattutto dalla visibilità che questo offre alla comunità. Se si verifica una grave falla di sicurezza, gli utenti di un software proprietario devono attendere che il vendor riesca a trovare un modo per risolvere il problema. Finché non è prodotta una patch, il cliente resta vulnerabile. Nel caso dei software open source, i problemi di sicurezza sono invece affrontati da una vasta community, che è in grado di proporre soluzioni in modo molto più rapido di un vendor proprietario”.
FIGURA 3 – Perché le soluzioni commerciali open source sono migliori di quelle proprietarie? Fonte: Ponemon Institute, novembre 2014. Clicca per ingrandireA conferma di quanto affermato dall’analista, il 74% degli intervistati negli Stati Uniti e il 57% di quelli Emea ritengono che le soluzioni commerciali open source (quelle cioè acquistate da vendor, con relativo supporto) garantiscano una migliore continuità operativa rispetto a quelle closed-source (vedi figura 3). Per il 63% degli americani e il 60% degli europei, le soluzioni a sorgente aperto offrono migliore qualità. Detto questo, la ricerca evidenzia però come la presenza di software open source nei parchi It aziendali sia inferiore a quanto ci si potrebbe aspettare considerando le risposte favorevoli a questi: “L’elevato utilizzo odierno dei sistemi proprietari deriva da aspetti culturali. La maggior parte dei Cio e degli altri manager di livello C tendono ancora a pensare che i software tradizionali abbiano livelli di sofisticazione e qualità maggiori di quelli open source. E così continueranno a investire maggiormente in soluzioni proprietarie finché non vedranno che le applicazioni open source disponibili sono migliori. La percentuale di software a sorgente aperto sul totale di quello utilizzato per il business, tenderà a crescere rispetto all’attuale 29%. E questo non accadrà in un futuro molto lontano”, conclude Ponemon.
