Abbiamo parlato già diverse volte della forte crescita della tendenza a utilizzare sul lavoro dispositivi personali (specialmente device mobili). Sempre più aziende e organizzazioni, con iniziative dette BYOD (Bring Your Own Device), si trovano a dover governare questa tendenza, e a volte la incentivano per i benefici che comporta in termini di riduzione dei costi hardware e di supporto, e di produttività degli utenti, che possono usare dispositivi e interfacce che preferiscono e a cui sono abituati, a volte da anni.
Il BYOD però porta anche rischi in termini di complessità di gestione, e soprattutto di sicurezza delle applicazioni e dei dati sensibili aziendali, a cui gli utenti accedono con i propri device, magari salvando i dati in locale, o condividendoli in spazi cloud come Dropbox, Box o Google Drive, che non sono nati con i sistemi di protezione necessari per i dati enterprise. Come gestire quindi una politica di BYOD, bilanciando comodità degli utenti e sicurezza dell’azienda? Ne ha parlato Leif-Olof Wallin, Research Vice President di Gartner, al recente evento europeo Connect di AirWatch, tenutosi a Londra.
Le iniziative BYOD, sottolinea Wallin, devono partire avendo già affrontato tutti gli aspetti di costo, sicurezza e compliance, e avendo già classificato i diversi profili di utenti in mobilità e le rispettive esigenze in termini di accesso a dati e applicazioni. Nelle imprese manifatturiere e logistiche, per esempio, non ha senso includere nel programma BYOD gli addetti alle linee di produzione e al magazzino, che devono usare device mobili molto specialistici.
Il BYOD non è per tutti
Il concetto fondamentale è che il BYOD non è per tutti: «Non è indicato per settori con alti standard di sicurezza, o requisiti legali, di compliance, di livelli di servizio molto vincolanti; per aziende con livelli bassi di controlli sulla rete e protezione dei dati, e con dipendenti che non conoscono adeguatamente gli strumenti mobili». Prima di avviare un programma BYOD, continua l’analista Gartner, occorre considerare tutte le possibili implicazioni.
Non tutti i dipendenti si rendono conto delle conseguenze di ciò che fanno con un device mobile sulla sicurezza dei dati aziendali, sulla reputazione e immagine dell’azienda, e sul rispetto delle normative e regolamenti a cui l’azienda è tenuta. Quindi, oltre a un programma di formazione e comunicazione ad hoc, è imperativo esaminare tutte le situazioni in cui entrano in gioco aspetti normativi, di compliance, di sicurezza, e di SLA. «Se l’azienda ha già problemi di audit e controllo degli asset software e dei backup dei dati, un programma BYOD non può che complicare le cose».
Anche per quanto riguarda il supporto, il BYOD richiede nuovi processi, attività e competenze. «Occorre fare scelte di sviluppo App e adozione di device che semplifichino la supportabilità (linguaggi e piattaforme standard); facilitare il self-service nella risoluzione dei problemi (community, forum, formazione utenti, tool); e definire chiari piani d’emergenza in caso di perdite massive di dati, smarrimenti di device, nuove normative».
Dual Persona: due ambienti sullo stesso device
Scendendo a livello delle tecnologie, oggi è possibile creare due ambienti diversi sullo stesso dispositivo, con dati rigorosamente separati. Questo tipo di soluzioni, che Gartner chiama “Dual Persona”, o “container”, prevede le classiche interfacce e modalità d’uso per l’ambiente personale, mentre la parte “lavorativa”, controllata dall’IT aziendale, può avere interfaccia e funzioni completamente diverse.
Oggi il 70% delle organizzazioni preferisce un approccio “leggero” con policy vincolanti e strumenti di application management, ma senza un vero meccanismo di containerization della parte aziendale, mentre l’approccio “Dual Persona” è scelto dal restante 30%. Quest’ultima percentuale però è in costante aumento, trainata appunto dalla diffusione del BYOD.
Più in dettaglio, la containerization è un insieme di tecniche per vincolare l’accesso a una parte dei dati e applicazioni che risiedono su un device. Può riguardare solo singoli file, o un intero “spazio di lavoro”, con client e-mail, browser e varie applicazioni corporate. Su uno smartphone o tablet può essere realizzata a diversi livelli.
La containerization più “leggera” si realizza a livello dell’interfaccia utente. Un fornitore specializzato è Enterproid, che ha fornito la tecnologia per il telefono Toggle di AT&T: Toggle mostra due aree, personal e corporate, e le app corporate non sono visibili nella prima, ma la separazione è solo visiva perché codici e dati risiedono negli stessi ambienti.
Un approccio più profondo, a livello applicativo, è proposto da specialisti come Good Technology ed Excitor, che sfruttano il concetto di “sandbox” del sistema operativo, esistente in iOS 7, BlackBerry 10 e Android. In pratica un’applicazione funge da contenitore dei dati e applicazioni aziendali autorizzati per quell’utente. Good per esempio fornisce soluzioni di crittografia, cancellazione selettiva e DLP (Data Loss Prevention), con meccanismi per estendere la protezione alle applicazioni, tramite funzioni per lo sviluppo di app containerizzate, o la ricompilazione di app già esistenti, client e canali di comunicazione containerizzati.
Infine una containerizzazione “totale” si può realizzare tramite la virtualizzazione, anche qui a vari livelli. Per esempio con una virtual machine a livello del sistema operativo, controllata dall’IT aziendale, che ospita l’ambiente corporate separando completamente i dati da quelli dell’ambiente personale (VMware Horizon Mobile), o con un hypervisor nel firmware del processore (chipset), cioè a un livello hardware, al di sotto del sistema operativo (OK Labs con chipset Qualcomm), o come funzione nativa del chipset (ARM TrustZone).
In generale la containerizzazione incide negativamente sulla user experience, in termini di performance e comodità (per esempio occorre separare contatti e appuntamenti di lavoro e personali), ma secondo Wallin in diversi casi, per esempio nei settori fortemente regolamentati, «è praticamente l’unica strada possibile per realizzare una politica BYOD».
Le opzioni possibili, in funzione del grado di sicurezza richiesto
Il parametro fondamentale è il grado di sicurezza che l’azienda reputa necessario per i propri dati, in funzione del quale Gartner consiglia diversi approcci. Per chi non è in un settore strettamente regolamentato e non ha dati fortemente sensibili, la soluzione più indicata è la containerization a livello applicativo, che permette di controllare quali applicazioni e dati sono presenti su un dispositivo, e intervenire con blocchi e cancellazioni che non toccano la parte personale. Questo approccio è il più “standard” e diffuso, mentre la soluzione più sicura in assoluto è l’hypervisor già contenuto nel dispositivo, e quindi totalmente integrato in termini di hardware e software. I device che permettono questa scelta però sono pochi, e tutti Android.
Più flessibile la scelta della macchina virtuale, cioè dell’hypervisor a livello del sistema operativo, che però è teoricamente attaccabile, e quindi offre un livello di sicurezza inferiore al precedente, anche se superiore alla “containerization” a livello applicativo. Se l’azienda vieta per policy il salvataggio di qualsiasi dato aziendale su un device personale, si può ricorrere a soluzioni di hosted virtual desktop (HVD) o virtual mobile OS, con cui l’utente si collega ad applicazioni e dati che fisicamente risiedono su un server remoto. Questa opzione però ha diversi svantaggi, per esempio la fruizione di un’interfaccia desktop su uno schermo mobile, e la necessità di doversi connettere alla rete aziendale.
Infine se non c’è particolare esigenza di separare dati personali e aziendali, la soluzione indicata è il mobile device management (MDM). I software di MDM servono a erogare applicazioni e gestire configurazioni e policy sui dispositivi mobili, ma ultimamente stanno crescendo in copertura proprio per la forte diffusione del BYOD, con funzioni di containerization, Mobile App Management e file sharing, oltre che di document management.
Gran parte degli investimenti in enterprise mobility oggi si concentrano su questo tipo di soluzioni, indicate per gestire la transizione verso una solida piattaforma e strategia di Mobile Enterprise, supportando la necessità di gestire sicurezza, servizi di rete, hardware e software in un ambiente di sistemi operativi eterogenei e di dispositivi mobili e fissi sia aziendali sia personali. Gartner prevede un progressivo ampliamento dell’ambito MDM, con convergenza verso i sistemi di PC Management e Virtual Client Management, verso una dimensione complessiva di EMM (Enterprise Mobile Management).
