Quella che fino a poco tempo fa era un’eccezione, oggi è la regola: utilizzare in azienda il proprio dispositivo tecnologico non è più tabù, o quasi. Questa rivoluzione dal basso sta ponendo una serie di nuove sfide ai reparti IT, soprattutto in ordine alla sicurezza, alle capacità delle infrastrutture di networking e alla distribuzione delle applicazioni aziendali
di Luca de Piano
Il primo a fare il salto dalla tasca alla scrivania del manager è stato lo smartphone, quello finalmente utilizzabile senza essere ingegneri nucleari. Subito dopo è stato il turno del tablet, oggetto molto meno serioso di un notebook. E questo binomio smartphone-tablet è stato il vero motore della più recente evoluzione dell’informatica aziendale, rappresentato da due fenomeni molto contigui, ma diversi: consumerizzazione dell’IT e BYOD (bring your own device). Si tratta di due fenomeni strettamente collegati che spesso si sovrappongono e che interessano in modo trasversale praticamente tutte le realtà aziendali. Anche perché – almeno in questo caso – non si tratta di una moda tecnologica calata dall’alto, ma di un fatto che presenta numerosi vantaggi innegabili, primo fra tutti la presenza di dispositivi che uniscono la semplicità di utilizzo e la massima portabilità con l’essere sempre connessi, rendendo possibili una serie di benefici per le figure aziendali, che fanno della mobilità e del tempo di risposta due parametri chiave del lavoro e della produttività.
Benefici per tutti
Un recente sondaggio, condotto da Gartner a livello mondiale tra i CIO di diversi settori (“Bring Your Own Device: The Facts and the Future”, Gartner, maggio 2013), oltre ad aver riportato come siano molte le aziende che hanno già messo in atto specifiche policy per l’utilizzo dei device personali in ufficio, ha anche rivelato che entro il 2016, il 38% delle società intervistate cesserà di fornire apparecchi aziendali ai propri dipendenti. «Le strategie relative al BYOD costituiscono il cambiamento più radicale nei fattori economici e culturali del client computing aziendale degli ultimi decenni» – ha spiegato David Willis, vice president e distinguished analyst di Gartner. «Tra i benefici del BYOD vi sono nuove opportunità per chi opera in mobilità, una maggiore soddisfazione delle persone e una riduzione o l’azzeramento dei costi». Ma non solo. Sempre secondo Gartner, il BYOD sprona l’innovazione sia per i Cio, sia per il business aziendale, in quanto permette l’utilizzo delle applicazioni mobili a un numero maggiore di dipendenti. Diffondere l’utilizzo delle applicazioni consente di cogliere nuove opportunità rispetto alle tradizionali comunicazioni o email mobili. Gli esempi portati da Gartner a questo riguardo sono molteplici, come le tabelle dei turni e dei diversi compiti, la lista degli ingressi e delle uscite dai locali aziendali – oppure – le applicazioni self-service di gestione delle risorse umane.
Barriere e resistenze
Anche Andrea Mariotti, director dei servizi di IT Risk & Assurance di Ernst & Young (www.ey.com/IT) fa notare il crescente successo del BYOD, anche se vi sono tuttora aziende in cui viene osteggiato, «soprattutto – spiega Mariotti – da parte di quei reparti IT che nutrivano un certo timore rispetto a sistemi operativi nuovi come Android o lo stesso iOS, quello degli iPhone e degli iPad». Ma le resistenze al BYOD dipendono anche dal settore di attività. «Nelle aziende più innovative come quelle del mondo consumer o dell’ambito tecnologico, il BYOD è ormai acquisito, mentre i comparti più legati alle tradizioni, come per esempio quello manifatturiero, vedono perdurare ancora qualche scetticismo» – conferma Mariotti, avvertendo però che, «trattandosi di un tema tipicamente cross-industry, che attiene all’IT in generale, le resistenze rispetto al recente passato sono molto diminuite». E questo è dovuto soprattutto ai vantaggi che si possono conseguire col BYOD, in particolar modo in tema di risparmi di costo. «Di fronte a un ROI, un ritorno sull’investimento, garantito, molti reparti IT lasciano perdere gli ultimi dubbi – sottolinea Mariotti – e la crescente disponibilità di soluzioni mobile device management (MDM), sempre più robuste e affidabili, fa sentire sereni anche i responsabili IT più tradizionalisti». Sicurezza e conformità alle disposizioni normative in materia di trattamento dei dati rimangono le principali preoccupazioni connesse col BYOD.
Rischi e opportunità
Come evidenziato anche da Gartner, i Cio temono soprattutto le fughe di dati, in particolar modo con i device progettati per condividere i dati sul cloud. Non solo. Oltre la metà delle aziende ha definito “elevate” le misure di sicurezza adottate per i dati corporate che transitano sui dispositivi mobili. Infine, va osservato che l’adozione del BYOD non è uniforme in tutto il mondo. La recente indagine di Gartner ha infatti evidenziato come il fenomeno prevalga nelle aziende medio-grandi, anche se offre vantaggi anche per le piccole. Negli Stati Uniti, la probabilità che le imprese consentano il BYOD è doppia rispetto all’Europa, area in cui l’adozione è la minore a livello globale. In Italia, la tendenza è affine all’andamento europeo, anche se – secondo Andrea Mariotti di Ernst & Young – «c’è ancora un po’ di strada da fare verso un utilizzo completo dei propri smartphone e tablet, che tuttora vengono in massima parte adoperati per consultare le mail o accedere al web. In ogni caso, la via migliore per abbassare i costi aziendali e per garantire un utilizzo dello strumento da parte dei dipendenti rimane proprio il BYOD, anzi il CYOD – choose your own device – che lascia all’utente la possibilità e l’onere di acquisto del device che preferisce, scegliendolo – però – all’interno di una griglia di caratteristiche prestabilite».
Attuare il BYOD
Con l’aiuto delle aziende interpellate da Data Manager, abbiamo deciso di fare il punto su quali possono essere le soluzioni, i servizi e le tecnologie che le società attive nel networking e nella security, o nella fornitura di servizi connessi, sono oggi in grado di mettere in campo, allo scopo di rendere il BYOD sempre più attuabile e privo di rischi per le aziende e gli utenti.
A inquadrare subito il tema ci pensa Sergio Visci, technology infrastructure director di Avanade (www.avanade.com/it), secondo cui «il BYOD va affrontato nell’ambito dei progetti di trasformazione ed evoluzione dell’informatica individuale». In molte aziende le informazioni sono l’asset più importante e il tema della sicurezza va quindi approcciato con la massima attenzione. «Gli scenari moderni di end user computing legati alla consumerizzazione dell’IT – spiega Visci – prevedono tipicamente l’adozione di soluzioni in mobilità e in modalità cloud non previste nei modelli tradizionali. Questi possono, però, non essere sufficienti a garantire la sicurezza adeguata. È necessario quindi dotarsi di soluzioni moderne, ma anche adeguare i processi di gestione e politiche di sicurezza per essere efficaci». In questo quadro, sempre secondo Avanade, «la profonda conoscenza delle esigenze degli utenti e del business deve essere la base su cui progettare la soluzione. Questa sarà composta da diverse soluzioni per fornire all’utente il servizio che meglio si sposa con il proprio ruolo in azienda». Ecco quindi che i “mattoncini” tecnologici da usare saranno, tra gli altri, «la virtualizzazione desktop e applicativa, le soluzioni di distribuzione delle applicazioni, identity and access management, active directory, direct access, vpn, mobile device management, enterprise app store, unified communication, e infine extended collaboration» – conclude Visci.
Sicurezza in primo piano
Secondo Gastone Nencini, senior technical manager di Trend Micro Southern Europe (www.trendmicro.it), «per ridurre al minimo i costi di esercizio e le sfide di sicurezza che il BYOD comporta, le aziende hanno bisogno soluzioni con un ampio supporto per le diverse piattaforme che consolidino la gestione e si integrino con l’infrastruttura di sicurezza esistente degli endpoint». Per esempio – fa notare Nencini – «i dati mobili possono essere protetti tramite la crittografia e il controllo su chi debba accedere e condividere i dati nella rete, sui server, sui client e sulle unità di archiviazione rimovibili. In questo modo le tecnologie aiutano le aziende ad adottare i programmi BYOD e coglierne i vantaggi, senza esporre utenti e dati a ulteriori rischi». Per conciliare l’utilizzo di dispositivi personali con la sicurezza delle informazioni e delle reti aziendali, «identità e policy non devono essere legate ai dispositivi ma riferirsi all’individuo, tenendo conto delle esigenze e risorse alle quali ha bisogno di accedere». Il BYOD deve quindi evolversi verso un approccio “bring your own identity”. «Il segreto – dice Nencini – è garantire sicurezza e gestione senza compromettere usabilità e capacità. È possibile farlo promuovendo una cultura nella quale i dipendenti si sentano non solo autorizzati e tutelati, ma supportati nel lavorare da remoto con qualsiasi dispositivo, riducendo la tentazione di utilizzare “di nascosto” strumenti non approvati per accedere al cuore del network aziendale e permettendo così di cogliere i vantaggi che le nuove tecnologie nelle mani dei dipendenti possono portare».
Contenitori sicuri
Roberto Patano, technical manager di NetApp Italia (www.netapp.it), richiama l’attenzione sulla preoccupazione maggiore dei responsabili IT alle prese col BYOD: contenere il rischio di perdite di dati aziendali e renderli il più possibile sicuri. «Il dipartimento IT – spiega Patano – ci chiede da un lato di trovare soluzioni mobile che siano facili da utilizzare per garantire all’utente la migliore esperienza di accesso alle informazioni di cui hanno bisogno, disincentivando l’uso sempre più frequente di servizi cloud di tipo consumer, che possono mettere a rischio la sicurezza dei dati – e dall’altro lato – di mantenere il pieno controllo sugli accessi e le informazioni business protette dietro il firewall aziendale». Per aumentare la produttività di chi lavora in remoto e concretizzare l’idea di un’impresa globale sempre connessa, «le aziende – prosegue Patano – devono preferire soluzioni professionali che uniscono la migliore esperienza consumer alla governance aziendale dei dati. In risposta a queste esigenze, NetApp Connect consente un accesso mobile sicuro, istantaneo e semplice ai dati memorizzati nello storage attraverso un’app, disponibile per tutti i dispositivi basati su sistemi iOS, che crea un contenitore sicuro nel dispositivo mobile, senza necessità di complesse autenticazioni o configurazioni della VPN, assegnando all’IT pieno controllo sulle informazioni. Tale approccio consente di superare molte fra le più diffuse preoccupazioni in tema di conformità aziendale, BYOD e gestione dei dispositivi poiché tutti i dati possono restare on-premise, dietro il firewall aziendale senza essere copiati nel cloud, pur introducendo la semplicità di utilizzo tipica delle soluzioni consumer».
Protezione senza compromessi
Constatato che il trend del BYOD registra una crescita esponenziale e che «è cambiato il modo in cui gli utenti accedono alla rete, e le aziende devono preoccuparsi anche di proteggere i device personali sempre più utilizzati per svolgere attività lavorative», Joe Sarno, VP regional sales di Fortinet (www.fortinet.it), ritiene necessario «promuovere un’educazione sulla sicurezza tra i dipendenti per adottare comportamenti corretti e prestare attenzione all’utilizzo sia di device, sia delle applicazioni. Inoltre, è necessario assicurarsi che la rete sia protetta e che l’impresa sia in grado di controllare l’accesso in entrata e in uscita alla rete aziendale dei dispositivi esterni e il loro comportamento». Per quanto riguarda le best practices in tema di BYOD, sono soprattutto tre le strategie che si possono adottare. «In primo luogo, le aziende – spiega Sarno – dovrebbero definire i propri obiettivi e determinare le minacce reali per la rete, come siti web dannosi, perdita di produttività, uso eccessivo della larghezza di banda, per implementare opportune policy mobile. Inoltre, le aziende dovrebbero implementare un software di gestione remota su qualsiasi dispositivo in cui risiedono dati aziendali, per consentire al dipartimento IT di aggiornare automaticamente i dispositivi degli utenti con le patch più recenti». Ma secondo Sarno, bisognerebbe anche «implementare funzioni centralizzate per le operazioni di localizzazione, track, blocco, pulizia, backup e ripristino in remoto, in modo da proteggere, recuperare e ripristinare i dati aziendali sui dispositivi mobili persi o rubati». E infine, sarebbe necessario bloccare i dispositivi non compatibili, «poiché – avverte Sarno – spesso i dipendenti sono ansiosi di usare il proprio dispositivo personale per lavoro, ma sono restii a installarvi prodotti software aggiuntivi. Come compromesso, le aziende potrebbero consentire ai dipendenti di usare i propri dispositivi, a patto – però – di installare determinate app secondo le policy di sicurezza dell’azienda».
Ampliare l’ottica
Livio Pisciotta, client marketing manager di Dell (www.dell.it), sottolinea invece che il termine BYOD ultimamente sia diventato «un po’ stretto in quanto porta a concentrarsi solo sull’ultimo anello, la “D”, cioè sul device». Per Pisciotta, sarebbe più utile puntare sul concetto di «BYOX», dove la X rappresenta le applicazioni enterprise per abilitare il BYOD. «Abbiamo visto il BYOD prima di altri attori sul mercato – dice Pisciotta – e le acquisizioni di aziende quali Kace, Quest, SonicWall e Wyse sono la più forte testimonianza che siamo in grado di fornire nuove soluzioni e veicolare con forza gestione e management, modernizzazione delle applicazioni mobili, soluzioni per l’ottimizzazione del networking e cloud experience in ottica unificata». Anche in base a questa esperienza approfondita, Dell suggerisce di «approcciare il BYOD» da una prospettiva incentrata sull’identità utente, mettendo in piedi un set di soluzioni che semplifichino la delivery, la configurazione degli accessi e il data wiping basati sull’utente, indipendente dal device. «La maggior parte delle sfide legate alla sicurezza – fa notare Pisciotta – si concentra nel data center. E il cloud – sia esso privato, pubblico o misto – è già esso stesso per definizione abilitatore di sicurezza. Ma è necessario realizzare un piano strategico su almeno tre anni che analizzi in maniera profonda le utenze, i processi e le tecnologie. Tale programma – spiega Pisciotta – deve focalizzarsi sull’analisi interna degli indici di produttività dei singoli, segmentando efficacemente gli utenti, determinando i requisiti di mobilità e implementando piani di sicurezza incentrati preferibilmente su identità utente, management e gestione centralizzata e automatizzata degli asset attraverso appliance semplificate che operino su tutti i device e operando su gruppi pilota al fine di implementare progetti di virtualizzazione e cloud».
Approccio olistico
Per Maurizio Costa, security senior consultant di Sinergy (www.sinergy.it), il BYOD si scontra purtroppo «con l’eterogeneità dei dispositivi mobili oggi presenti sul mercato e con il fatto che spesso tali dispositivi siano pensati per il mondo consumer e pertanto manchino di caratteristiche fondamentali per il loro corretto utilizzo in azienda». È anche per questo che – prosegue Costa – «non stiamo riscontrando un boom del BYOD in senso stretto (dispositivi di proprietà dell’utente), ma piuttosto della volontà delle aziende di fornire ai propri dipendenti device evoluti (basati principalmente su iOS e Android), che possano essere impiegati sia per utilizzo professionale sia personale. Anche se spesso tali richieste nascono inizialmente dall’esigenza di soddisfare le richieste di gruppi ristretti di “early adopters”, identificati tipicamente nel management, la prospettiva di crescita è significativa».
Ma quali sono le best practices per affrontare il BYOD? Secondo Costa «è fondamentale definire – o per meglio dire – non dimenticare, le esigenze di governance e compliance che l’azienda ha definito per l’accesso ai propri dati». Non solo. «Analizzare le modalità di acceso ai dati, chi deve avere accesso ai dati e in quale modo, è un passo fondamentale per garantire la sicurezza» – aggiunge Costa. A questo primo basilare passo, «vanno poi affiancati strumenti e soluzioni in grado di gestire e mettere in sicurezza i device mobile device management (MDM) e le applicazioni mobile application management (MAM), che accedono ai dati consentendo di separare quelli aziendali e personali, con un approccio olistico alla sicurezza nell’accesso ai dati in mobilità».
Sfide sempre nuove
Per conciliare l’utilizzo di dispositivi personali con la sicurezza delle informazioni e delle reti aziendali, «proibire ai dipendenti l’utilizzo del proprio dispositivo personale per comunicare anche con l’azienda sarà sempre più difficile» – afferma Gregorio Piccoli, responsabile tecnologie di sviluppo Zucchetti (www.zucchetti.it). Per i responsabili IT sarà sempre più importante condividere con il personale le procedure di trasferimento e archiviazione delle informazioni aziendali, con l’introduzione di password sicure e sistemi di cifratura dei dati. «Ovviamente, l’accesso alle informazioni – spiega Piccoli – deve essere profilato in base all’utente, considerando le necessità specifiche del dipendente a seconda del ruolo che ricopre nell’organigramma aziendale. Tutti i software Zucchetti sono sviluppati in tecnologia web e questo favorisce la comunicazione con i device di ultima generazione e stiamo sviluppando una serie di applicazioni per supportare ancora meglio gli utenti in mobilità». In questo scenario, «l’accesso agli applicativi anche mediante dispositivi quali smartphone e tablet è sempre più richiesto dai nostri clienti – continua Piccoli – soprattutto per verificare in tempo reale informazioni legate alla gestione degli ordini, alla disponibilità dei prodotti a magazzino, al pagamento di una fattura, all’inserimento di una nota spese e così via». Secondo Piccoli, il BYOD «rappresenta una sfida ulteriore, in quanto si tratta di prevedere politiche aziendali di sicurezza in grado di tutelare la privacy del dipendente e al contempo di garantire la protezione dei dati in caso di furto, di smarrimento o di un utilizzo non corretto del dispositivo».
Sulla stessa linea anche Pierangelo Rossi, amministratore delegato di Italsel (www.italsel.com), secondo cui «il BYOD spinge sempre più aziende ad adottare soluzioni e precauzioni per garantire la continuità dell’attività core e favorire la crescente necessità del singolo lavoratore di produrre meglio e più efficientemente, senza tralasciare la propensione all’impiego di nuove tecnologie». Considerando che l’Italia è il paese con il maggior numero di smartphone pro-capite e che, a differenza di altre tecnologie, in questo campo oggi siamo un Paese all’avanguardia, questo fenomeno è destinato a produrre in tempi brevi un forte impatto. «È su queste premesse – spiega Rossi – che nel 2010 Italsel ha lanciato Mobability.it, dedicata alla distribuzione nell’ambito del mobile computing, che ha contribuito alla diffusione di soluzioni MDM. Oggi, consideriamo il BYOD come un’ulteriore opportunità per diffondere nuove soluzioni che si integrino nei sistemi informatici aziendali e che premino anche il concetto di cloud e di SaaS». Per Rossi, cloud e mobile sono quindi «la scommessa del prossimo futuro e le aree prevalenti di intervento sono la sicurezza del dato e la sicurezza dello strumento che lo gestisce». E dal momento che «risolvere una sola di queste problematiche non è sufficiente – dice Pierangelo Rossi – operiamo per integrare la sicurezza del dato, la sua collocazione, la fruibilità da smartphone e tablet, oltre alla certezza dell’accesso».
