Dal BYOD all’enterprise mobility

Dal BYOD all’enterprise mobility

Dall’anarchia della consumerizzazione alla gestione di smartphone e tablet nell’ambito di una strategia complessiva e cross enterprise. Come unire praticità e sicurezza?

Autore: Francesco Pignatelli



I dispositivi mobili sono un elemento fondamentale nella vita quotidiana di chiunque, tanto nella vita privata come nel lavoro. In ambito professionale, tuttavia, la loro affermazione non è stata priva di problemi e per molto tempo termini come consumerizzazione e BYOD non sono stati visti con favore. Sono forse quelli che rappresentano meglio la volontà dei dipendenti di sfruttare le funzioni e la comodità dei device e delle app mobili tanto quanto fanno normalmente nel privato.

Oggi nessuno potrebbe lavorare in un’azienda che, ad esempio, impedisce di usare lo smartphone o il tablet per accedere ai documenti di lavoro. E anche le imprese puntano sulla praticità e ubiquità del mobile per far lavorare meglio - e di più - i loro dipendenti. Siamo quindi tutti d’accordo sul fatto che con il mobile si lavori meglio. Tra device e connettività ormai ampiamente diffusa e a basso costo, si può di fatto accedere al proprio posto di lavoro da ovunque e in ogmi momento. Tanto che la distinzione tra essere in ufficio o esserne fuori sta scomparendo. Ma resta la distinzione tra uso personale e uso lavorativo: quando usiamo uno smartphone, un tablet o anche un notebook - che siano nostri o dell’azienda poco importa - per accedere ai sistemi e alle risorse d’impresa la nostra libertà d’azione non può essere la stessa di quando consultiamo la posta personale. Ce lo impongono, come minimo, il buon senso e soprattutto le normative sulla gestione dei dati aziendali.

Il ruolo dei sistemi operativi
La sfida per le aziende è inserire questa visione evolutiva del mobile all’interno della propria strategia complessiva di gestione dell’infrastruttura. È un approccio di cui si parla da tempo ma che poche aziende sono riuscite a implementare in maniera davvero trasversale e omogenea. Anche per “colpa” dei sistemi operativi mobili, che per molti anni sono stati sviluppati pensando assai poco a come poteva essere gestirli all’interno di una infrastruttura IT aziendale. Da qualche tempo le cose sono cambiate e i due sistemi operativi di riferimento iOS e Android hanno nelle loro versioni più recenti (iOS 11 e Android Oreo) integrate molte funzioni per la gestione centralizzata dei dispositivi mobili, delle loro app e delle informazioni che gestiscono.

Queste funzioni abilitano un modello di gestione che segue gli stessi principi in entrambe le piattaforme. In generale l’approccio seguito da iOS e Android prevede (correttamente) che un dispositivo mobile sia nella gran parte dei casi “personally enabled”, cioè usato sia per lavoro sia per la propria vita privata digitale. La gestione del sistema operativo in questo caso è basata sulla separazione netta ma trasparente fra i due profili di utilizzo: lavorativo e personale. Questo non richiede più, come accadeva in alcune implementazioni precedenti di device management, di avere “personalità” completamente separate sul medesimo smartphone o tablet. È il sistema operativo che si occupa automaticamente di gestire l’accesso alle app e ai dati a seconda delle policy di sicurezza definite centralmente per lo specifico utente e lo specifico dispositivo.

L’obiettivo dei framework di gestione integrati in iOS e in Android è quindi quello di non compartimentare l’esperienza d’uso degli utenti. Le app “da ufficio” restano insieme a quelle personali e tutte possono essere usate quando si vuole. L’unica differenza di rilievo è che in Android le applicazioni business - cioè quelle controllate dall’IT aziendale - si possono rendere più evidenti con un apposito badge e volendo l’utente può “disattivare” completamente la parte business del suo smartphone, ad esempio quando è in vacanza o nei fine settimana.

Una piattaforma MDM serve sempre
Quelli proposti da Apple e Google sono due framework di gestione, ossia due insiemi di funzioni per il management. Da sole però non bastano. Bisogna comunque implementare una piattaforma software di MDM (Mobile Device Management) di terze parti che sfrutti tali funzioni per dare agli IT manager un controllo effettivamente granulare su cosa possano e non possano fare gli utenti dei dispositivi mobili. In questo senso gli ambiti principali sono il controllo sulle app e quello sulla corretta gestione dei dati.

Sia iOS sia Android prevedono il concetto di “managed app”, ossia la possibilità di distribuire determinate app mobili, preconfigurandole, verso dispositivi specifici. Il raggio d’azione di queste app è controllato direttamente dal sistema di MDM e proprio per sfruttare questo maggiore controllo si suppone che siano proprio le managed app a essere usate per accedere alle informazioni aziendali. È una impostazione che può essere forzata con livelli di dettaglio che dipendono dalla singola piattaforma, ma di solito è ad esempio possibile imporre che determinati tipi di documenti siano aperti solo dalle managed app o che determinate applicazioni non abbiano accesso ai dati memorizzati sul dispositivo.

Il controllo sul flusso dei dati fra le app è un punto particolarmente critico perché si collega al rischio che un dipendente possa, anche involontariamente o comunque senza voler causare un danno all’azienda, diffondere informazioni che non dovrebbero diventare pubbliche. Questo si evita in primo luogo con policy di MDM che impediscono ai dati aziendali di “passare” nella parte personale dei device mobili. Ma anche con le policy che controllano più drasticamente quali app possono essere usate e quali no, per evitare che un documento aziendale sensibile passi - come classicamente accade sin troppo spesso - attraverso qualche servizio di cloud storage che non è controllato e autorizzato dall’IT.

Questione di metodo
Al di là delle funzioni che possono avere le piattaforme di MDM, l’enterprise mobility è anche una questione di metodo. Anche se i fornitori di tecnologia puntano a garantire una gestione trasversale a qualsiasi tipo di dispositivo e di app, non è detto che questa libertà sia effettivamente un vantaggio. Secondo molti osservatori è bene invece introdurre un certo livello di standardizzazione sia per quanto riguarda l’hardware e il software utilizzati sia nelle procedure stesse di management.

L’obiettivo a tendere per l’IT aziendale è essere in grado di gestire i device mobili sempre nello stesso modo, garantendo lo stesso livello di operatività ma anche di sicurezza indipendentemente dal singolo utente. Questo è molto più semplice se si usano dispositivi simili fra loro e con gli stessi software (sistema operativo e app principali). L’omogeneità del software serve anche a garantire una maggiore sicurezza dei dispositivi e quindi, indirettamente, della rete aziendale a cui accedono. Un parco software troppo eterogeneo è complicato da “patchare”, con il rischio di non risolvere tutte le vulnerabilità presenti. Va poi sempre ricordato che nella catena della sicurezza l’anello debole è quasi sempre l’elemento umano. Anche le migliori piattaforme di MDM e le più stringenti procedure di sicurezza rischiano di fallire se gli utenti non sono adeguatamente formati sulle procedure e best practice da seguire nel loro uso dei device mobili.