Il DATO è MOBILE !
All'inizio non era un gran problema...
Sì, i Tablet e gli Smartphone cominciavano a diffondersi e molti dei nostri utenti Aziendali ne possedevano uno, ma per lavoro usavano il cellulare Aziendale che avevano in dotazione.
Quelli che avevano la necessità di accedere all'IT Aziendale da remoto usavano una chiavetta GSM/UMTS collegata al LAPTOP Aziendale, con cui instauravano una connessione VPN con la Rete Corporate.
Per quelli che si accontentavano, c'era la possibilità di utilizzare la WebMail. Bastava essere abilitati al servizio e (inserendo user-name e password in una apposita pagina WEB) si potevano gestire le e-mail di lavoro tramite Internet.
Quel Natale fu fatale
Da alcuni mesi avevamo attivato il WiFi nella Palazzina Direzionale e diversi utenti "VIP" avevano ricevuto in dono per Natale un iPad o un iPhone. Qualcuno invece aveva un dispositivo Android.
La disponibilità della rete WiFi "Ospiti", che avevamo creato accanto alla rete WiFi Aziendale, fu subito colta come opportunità per far funzionare meglio la connettività Internet di cui questi nuovi dispositivi avevano bisogno.
Ecco dunque arrivare diverse richieste di poter connettere Smartphone e Tablet alla rete WiFi senza però dover necessariamente passare per la pagina di registrazione del Captive Portal cui gli Ospiti dovevano registrarsi per ottenere 24 ore di connettività WiFi.
Ci inventammo per questo una nuova rete WiFi come quella per gli Ospiti (sempre distinta dalla rete WiFi Aziendale), che fosse però in grado di rendere disponibile una connettività Internet a questi dispositivi, autenticandoli automaticamente attraverso il loro MAC-ADDRESS.
Fu così che agli utenti di questi dispositivi mobili semplici e veloci (grazie anche alla connettività WiFi che avevamo fornito loro) venne la grande idea:
«Perchè non utilizzare Tablet e Smartphone invece del LAPTOP per lavoro ?»
Si cominciò con la Posta Elettronica
Configurare l'APP di Posta Elettronica di un Tablet o di uno Smartphone per accedere alla Posta Elettronica Aziendale non era difficile.
Bastava sapere quali parametri inserire nella configurazione dell'account ed essere abilitati alla WebMail, et voilà !
Ecco che potevi vedere tutte le tue e-mail Aziendali sul telefonino o sul tablet che avevi sempre con te, invece di usare quel LAPTOP che ci metteva una vita solo per accendersi !
Questo certo non migliorava la sicurezza delle Informazioni Aziendali, ma non aveva alcun senso mettersi di traverso...
Quando poi iniziarono ad arrivare anche richieste di poter accedere al Portale Intranet, ai documenti salvati sui File Server e alla rubrica Aziendale, capimmo che
era ora di affrontare il tema della sicurezza dei dispositivi mobili in Azienda !
Il progetto «MDM»
C'erano già sul mercato svariate soluzioni di "Mobile Device Management" (MDM), ma noi preferimmo partire dai nostri requisiti, piuttosto che dalle funzionalità proposte dai vari prodotti.
Analizzammo quindi i rischi di sicurezza derivanti dall'utilizzo di dispositivi mobili per accedere alle informazioni Aziendali e cercammo di individuare le possibili contromisure da prevedere per contrastarli.
Una sintesi dei risultati di questa analisi dei rischi è riportata nel seguente schema:
L'implementazione
A questo punto la Direzione Sistemi Informativi si mosse per ricercare una soluzione che venisse incontro a tutte le esigenze operative e che rispettasse i requisiti di sicurezza emersi a fronte dell'analisi dei rischi.
Oggi tutti gli Smartphone e i Tablet Aziendali in dotazione al personale sono provvisti di questo ambiente protetto, all'interno del quale è possibile accedere ai dati ed alle informazioni Aziendali in tutta sicurezza.
Nel caso in cui un dispositivo venga perso o rubato, l'accesso alle informazioni Aziendali viene immediatamente revocato e l'ambiente di lavoro viene cancellato da remoto dai Sistemisti dell'IT.
E' prevista anche la possibilità da parte dell'utente di scegliere di utilizzare uno Smartphone / Tablet di sua proprietà (BYOD) per accedere ai dati ed alle informazioni Aziendali.
Considerazioni
Non ha senso raccontarvi dell'implementazione della soluzione scelta, nè tantomeno soffermarsi sul nome del prodotto... Come in tutti i progetti ICT ci sono state difficoltà e soddisfazioni e si è dovuto cercare un ragionevole compromesso tra i requisiti che dovevano essere soddisfatti e le possibilità offerte dal prodotto.
Può essere invece interessante condividere con voi alcune mie personalissime considerazioni sul Progetto «MDM»:
Il nome del Progetto è SBAGLIATO...
Sarebbe stato più corretto parlare di «Mobile Access Management» invece che di «Mobile Device Management (MDM)».
L'obiettivo del Progetto era di consentire l'accesso ai dati ed alle informazioni Aziendali tramite Tablet e Smartphone, non quello di rendere questi dispositivi in qualche modo «gestibili» dall'IT.
Si fa presto a dire «li gestiamo»...
Per implementare alcune delle contromisure individuate nell'analisi rischi è necessario poter controllare certi parametri di configurazione di questi dispositivi.
Peccato che Tablet e Smartphone - che sono nati come dispositivi per utilizzo personale e non Aziendale - non si lascino gestire da remoto poi così facilmente...
Uno Smartphone non è proprio un Computer...
Alla presentazione di lancio del 9 Gennaio 2007, Steve Jobs definì l'iPhone come l'unione di 3 dispositivi:
- un iPod
- un Telefono
- un Internet Browser
Anche se le cose sono molto cambiate dal primo iPhone ad oggi, risulta piuttosto difficile riuscire a fare con uno Smartphone o con un Tablet tutto quello che siamo abituati a fare con un PC .
Le APP nell'ambiente protetto...
Per funzionare correttamente nell'ambiente protetto, le APP devono essere preventivamente «incapsulate» all'interno di uno strato di software che consente loro di interfacciarsi con l'ambiente operativo nativo del device, attraverso l'ambiente protetto.
Questa operazione di incapsulamento (chiamata "WRAPPING") è tutt'altro che banale e richiede un apposito ambiente di sviluppo per le APP.
Come se non bastasse, ogni volta che viene rilasciato un aggiornamento, l'APP va nuovamente sottoposta al WRAPPING.
L'infrastruttura centrale è quella che fa la differenza...
In una soluzione di «Mobile Access Management», quello che fa veramente la differenza è l'infrastruttura centrale che si occupa di gestire:
- l'abilitazione (ENROLLMENT) dei device all'accesso alle informazioni Aziendali
- le connessioni dei device mobili verso i sistemi e le applicazioni Aziendali
- il controllo degli accessi ai dati Aziendali attraverso i device mobili
- lo scambio dati sicuro tra i device mobili ed i sistemi Aziendali, tramite Internet
- la protezione della configurazione degli ambienti di lavoro Aziendali, sui device
Concludendo...
Gestire i dati Aziendali attraverso dispositivi mobili è una necessità, non una opzione ! Chi non affronta oggi questo problema si troverà domani ad inseguire i suoi dati che si disperderanno ovunque senza controllo.
Ci sono ottime soluzioni che permettono di regolamentare e controllare l'accesso tramite dispositivi mobili ai dati Aziendali, in modo da mantenerli al sicuro da accessi indesiderati.
E' opportuno focalizzarsi maggiormente sulle componenti centrali dell'infrastruttura piuttosto che sulle caratteristiche degli ambienti Aziendali creati all'interno dei dispositivi mobili e le loro APP, pensando di utilizzare Smartphone e Tablet più come dei "terminali remoti" che come dei "Computer Client".
Buone Feste a tutti !
Cordialmente vostro,
Autostoppista Cyber Galattico.
Franco, ti scrivo sfruttando la rete WiFi che hai gestito.
Connettività da remoto di dispositivi portatili vuole dire anche sfruttare i piccoli ritagli di tempo. Magari solo smistare le mail, dare una dritta ai collaboratori consentendogli di andare avanti con il lavoro nel migliore dei modi (ricordiamoci sempre che l'utente VIP è al servizio dei suoi collaboratori e non il viceversa...).
Non è solo tempo risparmiato per il singolo, ma per tutto il gruppo di lavoro, che procede più spedito. La sfida ora è quello di consentire questo al di fuori degli spazi aziendali (sul treno, all'estero, etc..).
Ciao, a presto e buone feste!