Un classico del project management è il modello a triangolo, che pone ai vertici tre concetti alternativi tra loro: velocità, efficacia ed economicità. È impossibile ottenere il massimo su tutti e tre i fronti: bisogna migliorare due aspetti e scendere a patti con il terzo.
Il paragone non è nostro, ma di David Gubiani Technical Manager Italia di Check Point Software Technologies, che ci spiega come il modello sia applicabile alla sicurezza It, in particolare se si parla di mobilità. In questo caso i vertici del triangolo sono sicurezza, mobilità e produttività. Di solito le aziende scelgono uno di questi approcci: o permettono la mobilità per spingere al massimo la produttività, con inevitabili ripercussioni sulla sicurezza; oppure cercano di offrire ai dipendenti in mobilità una sicurezza più rigida, accettando così un calo produttività
Gubiani spiega che Check Point ha recentemente condotto una ricerca su 700 professionisti It, che come risultato ha reso la mobilità privilegiata rispetto alla sicurezza: se il 56% spiega di essere chiamato a gestire dati aziendali (email, contatti, agende corporate e dati relativi ai clienti) anche sui dispositivi di proprietà dei dipendenti, il 44% ammette di non gestire in alcun modo i dati aziendali che si trovano sui device personali.
Questo ultimo punto è fondamentale, spiega Gubiani: quasi la metà delle organizzazioni non gestisce né protegge in nessun modo i dispositivi dei dipendenti.
Il motivo? «Sicuramente perché i team It non hanno tempo e risorse infinite da investire nella sicurezza in mobilità. Devono indicare delle priorità e il tasso di crescita dei device mobili è decisamente superiore rispetto a quello delle risorse necessarie a gestirli».
Le aziende allora possono puntare sulla disciplina dei loro utenti. Però i dipendenti vengono misurati sulle prestazioni, ed è fatale che per loro la sicurezza vada in secondo piano. Ci saranno rischi, che nella gran parte dei casi non portano a danni, anche se la possibilità di perdite accidentali rimane. Tanto che, l’87% degli intervistati, ricorda Gubiani, ha spiegato che il rischio maggiore alla sicurezza mobile della loro azienda è causato dai dipendenti imprudenti.
Allora come si affronta adeguatamente la questione della mobile security?
Intanto, dice Gubiani, non si tratta di un problema puntuale, ma di un insieme di aspetti, che va dalla protezione degli accessi remoti, alla protezione dei dati sui dispostivi, fino alla protezione dei documenti che devono essere condivisi. Senza contare la necessità di educare gli utenti ad un comoortamento consapevole.
Sono diverse le tecnologie che tentano di affrontare mobilità e sicurezza, ma nessuna costituisce una soluzione completa: nessuno è stato in grado di offrure un approccio integrato, che protegge i device mobili dalle minace, e rende sicuri dati e documenti che si trovano su questi dispositivi, in linea con le policy aziendali, permettendo comunque allo staff di lavorare in mobilità in modo semplice e sicuro.
I principali problemi legati alla mobilità sono tre:
Estendere la protezione dalle minacce ad ogni dispositivo, ovunque questo venga usato. Questo è, per Gubiani, possibile estendendo la sicurezza ai device sotto forma di servizio cloud, utilizzando un tunnel VPN criptato. Questo previene il download di file sospetti, blocca i siti malevoli e ferma i bot prima che possano fare un qualsiasi danno, proteggendo di fatto utenti, reti e dati di business dalle minacce, all’interno e all’esterno della rete aziendale.
Creare un ambiente di lavoro sicuro su ogni device per proteggere i dati aziendali. La soluzione in questo caso è creare un ambiente aziendale sicuro sul dispositivo, separando le informazioni e le applicazioni aziendali da quelle personali, e proteggendole entrambe. Ciò permette agli utenti di accedere all’email, ai documenti e agli altri asset aziendali da un workspace applicativo sicuro e cifrato sul dispositivo, che resta distinto dai dati personali.
Proteggere i documenti di business ovunque, dentro e fuori l’azienda, su ogni dispositivo – Qui si può è rendere sicuro il documento in sé, in modo che solo gli utenti autorizzati possano aprirlo e consultarlo. Il livello di sicurezza viene impostato nel momento stesso in cui il documento viene creato, e viene legato ad esso in modo inscindibile, potendo anche monitorare chi accede e utilizza il documento.
Per Gubiani adottare un approccio alla sicurezza indipendente dal dispositivo e focalizzarsi maggiormente sulla gestione e la protezione dei dati di business semplifica notevolmente le sfide legate alla mobilità. Bloccare i dispositivi in modo troppo rigido può interferire con l’esperienza di uso da parte degli utenti e con la loro privacy, e questo può condurli a cercare modalità per aggirare le policy aziendali. Inoltre, il tipo di dispositivo utilizzato per accedere e proteggere le informazioni non è più rilevante, se sono i dati e le sessioni stesse ad essere protette, e la persona che utilizza i dati vanta i diritti appropriati per farlo.
