I casi d’uso del BYOD

Non esiste un unico approccio BYOD in azienda, ma una molteplicità di casi d’uso differenti che richiedono, ciascuno, regole e tecnologie di gestione specifiche. Ecco come riuscire ad approcciare la questione al meglio.

Il tema del BYOD si sottopone a malintesi e a falsi miti, soprattutto perchè le situazioni che lo prendono in esame sono completamente diverse tra loro.
All’interno del modello BYOD, per Massimiliano Macrì Security Solutions Pre-sales Manager Southern Emea di Enterasys, si possono evidenziare molteplici scenari: si può parlare di un dispositivo che è di proprietà o meno della società (anche se il collaboratore lo utilizza come dispositivo personale), oppure dove il dispositivo abbia l’accesso o meno alla rete LAN e, ancora, con la possibilità di accedere o meno alle informazioni aziendali, e così via.

Proviamo a delineare ognuno dei vari scenari.
Il primo, è quello più ovvio, dove i singoli dispositivi che sono gestiti dalla società, sono collegati alla LAN e consentono l’accesso ai dati aziendali, rispettando più o meno le stesse condizioni che abbiamo con i pc tradizionali, anche in termini di sicurezza della rete.
L’unica differenza significativa è legata al fatto che l’azienda acquista il dispositivo, il cui costo viene sostenuto dal collaboratore, ma al quale vengono applicate comunque le policies di controllo per gli accessi e l’autenticazione dei dispositivi in rete.
Potremmo evidenziare questo scenario come “Buy” del proprio dispositivo.

Il secondo, presenta qualche complicazione in termini di protezione dei dati e lo si può gestire con un buon sistema firewall per sapere sempre cosa sta accadendo nella rete con l’utilizzo di questi dispositivi e poter prendere i provvedimenti adeguati, per tempo.

Il terzo scenario prevede che i dispositivi personali, sempre di proprietà dell’azienda, possano avere accesso ali dati ma non all’intero network aziendale. Parliamo ad esempio di una situazione dove i dispositivi mobili accedono alle risorse aziendali “in the cloud” con le reti pubbliche o private, o semplicemente accedono alla posta attraverso il firewall (usando la piattaforma Blackberry Enterprise Server) e dove la combinazione ottimale è quella di utilizzare una gestione dei dispositivi mobili (Mobile Device Management – MDM) e una soluzione di gestione delle identità basata sul cloud.
Se questi dispositivi non devono accedere alle informazioni aziendali l’utilizzo della tecnologia MDM è sufficiente, anche perchè sui dispositivi (sempre di proprietà dell’azienda) è possibile installare il software MDM che ci consente di gestire e controllare i dispositivi stessi.

Consideriamo però anche il caso in cui i dispositivi non siano gestiti dall’azienda, dove le situazioni diventano molto più difficili.
Pensiamo ad esempio ai casi dove i dispositivi hanno accesso alla LAN aziendale e ai dati ma non sono gestiti dalla società, che ci portano a dover utilizzare un sistema di controllo da remoto degli accessi in rete con apparecchiature che ci consentano anche di negare ogni connessione non conforme ai nostri criteri.
Poiché si tratta di dati aziendali, potremmo utilizzare una soluzione SSO per risolvere questo problema. Ma, che cosa accade se non si accede ai dati aziendali? Possiamo davvero evitare che chiunque usi il nostro account Dropbox?
Siamo in grado di farlo, usando un dispositivo Ips o uno strumento per il rilevamento delle applicazioni e per la segnalazione della connessione, che può disabilitare la porta firewall o le varie porte degli switch.

Se il dispositivo aziendale non utilizza la rete, l’unico punto di autenticazione disponibile è a livello di applicazione.
Ci sono strumenti che ci permettono di automatizzare il provisioning delle applicazioni e di attivare la sconnessione quando abbiamo finito di usarlo.
L’automatizzazione è necessaria, altrimenti il processo potrebbe essere troppo laborioso con il rischio di lasciare qualche ingresso aperto.

L’ultimo scenario è il più difficile da gestire: si tratta di un dispositivo che non è di proprietà della società, che non accede ai dati aziendali e che non utilizza la nostra rete: parliamo dei social media, dove non abbiamo alcun controllo (almeno dal punto di vista tecnico) e il rischio maggiore è legato al fatto che qualcuno esprima pareri negativi in rete sulla nostra azienda.

Alcuni penseranno che questo aspetto non è strettamente collegato al tema del BYOD, ma invece lo è, poiché le aziende acquistano per i loro dipendenti smartphone che non vengono esclusivamente utilizzati per le attività lavorative e se questi dispositivi non riescono a utilizzano la rete, diventano assolutamente inutili.

Gestione dei dispositivi mobili in un contesto BYOD: le impronte digitali
Come evidenziato, in alcuni di questi contesti BYOD è indispensabile poter disporre di sistemi per tenere sotto controllo tutti i dispositivi mobili che accedono alla rete aziendale. Un sistema di Mobile Device Management (MDM) permetterà di gestire anche le applicazioni mobili utilizzate su questi dispositivi (visualizzazione, modifica, blocco), la gestione del parco acquistato (sia hardware che software) e le policies di sicurezza (regole aziendali, autenticazione, crittografia, reti wireless, note e ignote) e di coordinare i servizi delle comunicazione elettroniche.

Dalle informazioni fornite dal sistema di MDM, è possibile generare l’impronta digitale del dispositivo che comprende un sacco di informazioni sul dispositivo stesso: Imei o codice di identificazione del dispositivo, il tipo di accesso che si sta utilizzando, l’identità del dispositivo (fisica e virtuale), il sistema operativo e la versione, il tipo di dispositivo (tablet, smartphone, ecc.), il luogo e l’ora del giorno in cui ci si collega, il provisioning delle applicazioni richieste, il sistema di autenticazione utilizzato, lo stato di salute (patch antivirus installate, le applicazioni installate e il livello di rischio potenziale di ciascuna, ecc.) e risorse di rete a cui è autorizzato ad accedere.

Ogni reparto IT potrà applicare policy differenti in ciascuno dei casi. Ad esempio, è possibile impostare la regola a un dispositivo con una specifica applicazione installata che non può accedere alla rete, oppure potrà solo avere accesso wireless a Internet, come utente ospite senza accesso al network aziendale.
L’operazione congiunta dei sistemi di gestione di rete di monitorare e autorizzare le connessioni ai dispositivi di rete e delle soluzioni MDM che conoscono lo stato di ogni dispositivo mobile collegato è fondamentale per progettare un sistema in ambienti BYOD che gestisca informazioni critiche o riservate.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome