SearchCompliance.com ha intervistato i partecipanti a una conferenza virtuale dal titolo “Esigenze di sicurezza mobile” e ha avuto conferma del fatto che una strategia afferente al BYOD è un dovere e che “controllare e bloccare” non è la scelta giusta.
E-mail personali, social networking, blogging, instant messaging, video chat. Secondo un recente sondaggio condotto da SearchCompliance.com, il 27% e più degli intervistati sostiene che queste attività sono consentite all’interno delle proprie organizzazioni. Ma quando si tratta di garantire l’incolumità dei dati aziendali contro i rischi associati a questa tendenza in crescita, la risposta lascia un po’ a desiderare.
SearchCompliance.com ha organizzato il 16 luglio scorso una conferenza virtuale sulle “Esigenze di sicurezza mobile” e ha intervistato un campione composto da 654 partecipanti. Di questi, il 63% si dice convinto del fatto che la propria organizzazione sia “abbastanza sicura” e il 12% la ritiene “totalmente sicura” per quanto riguarda le infrastrutture relative a dispositivi, applicazioni e sistemi informativi. Tuttavia, un altro 25% ha rilevato che la propria organizzazione è “per la maggior parte non protetta” oppure “completamente non protetta”.
“Le aziende e gli sviluppatori software si stanno dando da fare per approfittare delle opportunità offerte dai dispositivi mobili – ha esordito Lisa Phifer, presidente della società di consulenza americana Core Competence -. Troppo spesso, però, lo fanno senza dotarsi delle necessarie misure per garantire la sicurezza e la privacy”.
Forse i diversi approcci alla sicurezza dei dispositivi mobile sono dovuti all’inattesa esplosione del fenomeno della consumerizzazione IT. Quando è stato chiesto qual è la prima reazione di fronte al termine consumerizzazione IT, il 28% del campione ha affermato che l’impulso iniziale è “controllare e bloccare” mentre il 62% vorrebbe “attivare e sostenere”.
L’approccio migliore è una combinazione dei due, ha detto John Harris, vice presidente globale della strategia IT del colosso farmaceutico inglese GlaxoSmithKline. “Dobbiamo pensare in modo diverso – ha detto Harris -. Dobbiamo pensare soprattutto all’utente e a come possiamo aiutarlo a essere più efficace nel fare quello che deve fare in un modo che sia abbastanza sicuro per soddisfare le esigenze della nostra organizzazione e, soprattutto, senza aumentare l’esposizione verso le minacce e i pericoli alla sicurezza”.
La possibile perdita dei dati aziendali dei clienti è stata valutata come il timore maggiore in merito alla consumerizzazione IT (citata dal 32% degli intervistati), seguita dalle potenziali violazioni della sicurezza delle reti (24%) e dalla difficoltà di riuscire a soddisfare i requisiti di conformità (15%).
“Una strategia del BYOD è un dovere – ha incitato il legale specializzato in materia di tutela della privacy Johan Vandendriessche -. È necessario sensibilizzare l’opinione pubblica perché numerose infrazioni sono possibili semplicemente perché le persone non sono consapevoli di ciò che sta facendo”.
Consumerizzazione IT e processi aziendali
Agli intervistati è stato anche chiesto di stabilire per quanti dei loro progetti IT più grandi nel 2012 sarà giustificata l’abilitazione, la protezione o la gestione dell’IT consumerization. Il 52% ha sostenuto che questo avverrà in “pochi” dei loro progetti di grandi dimensioni, il 33% ha detto che non avverrà in “nessuno” e solo il 15% ha anticipato che questo tipo di strategia è previsto per “molte” iniziative IT.
Numerose e variegate le risposte quando agli intervistati è stato chiesto di stimare l’impatto della consumerizzazione IT sul loro modo di erogare i servizi informatici: il 49% ha detto che questa tendenza ha influenzato i processi IT “un poco” e il 35% “molto”. Il 10% ha sostenuto che nulla è cambiato a causa dell’IT consumerization e il 5% ha dichiarato che i cambiamenti legati a questa tendenza sono stati “sostanziali” e hanno “alterato in maniera sostanziale il lavoro del reparto IT”.
“Sono finiti i tempi in cui l’IT si poteva arrogare tutti i diritti relativi all’installazione del software, all’accesso, alla sua gestione e manutenzione – ha detto Phifer -. Su smartphone e dispositivi mobili, l’IT non può assumere la responsabilità della scelta del dispositivo, del test e del deployment di programmi approvati”. Invece, nel mondo mobile, gli utenti finali e quelli aziendali sono tipicamente quelli che guidano la selezione delle applicazioni, modificando radicalmente il ruolo dell’IT.
“Per gli smartphone e i tablet, il compito dell’IT è ormai diventato quello di consigliare e raccomandare l’installazione di applicazioni mobili sicure, caldeggiare la revisione e la risoluzione delle vulnerabilità, controllare i dispositivi che utilizzino applicazioni non sicure o sconosciute, e suggerire l’adozione di provvedimenti correttivi per isolare i dati e le reti aziendali dagli impatti negativi di virus, malware o comportamenti poco ortodossi”, ha sentenziato Phifer.
Quando è stato chiesto al campione chi si occupa delle strategie di consumerizzazione all’interno della loro organizzazione, il CIO è stato citato dal 65% degli intervistati, seguito da vicino dal direttore IT (58%), mentre l’amministratore delegato è stato citato in oltre il 40% dei casi. Tuttavia, va detto che diversi intervistati hanno sostenuto che queste strategie hanno una responsabilità di tipo trasversale, citando posizioni che vanno dal CISO al responsabile delle risorse umane o a quello delle risorse finanziarie come titolari, congiuntamente, della strategia di IT consumerization. Questo approccio trasversale è sicuramente qualcosa cui abituarsi, a causa del grande cambiamento che l’uso personale dei dispositivi mobili sta avendo sull’ambiente economico, ha detto Harris. “Gli utenti sanno scegliere sempre più in autonomia come, quando e dove lavorare – ha concluso -. Avremo ancora un desktop aziendale? Sì, probabilmente ancora per qualche tempo. Ma abbiamo già capito da un po’ che il mondo non gira più attorno a questo come unico strumento per lavorare. Quell’epoca è già finita…”.
