Alcuni utili consigli per comprendere se siete già in grado di rendere la vostra infrastruttura BYOD-ready e, nel caso, intervenire tempestivamente per renderla conforme a questa nuova tendenza.
Il BYOD è destinato a cambiare il modo di operare delle organizzazioni. Ecco perché un numero sempre più elevato di aziende inizia a pensare all’adozione di programmi e policy specifiche per questo tipo di applicazioni.
Tuttavia, la maggior parte cerca ancora di affrontare la questione con metodi “ad hoc”.
Dato il ritmo con cui i nuovi dispositivi personali entrano nell’ambiente di lavoro, le imprese si trovano ad affrontare numerose difficoltà nel tentativo di cercare di rendere pronta la propria infrastruttura “a prova di BYOD”, soprattutto alla luce del fatto che non esiste una formula universale che possa andare bene per tutti.
Aumentare l’indipendenza dal dispositivo è una questione fondamentale. Se questo non avviene, le soluzioni ad hoc vengono rimesse in discussione in ogni momento, quando nuovi dispositivi non supportati si inseriscono nel vostro ambiente. Questo genera un aumento di costo e produce nuovo stress per il reparto supporto, per non parlare dell’incubo che rappresenta per i responsabili della sicurezza.
Una roadmap strategica a livello enterprise è, quindi, necessaria al fine di rendere le architetture pronte per le infrastrutture BYOD, garantendo l’indipendenza degli endpoint da rete, dati, supporto e applicazioni.
L’indipendenza degli endpoint
La focalizzazione su un set di policy e su infrastrutture tali da rendere indipendenti gli endpoint rispetto agli elementi sopra descritti risulta fondamentale.
Tenete a mente gli obiettivi strategici, votati a ridurre al minimo le esigenze di supporto e massimizzare la sicurezza.
Formulate una tabella di marcia che si muove verso questo obiettivo, un passo alla volta.
Alcune delle cose da tenere a mente sono:
1. Sicurezza
Da un punto di vista della sicurezza, l’architettura ha bisogno di cambiamenti che rendano la rete il punto di controllo primario. Con il BYOD, dato che il dispositivo non è di proprietà dell’organizzazione, si pone il problema che il device non può essere assicurato come se fosse un endpoint aziendale.
La sicurezza deve, quindi, essere garantita in qualche altro punto della rete.
Implementare i controlli di accesso alla rete, la segmentazione della rete e controlli dinamici sugli accessi, basati sul livello di fiducia del dispositivo e dell’utente, è pertanto necessario. Dovranno, in definitiva, essere stabilite policy e interventi precisi per analizzare e bloccare i dispositivi non autorizzati sulla rete.
2. Protezione dei dati
Per ottenere infrastrutture pronte per il BYOD, l’architettura deve essere in grado di identificare, isolare e proteggere i dati aziendali sui dispositivi.
3. Supporto
Limitare il vostro supporto ai dispositivi che sono essenziali per l’indipendenza degli endpoint può ridurre notevolmente i costi. Un portale self-service potrebbe aiutare a minimizzare le richieste e gli interventi di helpdesk.
Per la completa disponibilità del BYOD è necessario fornire diversi livelli di supporto a diverse tipologie di dispositivi. Occorrerà trovare il giusto equilibrio tra il sostenere una più ampia gamma di dispositivi e il garantire un minore livello (e costo) di supporto.
4. Policy
Le policy BYOD devono essere sufficientemente flessibili e all’avanguardia per rispondere ai nuovi scenari dei casi d’uso. Le policy dovranno essere riviste regolarmente, comunicando tempestivamente agli utenti finali le novità e i cambiamenti introdotti.
Assicuratevi che esistano policy che prevedono la pulizia completa dei dispositivi remoti in caso di furto del device o di uscita dall’organizzazione del dipendente.
Controllo dinamico degli accessi
L’implementazione del controllo dinamico degli accessi è essenziale per ampliare la disponibilità della vostra infrastruttura nei confronti del BYOD.
Iniziate partendo dall’assunto che quello che andrete a supportare è un ambiente intrinsecamente ostile. Con gli utenti ormai abituati a essere connessi sempre, ovunque e su qualsiasi dispositivo, un unico livello di accesso non è più appropriato.
Gli endpoint possono essere tenuti sotto controllo in vari modi, attraverso la localizzazione fisica e virtuale, verificando la cronologia degli utilizzi e in molti altri modi.
I test possono aiutare a determinare le condizioni di sicurezza del dispositivo.
Fate leva sull’architettura di rete per invocare il controllo dinamico degli accessi basato sulle credenziali di autenticazione e sulla proprietà del dispositivo.
I vostri server di directory dovrebbero essere pensati per arbitrare l’accesso, prevedendo l’accesso completo alle risorse IT aziendali da parte dei soli device di proprietà della società e da essa direttamente gestiti, tramite tunnel IPSec/SSL.
I dispositivi controllati direttamente dagli utenti, registrati però nel vostro programma BYOD, potranno ottenere un accesso parziale, attraverso thin client, SSL e NAC.
I dispositivi non registrati o sconosciuti, che possono essere solo parzialmente autenticati, potranno beneficiare di un accesso estremamente limitato alle applicazioni Web e ai server tramite SSL, lavorando in una configurazione clientless.
Architettura di application delivery
Per un’infrastruttura BYOD-ready, l’architettura applicativa deve evolversi tenendo a mente che il futuro vedrà una proliferazione del numero e delle tipologie di dispositivi senza fili personali utilizzati per scopi aziendali.
Non è consigliabile investire massicciamente in tutte le piattaforme quando si tratta di ambienti diversi.
L’architettura di delivery delle applicazioni ha bisogno di separare i dati consumer e business e le risorse computazionali sui diversi dispositivi sfruttando metodi di isolamento e architetture più leggere. Le soluzioni di gestione dei dispositivi mobili (MDM) si preparano a diventare un mezzo popolare utilizzato per integrare una maggiore sicurezza e gestibilità all’interno dei device e dovrebbero essere parte integrante della vostra infrastruttura BYOD, creata per ottenere un ambiente regolato da specifiche policy e segmentato.
Per modificare l’architettura di application delivery, considerate i seguenti approcci:
• Sul lato server
1) Web/server-based computing
2) Aree di lavoro e applicazioni virtualizzate on demand
3) Virtual desktop hosted, che imitano i desktop pur mantenendo le applicazioni e i dati in remoto
• Sul lato del dispositivo
1) Client di accesso sicuro e soluzioni MDM per la gestione completa del dispositivo e i controlli di sicurezza
2) Utilizzo di certificati per controllare la proprietà e gli accessi
3) Utilizzo di sandbox o framework che consentano di isolare i dati e le applicazioni aziendali
4) Prevedere ambienti di lavoro virtuali e introdurre la possibilità di compiere modifiche a livello hardware, come per esempio la disattivazione delle telecamere/antenne per proteggere le applicazioni e le informazioni.
Idealmente, è consigliabile mantenere tutti i dati aziendali al di fuori degli endpoint. Tuttavia, considerando la connettività e le esigenze di disponibilità dei dati dei lavoratori di oggi, questo potrebbe non essere sempre fattibile.
Laddove ciò non sia possibile, insistere sulla crittografia obbligatoria dei dati e compensare facendo in modo che i dati sugli endpoint aziendali non si mescolino mai con quelli degli utenti, in modo da poter cancellare i dati aziendali o spegnere remotamente il dispositivo laddove la situazione lo richieda.
