Tecnologia e innovazione al servizio delle aziende

BYOD and IT Consumerization

Il termine IT Consumerization, italianizzato spesso in un pessimo consumerizzazione dell’IT, sta ad indicare la possibilità, da parte di un dipendente, di portare ed utilizzare, sul posto di lavoro, i propri dispositivi tecnologici. Si tratta di un fenomeno non recente, iniziato alcuni anni fa, quando i dipendenti iniziarono a portare in ufficio i propri notebook e ad utilizzarli in complemento o in sostituzione a quelli aziendali. Le motivazioni erano molteplici: dall’obsolescenza di molti dispositivi forniti dal datore di lavoro (che non può, per ovvie ragioni economiche, essere sempre allineato con le ultime novità tecnologiche), alla possibilità di utilizzare software non presente in azienda, alla possibilità di portarsi il lavoro a casa (e quindi di poter utilizzare un unico PC, sia in ufficio che fra le mura domestiche). In tal caso si parlava di BYOC (Bring Your Own Computer) o di BYOPC (Bring Your Own PC). La connessione dei PC del dipendente alla rete aziendale poneva non pochi problemi di sicurezza quali, ad esempio, la diffusione di virus e malware o la fuoriuscita non controllata di documenti riservati dalle mura dell’azienda. Per fortuna, la standardizzazione dei PC (hardware) e la possibilità intrinseca di configurazione remota dei principali sistemi operativi forniva la possibilità di risolvere la maggior parte dei problemi di sicurezza come, ad esempio, il blocco della connessione di rete se sul PC dell’utente non era installata una determinata versione del sistema operativo con un determinato antivirus, forzare l’installazione delle patch di sicurezza, bloccare l’utilizzo di determinati software dall’interno del perimetro aziendale, etc.
byod01Poi sono arrivati i device mobili… e le cose si sono ulteriormente complicate: i dipendenti hanno iniziato ad utilizzare i propri smartphone, i propri tablet, i propri eBook Reader sul posto di lavoro sfruttando la connessione WI-FI dell’azienda, utilizzando il PC aziendale per l’aggiornamento dei dispositivi o, per gli utenti più esperti, accedendo a dati e applicazioni aziendali; molti si sono spinti oltre, accedendo alla rete aziendale, dall’esterno tramite l’utilizzo della connessione 3G fornita dall’operatore telefonico. Si parla, quindi, di BYOD (Bring Your Own Device). E’ un fenomeno in continua espansione: secondo Gartner, l’IT Consumerization, sarà la tendenza che influenzerà maggiormente l’IT nei prossimi anni.Queste pratiche rendono arduo il compito dei reparti IT che, spesso, perdono il controllo dei device connessi alla rete aziendale e non sono in grado di verificare quali informazioni entrano ed escono dall’azienda; ad esempio, l’utilizzo non controllato di strumenti cloud e social può causare la divulgazione, anche involontaria, di informazioni riservate. Fino ad ora le aziende hanno tollerato questi comportamenti… ma ora vogliono riprendere il controllo della situazione: il modello BYOD permette alle aziende di consentire ai dipendenti di utilizzare i dispositivi personali anche per lavoro cercando di mantenere alti i livelli di sicurezza aziendale, di limitare la fuga di informazioni e di individuare eventuali comportamenti scorretti, molesti e/o criminali.
byod02BYOD, quando è correttamente gestito e governato, porta anche numerosi vantaggi per le aziende:
  • il dipendente si trova ad utilizzare tecnologie semplici, innovative, intuitive che richiedono minimi tempi di apprendimento con conseguente riduzione dei costi di formazione del personale;
  • risparmi sui costi dell’hardware, delle licenze software, dei contratti di manutenzione (li ha sostenuti il dipendente);
  • aumenti in produttività dei dipendenti in quanto, essendo proprietari dei dispositivi, sono in grado di sfruttare al massimo le potenzialità che essi forniscono;
  • i mobile device sono disponibili 24 ore su 24 consentendo al dipendente di lavorare anche fuori dal luogo di lavoro e in orari non prettamente standard.;
Per tali motivi, sempre in più aziende sono interessate a BYOD.

Nascono, però, dei conflitti: per poter essere utilizzati sul luogo di lavoro, i dispositivi personali devono essere in qualche modo soggetti al controllo dell’azienda che, spesso, vuole blindare i dispositivi per evitare l’installazione di software dannosi o per impedire l’accesso a risorse critiche con evidenti preoccupazioni da parte del dipendente che non vuole che l’azienda acceda al dispositivo ed, eventualmente, ai dati personali in esso contenuti.Bisogna quindi giungere a compromessi definendo dei modelli che garantiscano la sicurezza dell’azienda e la privacy dell’utente: una buona prassi è quella di stabilire quali strumenti l’utente può installare sul proprio dispositivo bloccando, di conseguenza, quelli non consentiti, quando il dispositivo si trova nel perimetro aziendale. Si devono anche definire i comportamenti approvati, quelli tollerati e quelli obbligatori.

byod03La soluzione è rappresentata dall’utilizzo di strumenti di Mobile Device Management che, tramite la costruzione di un repository, consentiranno di:

  • censire i device connessi alla rete aziendale;
  • censire le applicazioni utilizzate dagli utenti, la loro frequenza di utilizzo, i siti più visitati,…;
  • in base ai censimenti precedenti, attuare le configurazioni alla rete e ai firewall aziendali;
  • attuare l’enforcement di policy di rete per la salvaguardia dei dati aziendali;
  • configurare, attivare e disabilitare le principali funzioni del dispositivo (i produttori bloccano o non implementano funzioni di gestione remota; ad esempio, non è possibile obbligare un utente ad installare un’applicazione sul dispositivo…. ma è possibile bloccare una connessione di rete verso un’applicazione aziendale, se questa non avviene secondo determinate regole);
  • richiedere all’utente di installare/rimuovere applicazioni;
  • etc.
Anche l’accesso alla rete aziendale (sia WI-FI che il 3G) dovrà essere mediato tramite la fornitura di opportuni gateway che consentiranno di governare le connessioni dei mobile device alla rete aziendale e ne impediranno comportamenti scorretti.

Durante la mia attività lavorativa, in ambito BYOD e BYOC, mi sono occupato della stesura delle linee guida per l’introduzione di dispositivi personali all’interno di alcune importanti realtà aziendali italiane e per la selezione/progettazione degli strumenti e delle piattaforme tecnologiche da utilizzare. Sono inoltre autore e docente di diversi seminari sulle tecnologie mobili e su BYOC.