Dispositivi mobili in sicurezza. Potenza delle soluzioni EMM

Cresce lo spazio della mobilità presso le aziende. Con conseguenze importanti anche nel modo di affrontare il tema della sicurezza. A partire dalla riscrittura delle policy, che devono guardare oltre il limitato orizzonte della difesa del mero hardware dei device. In questo contesto, la prima generazione di console di gestione dei device mobili rischia di non essere più adeguata alle esigenze del business. E per le aziende, orientarsi tra le tecnologie EMM diventa impellente

Il problema c’è. Ed è grosso come una casa. La crescita inarrestabile nella diffusione dei device mobili è stata ignorata dalle aziende, che se ne sono praticamente infischiate, non solo dei problemi di sicurezza, ma di tutte le fasi del ciclo di vita dei device. Registrazione, provisioning, configurazione e così via.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

IDC definisce ambivalente il rapporto delle aziende italiane rispetto alla mobility. «Inizialmente, l’approccio è stato quello di adottare le misure di base di sicurezza, cercando soprattutto di gestire il fenomeno della mobility con mosse di basso profilo, orientate alla risoluzione di problemi immediati» – afferma Gabriele Roberti, senior research & consulting analyst di IDC Italia. Solo in pochi casi si è provveduto alla gestione dei device mobili. E ancora meno a integrare quelli personali. Molto più spesso invece, la decisione è stata quella di bloccarne l’utilizzo anche quando l’impiego si limitava a scopi aziendali. Manovre tattiche soprattutto. Molto lontane da un approccio di più ampio respiro. E poca strategia. Per provare a governare il fenomeno della mobility, globale e inarrestabile. «Le aziende devono imparare ad accettarlo e possibilmente a coglierne i vantaggi che presenta. In termini di miglioramento della competitività. E di servizio al cliente» – concorda Roberti. Ma allo stesso tempo provare a fare anche i conti con i problemi che la governance presenta. Un percorso che porti management e IT a concentrarsi sull’ecosistema che tramite la mobility interagisce con le informazioni e gli asset aziendali (device, app, dati, network e infrastruttura), allineando i propri sistemi IT aziendali.

«Un numero crescente di imprese affronta questa evoluzione con un approccio strategico. Di conseguenza, il mercato delle soluzioni e dei sistemi per l’enterprise mobility conosce uno sviluppo molto rilevante» – afferma Roberti. Tutte le stime disponibili parlano di una crescita che nei prossimi anni sarà impetuosa. Una delle più recenti, redatta da Ovum, parla di un mercato che quadruplicherà il suo fatturato nei prossimi tre anni. Una nicchia interessante anche per investire. Come dimostra la recente acquisizione di Good Technology, una delle aziende leader del settore, da parte di RIM, i produttori canadesi di BlackBerry. Ma si tratta anche di un mercato le cui correlazioni con le vendite di smartphone e device mobili sono tutte da verificare. Per esempio, il segmento consumer è dominato dalla piattaforma Android, mentre in quello enterprise, è iOS di Apple a imporsi. Una situazione ribaltata, nella quale Android sconta forse una frammentazione delle versioni di sistema operativo in circolazione e un livello di sicurezza tutto da costruire. Se nel comparto consumer, ci si può anche permettere di delegare quasi interamente la gestione della sicurezza in mano all’utente in ambito aziendale – dove è invece l’organizzazione a doversene occupare in prima persona – la sicurezza, che una certa piattaforma riesce a garantire, conta parecchio nelle scelte d’acquisto. E anche i numeri sono molto diversi, con i dati delle vendite dei device mobili destinati alle aziende di parecchie volte inferiori a quelle del settore consumer. IDC stima che in Italia il mercato delle soluzioni EMM (enterprise mobility management) nel 2014 abbia raggiunto i 30 milioni di euro.

«Nell’arco dei prossimi tre anni, cresceranno con incrementi annui superiori all’8%, in linea con gli altri principali paesi europei. Finance, telco e media sono i settori in cui l’adozione di piattaforme di EMM è maggiore, seguiti dal manufacturing. In particolare, ciò si lega all’utilizzo di mobile device e app in processi rinnovati e innovativi, per migliorare la competitività aziendale e il servizio al cliente» – afferma Roberti. Ma a fronte di un mercato ancora di nicchia, la consapevolezza di doversi dotare di una soluzione di gestione difetta sempre meno. Tuttavia, questo percorso per definirsi evoluto «deve andare in direzione di uno spostamento dell’attenzione dalla protezione del device a quello della mobilità intesa in modo olistico, comprendendo anche e soprattutto le applicazioni e i contenuti».

Leggi anche:  Il tempo è il fattore critico: cosa le aziende devono ancora capire degli attacchi ransomware

Policy e governance

Lungo questo cammino, anche la redazione delle policy dovrà essere all’altezza dell’evoluzione auspicata. è indubbio che un insieme anche limitato di regole apporti quel minimo di ordine e sicurezza che sono indispensabili per muoversi in un ambiente ostile come quello della rete. Facilita l’accoglimento delle richieste BYOD e la loro integrazione all’interno dei sistemi aziendali, rete compresa, generando presso i collaboratori maggiore soddisfazione che deriva dal poter utilizzare i device che conoscono e preferiscono. Quanto queste policy siano oggi diffuse nel nostro Paese però possiamo solo stimarlo. IDC afferma che nel Regno Unito circa il 20-25% delle aziende prevede una qualche forma di governance del mobile, anche soltanto generici riferimenti al comportamento che il dipendente deve adottare nell’utilizzo dei device mobili riportati nel regolamento aziendale. Ma tutte le altre? La maggioranza sembrerebbe ancora lontana da qualche passo concreto. Anche se tra queste è probabile che una buona parte stia ragionando sul come correre ai ripari. La situazione italiana potrebbe assomigliare al quadro UK. La sicurezza raramente è al primo posto quando si tratta di elaborare una strategia di gestione dei mobile device (MD). Strategia che in genere non viene elaborata dall’IT ma dal management, che spesso ha altre scale di priorità rispetto all’IT. La situazione si complica quando a latitare sono le idee chiare. Prendiamo l’esempio del BYOD.

L’azienda potrebbe essersi già confrontata con le richieste provenienti dai propri collaboratori. Ma autorizzare l’utilizzo di device personali comporta una serie di valutazioni. E almeno, tre piani di analisi da considerare: costi e vantaggi per l’azienda, per l’IT (quali problemi di sicurezza da affrontare, soluzioni a disposizione, come agire sul personale) e per il collaboratore (modalità di utilizzo dello smartphone e limiti che l’azienda deve imporre, aspetti che potrebbero anche non collimare. Infatti, l’utente potrebbe non accettare controlli troppo invasivi sui propri device e dati personali, Snowden docet). Raggiungere un punto di equilibrio tra tutti questi aspetti potrebbe non essere agevole. Capita inoltre che l’azienda non sia in grado di mettere a fuoco le proprie esigenze. Riuscire a esprimere una posizione chiara – frutto di una matura consapevolezza sia degli obiettivi da raggiungere che delle risorse da allocare – è essenziale per fissare tempi e modi di realizzazione di un progetto d’integrazione mobile al proprio interno, che deve essere articolato su un sistema di controlli con almeno tre livelli di intervento: identificazione di utenti e dispositivi; configurazione, provisioning e protezione dei dispositivi. Tutte queste attività – che sono il cuore di quanto l’azienda dovrebbe riuscire a implementare per tutelare la sicurezza dei suoi dispositivi e gestirli all’interno della propria architettura IT – richiedono un intenso lavoro preparatorio, che ha molte più probabilità di portare al successo se almeno in parte è stato già svolto in precedenza. Ad esempio, nella gestione e messa in sicurezza di pc e server. Una buona base di competenze ed esperienze è di inestimabile valore per partire con un progetto di gestione dei MD. Se tutto questo è stato svolto con perizia, si può ipotizzare che anche la scelta della tecnologia più adatta al supporto dei propri obiettivi poggerà su basi solide.

Come scegliere la tecnologia giusta

«Quando alle spalle c’è un lavoro di analisi puntuale delle proprie esigenze, dei mezzi a disposizione, degli obiettivi che si intendono raggiungere, allora anche individuare la tecnologia più adatta diventa più semplice» – concorda Alessio L. R. Pennasilico, membro del consiglio direttivo di CLUSIT. Certo, non sempre l’azienda è in grado di stabilire quali sono le proprie esigenze e di tradurle in un progetto aderente. Possono sorgere degli intoppi. Per esempio, la tecnologia che servirebbe, costa troppo. Oppure mancano le risorse per gestirla. Ma se si sa quel che si vuole, si è più pronti a cogliere le opportunità offerte dal mercato. Come l’offerta del carrier telefonico che a fronte di un investimento contenuto consente di portare a casa una soluzione in grado di far fronte benissimo alle proprie esigenze. Naturalmente, ogni opzione va valutata. Dipende dal contesto in cui ci si trova a operare. «Se io fossi l’AD di una società che produce missili, non mi piacerebbe sapere che una copia di tutte le email e della documentazione tecnica immagazzinata sui miei dispositivi mobili è stata salvata su un server dell’operatore telefonico» – osserva Pennasilico.

Leggi anche:  Il 2024 della cybersecurity secondo Rubrik

Senza dubbio, i MD sono a rischio. Secondo una ricerca di Trustwave, il 90% delle vulnerabilità rilevate sui pc è presente anche sui device mobili indipendentemente dal sistema operativo installato. Perdita e sottrazione dei dati, ddos e malware sono le minacce più pericolose e sono in continua evoluzione. Sappiamo che anche le app sempre più utilizzate dalle aziende sono insicure. E andrebbero prima testate. Là fuori si sta giocando una battaglia all’ultimo sangue per impadronirsi delle vulnerabilità “zero-day” e di quelle più redditizie. Se tutto questo non bastasse ancora, sappiamo che lo spionaggio può intercettare le chiamate e impadronirsi dei nostri dati. Le sfide come le opportunità di questo scenario fungono da potenti magneti per i vendor di soluzioni EMM. Buona parte delle loro strategie di comunicazione verte proprio sui vantaggi che la governance del mobile apporta, a partire dal soddisfacimento delle richieste della forza lavoro di utilizzare device che conoscono e apprezzano. Con immensa soddisfazione delle aziende, baciate da dosi supplementari di produttività e flessibilità a fronte di minori costi. Certo, dietro alle lusinghe del marketing c’è anche sostanza. Prova ne è la velocità con cui queste piattaforme evolvono. Tecnologie che da mere soluzioni a supporto del business si stanno trasformando in strumenti sempre più completi di gestione dei mobile device, anche dal punto di vista della sicurezza. Tuttavia, per le aziende orientarsi tra le pieghe di un’offerta in continua evoluzione non è semplice. Perché non lo è gestire la crescente complessità dell’ecosistema mobile. Perciò comprendere appieno le caratteristiche delle tecnologie EMM rappresenta già un bel passo avanti. In sintesi, consentono di gestire i mobile device, le applicazioni e i dati. Queste funzionalità fanno capo a moduli separati.

Per esempio, quello preposto alla gestione degli accessi al software e che consente di monitorare chi accede a cosa (applicazione) e da quale device, sia esso fornito dall’azienda o di proprietà del collaboratore prende il nome di MAM (mobile asset management). MDM (mobile device management) invece è la console dalla quale settare tutte le impostazioni di sicurezza sul device. Dall’impostazione della complessità delle password sino al wipe da remoto del device in caso di furto o smarrimento. Infine, il modulo MIM (mobile information management) consente di gestire e proteggere le informazioni, dai dati residenti sulla memoria del dispositivo a quelli in transito dal dispositivo mobile verso la rete. Il controllo può avvenire attraverso la creazione di una lista delle tipologie di dati che i device possono inviare sulla rete; oppure impostare livelli di controllo sulle info trasmesse. Per scrivere tutte queste regole servono idee chiare sin dall’inizio. Un lavoro preparatorio all’altezza. E perizia nell’impostazione sulla console. Aspetti che possono essere esaltati o frenati a seconda della soluzione scelta. E anche il tempo è un fattore importante da considerare. D’altra parte, stabilire a priori le risorse necessarie per selezionare il prodotto e capire quali attività organizzative mettere in campo affinché il prodotto scelto consenta di realizzare i propri obiettivi può non essere agevole. «In alcuni i casi, i progetti sono durati dei mesi perché dall’idea di gestire i dispositivi mobili è stato necessario svolgere una mole di lavoro preparatoria importante» – ci dice Pennasilico. Ma le cose possono anche prendere una piega diversa. «Ci sono aziende dove nel giro di pochi incontri, diluiti lungo l’arco di un mese, siamo riusciti a rispondere alle loro richieste. Non ci trovavamo di fronte a un’idea estemporanea. Il management aveva già fatto alcune scelte e alcuni prodotti erano stati valutati. Tutte le info utili erano disponibili. A questo punto, misurando tutti i KPI si arriva a identificare un prodotto che può essere quello adatto per i prossimi 3-5 anni» – sintetizza Pennasilico.

Le soluzioni EMM sono la risposta?

Il trend mobile va governato, non subito. Necessariamente con una propria strategia. Detto questo, ogni azienda fa storia a sé. Con le proprie esigenze e possibilità. Ogni realtà ha i suoi tempi per arrivare alla messa in campo della soluzione. Non ci sono tempi prestabiliti. Né percorsi obbligati. L’importante è essere consapevoli della complessità e dei pericoli connessi al mobile. è importante che l’azienda – come suggerisce IDC – analizzi il proprio “stadio di maturità” nel percorso evolutivo verso l’enterprise mobility. Mettere in campo progetti pilota, sperimentare, prepararsi è sempre preferibile all’immobilità o al muoversi per inerzia. Senza strategia e senza le giuste domande qualsiasi progetto è destinato a fallire. Detto tutto questo, nemmeno le soluzioni EMM sono la risposta univoca nella gestione dei mobile device. Se ci si chiede quanta sicurezza sono in grado di apportare queste soluzioni si rischia di finire fuori strada. Non perché non sia la domanda giusta da farsi. Tutt’altro. Il rischio è di non poter arrivare a una risposta univoca. Perché per apprezzare appieno le funzionalità delle tecnologie EMM è necessario che l’azienda/organizzazione abbia lavorato molto e bene prima. Sulle regole che gestiscono la propria realtà. E prima ancora sulle proprie persone. Anche e soprattutto in termini di sicurezza sui propri sistemi IT. Isolare queste soluzioni dal resto – e cioè dalla realtà in cui vanno a inserirsi – è un errore, che rischia di portare a un’errata valutazione delle potenzialità di queste tecnologie. Esponendosi così al rischio di non riuscirne a sfruttarne appieno le funzionalità. Al contrario, a patto di aver svolto con diligenza prima i propri compiti a casa, queste tecnologie possono aggiungere quel tassello di sicurezza a cui l’azienda non può rinunciare.

Leggi anche:  DPO e CISO, collaboratori o avversari?

EMM: CENTRALIZZAZIONE, INTEGRAZIONE E OTTIMIZZAZIONE DELLE ARCHITETTURE DI MOBILITÀ

Per Matteo Masera, direttore commerciale di PRES, il posto di lavoro attuale richiede, e sempre più richiederà, un approccio combinato tra lavoratori in ufficio e lavoratori connessi da remoto, siano essi dipendenti, fornitori, consulenti o partner. «Questa nuova concezione del posto di lavoro – spiega Masera – ha un fortissimo impatto architettonico e tecnologico sulla progettazione e sulla realizzazione dei nuovi uffici e dei sistemi che potranno garantire i servizi necessari». Non solo. «Finora le soluzioni implementate dai diversi Vendor, e quindi dai clienti, hanno risposto alle singole necessità che di volta in volta sorgevano. Per questo oggi i clienti si trovano a dover gestire una elevata complessità per poter gestire le diverse piattaforme, necessità e autorizzazioni degli utenti.

Con il BYOD si è iniziato a dare una risposta di semplificazione, ma non si è arrivati a una vera e unica piattaforma di gestione della mobilità. «Le soluzioni EMM si propongono invece come veri e propri sistemi di orchestrazione e configurazione delle architetture di mobilità, sommando ai sistemi BYOD i sistemi MDM, e permettendo così di gestire centralmente tutte le policy, assicurando l’integrità di tutti i sistemi che si collegano in qualunque modo alla rete. Con i sistemi MDM, la mobilità viene gestita da un unico tool, permettendo e facilitando la creazione di policy coerenti per tutti i device, a parità di profilo, e abbattendo così i costi di gestione».