Mai come in questi anni, tecnologia e connettività stanno rendendo sempre più sottile il limite che separa la giornata lavorativa dalla vita privata. Spesso questa distinzione è chiara e definita da giorni e orari precisi, ma sempre più persone, non solo i professionisti, si trovano a svolgere attività di business (mail, chiamate, documenti etc.) anche in luoghi ben diversi dall’ufficio.

Per lavorare da casa servono strumenti che permettano di accedere alle risorse aziendali, garantendo un livello minimo di sicurezza e affidabilità. Cellulari, notebook o tablet in grado di collegarsi in modo sicuro, inviare e ricevere email, produrre documenti. È fondamentale avere a disposizione dispositivi che permettano l’accesso all’ecosistema e alle risorse aziendali. Per mantenere un accettabile livello di sicurezza, le aziende hanno a disposizione principalmente due approcci: consentire al dipendente o collaboratore di utilizzare i suoi dispositivi, oppure fornirli in dotazione (come più spesso avveniva in passato).
La rapida evoluzione di informatica e tecnologia, unita alla crisi che ha intaccato le disponibilità economiche, hanno portato a una inversione della tendenza. Ci troviamo quindi di fronte a utenti che preferiscono lavorare con i propri dispositivi, in quanto sono spesso più avanzati e moderni di quelli aziendali. Esiste un apposito termine inglese per definire questo trend: “consumerization”, ovvero l'avvicinamento del mondo professionale a quello consumer. Proviamo ad analizzare qualche dato: secondo una indagine di Innovation Group datata 2013, su 70 aziende di dimensione medio-grande, più dell'80% permetteva o prevede possibile l'adozione del metodo BYOD (Bring Your Own Device, porta i tuoi dispositivi). Questa opzione era riservata a un limitato gruppo di dipendenti di livello più alto, come i manager e la direzione.
Secondo Gartner, BYOD e Cloud sono il futuro del mondo IT, è quindi necessario che aziende e professionisti siano preparati e consci di vantaggi e limiti che queste soluzioni offriranno nel prossimo futuro.
Interessante anche l'analisi sulla business mobility condotta da VMware (giugno 2015), su un campione di oltre 1000 aziende di tutto il mondo. Nonostante emerga che solo il 14% delle società ha già spostato uno o più processi di business verso il modello mobile, un buon 61% delle stesse si sta muovendo per percorrere questa strada nel breve termine. Nel caso specifico del BYOD applicato al singolo dipendente la diffusione è sempre maggiore, con il 66% delle aziende prese in esame che già richiedono ai dipendenti di utilizzare dispositivi personali.

Vantaggi e svantaggi del Byod

Iniziamo analizzando i vantaggi. Il dipendente possiede un dispositivo che ha scelto in base a gusti e necessità personali. Questo approccio lo porta, in modo del tutto volontario, a seguire il business aziendale anche al di fuori delle ore di lavoro. All’azienda non resta che garantire la sicurezza e il collegamento da remoto alle risorse interne, mentre tutti i costi di ownership, manutenzione e aggiornamento dell'hardware sono a carico del dipendente. Un evidente vantaggio in termini economici. Tuttavia la lista dei potenziali svantaggi è ben più ampia. La prima considerazione riguarda la scelta di sistemi multipiattaforma: dal momento che il parco macchine non è definito da specifiche interne, bisogna prevedere l’uso di sistemi di posta, Vpn e applicativi compatibili con il più ampio numero di terminali possibili. Nel caso specifico del mondo mobile, significa supportare almeno il mondo Android di Google e iOS di Apple. A questo proposito si possono citare alcune soluzioni già esistenti: ad esempio i collegamenti in VPN sia IPSEC che OpenVPN sono compatibili con entrambe le piattaforme.

A questo punto è inevitabile scontrarsi con il consistente problema della connettività. Se a livello aziendale è relativamente facile, seppur costoso, garantire una copertura wireless completa delle aree di lavoro, i problemi iniziano quando il vettore di comunicazione diventa la rete internet. Ancora in molte aree del nostro Paese, la connettività residenziale è di tipo Adsl nell’ordine della decina di Mbps in download e meno di 1 Mbps in upload. Un collo di bottiglia non indifferente. Leggermente migliore è la realtà mobile, dove le recenti soluzioni 3G e 4G mettono a disposizione velocità di collegamento superiori. Per portare qualche dato, ad Aprile 2015 solo il 22,3% della popolazione italiana aveva accesso alla banda ultralarga (in riferimento alla fibra ottica con velocità in download pari o superiore ai 30Mbps), mentre la copertura 4G parte dal 33% di 3 Italia e arriva all’88% di Vodafone (Dati luglio 2015). In questo caso le velocità medie in download sono nell’ordine dei 10-15 Mbps con picchi di oltre 40 Mbps. I numeri e le statistiche tendono a citare le importanti velocità in download dei collegamenti, ma nelle operazioni di produttività off-premises il limite principale è solitamente l’upload dall’utente verso l’azienda. Anche in questa situazione sono le soluzioni mobili quelle che oggi offrono risultati migliori. 

Risolti i problemi legati al collegamento utente-azienda, bisogna affrontare quelli legati alla sicurezza dei dati. Anche nelle situazioni in cui le informazioni siano confinate entro le mura aziendali non è facile custodirle: il fatto che documenti, mail, contatti e dati sensibili siano memorizzati sui dispositivi dei dipendenti espone l’azienda a rischi ancora più alti. Smarrimento dei dispositivi e fuga di dati sono i primi da considerare, ma si può arrivare al danneggiamento dell’intera infrastruttura aziendale nel momento in cui una o più macchine fossero infettate o utilizzate come cavalli di troia.

Molti di questi pericoli esistevano anche quando i dipendenti utilizzavano terminali aziendali, ma con l’avvento del BYOD la differenza principale è che la gestione è demandata al singolo utente. Non ci troviamo più di fronte a computer e smartphone preparati e controllati dall’IT interno, con appositi sistemi operativi e applicativi specifici. Alcune soluzioni possono essere applicate per raggiungere l’obiettivo della sicurezza lasciando libertà di utilizzo al proprietario del dispositivo. Fondamentale è installazione di un antivirus professionale, la verifica che la macchina al momento dell’acquisto soddisfi determinati requisiti hardware e software (ad esempio la versione del sistema operativo e un hardware sufficiente per l’utilizzo degli applicativi aziendali). In seguito bisogna valutare l’installazione di appositi software per la protezione dei dati, il blocco del dispositivo o addirittura il wipe remoto in caso di smarrimento o furto.

Policy chiare per una infrastruttura consistente

È stata sufficiente una analisi generale dell’approccio BYOD per far emergere una chiara situazione: la vastità di possibili soluzioni impone la definizione di policy specifiche. L’unico modo per mantenere gestibile un ecosistema di questo tipo è avere riferimenti chiari in fase di acquisto, configurazione e utilizzo delle macchine. La definizione dei requisiti è a sua volta un importante problema da affrontare. Le regole devono essere consistenti, ma –come imposto dalla consumerization di cui abbiamo parlato prima- anche flessibili e costantemente aggiornate per poter assecondare il rapido progresso tecnologico. Per portare qualche esempio pratico, in ambito aziendale la maggior parte dei computer utilizzano Windows 7, mentre un utente che acquista un pc per uso personale avrà probabilmente installato Windows 8 o 8.1. Un manager appassionato di Apple potrebbe possedere un moderno iPhone 6, mentre alcuni consulenti meno informatizzati continueranno ad utilizzare il fedele Blackberry di qualche anno fa. Il passaggio al BYOD deve essere attentamente valutato e considerato in ogni suo aspetto. La definizione di policy, specifiche tecniche dettagliate e aggiornate è fondamentale, perché una errata impostazione dell’approccio può portare a consistenti danni sia di natura tecnica che economica all’infrastruttura aziendale.

Cyod: una possibile alternativa

Come spesso accade quando si hanno a disposizione due soluzioni, un valido approccio è quello di prendere il meglio da entrambe. Stiamo parlando della tecnica CYOD, acronimo di Choose Your Own Device: In questo scenario all’utente rimane la possibilità di scegliere un dispositivo personale, ma che deve essere selezionato da un elenco stilato e approvato dall’IT aziendale. Solitamente la proprietà rimane dell’azienda, scaricando il dipendente dai costi di acquisto, e potendo garantire la corretta configurazione, applicazione delle policy e il controllo sul parco macchine in dotazione. Altro vantaggio è la possibilità di modulare l’offerta in base al grado o al ruolo del dipendente.

Cosa ne pensa il dipendente

Il Byod coinvolge attivamente sia il cliente che l’azienda. Andiamo ad analizzare approccio e punto di vista di entrambi, cercando di offrire qualche suggerimento utile. 
Partiamo dal dipendente: abbiamo visto che utilizzare un telefono o un notebook personale ha svariati vantaggi, ma espone anche a delle difficoltà nell’utilizzo pratico. L’IT aziendale potrebbe essere poco propenso a intervenire su dispositivi privati per assistenza o manutenzione, quindi sta all’utente cercare gestirsi in autonomia e intervenire in prima persona in caso di malfunzionamenti o problemi.La connessione all’email e alla rubrica aziendale è storicamente l’attività più diffusa, ma anche quella che espone a maggiori rischi legati alla disattenzione. Utilizzare l’account personale al posto di quello aziendale è più facile di quanto si pensi. Le conseguenze di una mail di natura privata inviata a nome della società, o la diffusione di dati protetti a persone esterne possono essere molto gravi. Non basta quindi separare account personale e aziendale con due mail completamente diverse (magari una Gmail e l’altra di tipo @dominioazienda), ma anche utilizzare client dedicati. Per l’universo Android è importante citare l’app Gmail, che offre una integrazione totale con la casella di Google, ma non può essere configurata per operatori terzi. Acquamail e il client nativo e-Mail sono gratuiti e multi casella, ma ben lontano da soluzioni professionali come è Outlook di Microsoft. Offerta nel pacchetto Office 365 Business si integra completamente con l’ecosistema Exchange aziendale e il client desktop: compresa di calendario, rubrica e agenda. Lato PC abbiamo sicuramente Outlook e l’alternativa multipiattaforma Thunderbird di Mozilla. Mentre il mondo Apple offre nativamente (sia dekstop che mobile) il client Mail, completo e funzionale offre una buona integrazione con le principali caselle di posta.
Una piccola parentesi va dedicata alla soluzione multiutente offerta da Android sui tablet. A partire dalla versione 4.2 “Jelly Bean”, è possibile creare due o più utenze con dati, applicazioni e impostazioni completamente separati. Un’ottima soluzione per far convivere vita privata e lavorativa sullo stesso dispositivo. Nella recente release 5.0 “Lollipop” questa funzionalità è stata finalmente implementata senza limitazioni. Per portare un esempio pratico riguardo l’importanza di policy aggiornate costantemente questa è una situazione in cui un aggiornamento del sistema operativo diventa determinante nella scelta dello smartphone per l’uso in Byod. 
Diverso è il mondo notebook, dove sia Microsoft che Apple prevedono la separazione multiutente nativa di dati e applicazioni. Altre soluzioni utili per separare la sfera privata da quella professionale comprendono l’utilizzo di cellulari dual-sim, la maggior parte basati su Android offrono prestazioni di buon livello, con la capacità aggiuntiva di mantenere il numero aziendale e personale su un solo dispositivo, annullando la fastidiosa necessità di portare con se due oggetti separati.

L’approccio dell’azienda

Mentre l’utente deve valutare problemi legati all’utilizzo giornaliero dei dispositivi, l’azienda deve prendere in considerazione molti più fattori. Abbiamo già parlato dell’attenzione da dedicare alla sicurezza dei dati, alla connettività e alle possibilità di accedere ai servizi da remoto, ma un ulteriore aspetto è l’applicazione del BYOD alle diverse aree dell’azienda. Naturalmente stiamo parlando di realtà medio-grandi che contano al loro interni diversi dipartimenti, anche qui è fondamentale una valutazione specifica per ogni realtà.Per poter garantire l’accesso remoto in modo sicuro, al di là dei problemi legati ai limiti di banda offerti dalla rete nazionale, bisogna fare delle attente valutazioni di tipo sistemistico. Per alcuni utilizzi può essere sufficiente l’apertura delle porte sul firewall aziendale, in modo da consentire il corretto funzionamento delle connessioni client-server tra gli applicativi off-premises e i servizi interni. È evidente che questo tipo di comunicazioni non possono passare in chiaro attraverso la rete, è necessario ricorrere alla cifratura delle comunicazioni utilizzando, ad esempio, la tecnologia TLS/SSL. 
Una criterio alternativo su cui basare l’accesso dall’esterno è l’utilizzo di soluzioni VPN che garantiscano un collegamento dedicato e sicuro alla rete aziendale. Ad esempio permettendo al notebook del dipendente, di funzionare come se fosse collegato alla rete LAN dell’ufficio. I vantaggi sono evidenti: per l’utente off-premises svolgere le operazioni legate al business è del tutto trasparente rispetto al luogo in cui si trova. Esistono diverse soluzioni, ma dato l’utilizzo professionale è importante rivolgersi a piattaforme conosciute e collaudate come quelle basate su IPSec o OpenVPN. È evidente che questi software debbano essere correttamente installati e configurati prima dell’utilizzo, si torna quindi a sottolineare l’importanza del controllo centralizzato da parte dell’IT interno sul parco macchine. Anche l’utilizzo di una VPN presenta degli aspetti a cui fare attenzione, il fatto che da remoto si possa lavorare come in locale va regolamentato a livello di accesso alle risorse: ad esempio un utente che abbia privilegi amministrativi sulle macchine (server, dispositivi di rete, storage etc) quando è in ufficio, non necessariamente deve avere lo stesso livello di accesso quando è collegato dall’esterno.
Per chi non avesse già installato in azienda soluzioni firewall commerciali, può valutare ad esempio il progetto open source pfSense (www.pfsense.org), basato su FreeBSD e installabile senza problemi su un normale PC, anche non di ultima generazione, sia in macchina virtuale che appliance dedicate (come quelle basate sulla piattaforma Alix di PC Engines). Gli sviluppatori offrono – qualora fosse necessario – supporto commerciale a pagamento (prezzi a partire da 400 dollari Usa, solo in lingua inglese). pfSense supporta IPSec, Pptp e OpenVPN. È interessante notare che per la creazione di una Vpn con OpenVPN, una delle tecnologie più complesse, è disponibile ad esempio un comodo wizard guidato e un plugin (Client Export) che permette l’esportazione diretta dei file necessari per la connessione da tutti i principali sistemi operativi (Windows, Linux, Mac, Android, iOS).
Una interessante alternativa commerciale è Kerio Control (www.kerio.com), molto facile da gestire e con una interfaccia intuitiva, integra anche il controllo sui contenuti. Funzione non implementate nelle soluzioni open. La maggior parte delle operazioni sono facilmente gestibili grazie alla semplicità dell’interfaccia di gestione, tradotta interamente in Italiano. È inoltre possibile avere supporto completo grazie ai due distributori italiani (CoreTech, www.coretech.it e Multiwire, www.multiwire.net). Molto interessante è anche il prezzo, che parte da 258,64 euro (Iva inclusa) per i primi 5 utenti.

Sicurezza on-premises

Abbiamo visto che un aspetto fondamentale perché il BYOD funzioni in azienda è la fornitura di una copertura Wi-Fi completa, ma questo può esporre le risorse interne a un accesso fin troppo facile da parte del dipendente o, se non correttamente configurata, anche a ex-dipendenti o addirittura a utenti ospiti.
A questo proposito è buona usanza fornire l’accesso a internet (o anche a un ristretto insieme di funzioni business) tramite una apposita rete Guest per chi si trovasse a utilizzare la copertura wireless interna in modo occasionale o saltuario. Normalmente questa rete non prevede l’accesso all’infrastruttura principale dell’azienda (server, dispositivi di rete, storage etc). Questa soluzione può essere implementata in diversi modi, l’approccio migliore è quello di considerare già durante la fase di acquisto, dei dispositivi che integrino la gestione di reti Guest nativamente. Per la realizzazione di reti con questo tipo di funzioni evoluti, l’americana Ubiquiti (www.ubnt.com) offre la piattaforma UniFi: si tratta di una linea di Access Point con relativo software per la gestione centralizzata. Questi dispositivi prevedono l’implementazione di una rete guest nativa, sono facili da configurare e possono essere comodamente gestiti dall’interfaccia di controllo centralizzata. È possibile realizzare più sotto-reti separate e anche definire set di policy per l’accesso alle stesse. Unifi è distribuita in Italia da Sice Telecom (www.sicetelecom.it). Sul mercato sono naturalmente presenti numerose proposte alternative prodotte dai grandi del settore, come D-Link e Netgear.
Questo tipo di soluzioni sono però più vicini all’utilizzo domestico o SOHO che corporate, ma le dimensioni dell’architettura aziendale e i criteri per la sicurezza devono crescere di pari passo. Quando parliamo di realtà di dimensioni medio-grandi è necessario passare a soluzioni avanzate basate sul protocollo WPA e integrate con, ad esempio, Active Directory in ambiente Windows Server. Questi sistemi utilizzano un sistema di autenticazione centralizzato chiamato Radius (Remote Authentication Dial-In User Service) che però necessità di uno o più server dedicati. Una gestione di questo tipo, seppur maggiormente dispendiosa in termini di risorse hardware e software, garantisce funzionalità di sicurezza avanzate. Ad esempio l’esclusione di accesso a personale non più autorizzato, senza ricorrere al cambio di password su tutta la rete.

Un’altra soluzione possibile e spesso utilizzata in realtà dove la presenza di utenti guest è elevata (aeroporti, stazioni, aree pubbliche) è l’implementazione di un Captive Portal. In questa situazione al primo accesso da ogni dispositivo viene richiesta una autenticazione da parte del gateway, da quel momento in poi la sessione è univocamente legata a quel dispositivo. Non sarà il sistema più comodo, ma sicuramente è molto utile in diversi contesti.
Questa funzionalità può essere gestita in modo diretto dal firewall (come pfsense o Kerio Control che sono citati nell’articolo) ma anche da infrastrutture WiFi centralizzate come UniFi di Ubiquiti.

Dispositivi sotto controllo

Una volta deciso che si vuole attuare la politica di BYOD in azienda è fondamentale che il reparto IT sia preparato a gestire una tale realtà. Il controllo manuale dei singoli device è evidentemente da escludere, la soluzione è l’utilizzo di software dedicati per il controllo automatico e centralizzato dei dispositivi. Anche posto che il notebook si colleghi senza problemi di banda, bisogna controllare una serie di aspetti: la presenza di un sistema operativo aggiornato, così come l’antivirus, la presenza di file potenzialmente dannosi, la corretta configurazione del collegamento remoto e così via. 
Nel momento in cui una delle condizioni di sicurezza dovesse mancare, è il sistema a rendersi conto del pericolo e a isolare temporaneamente la macchina.
Fino a qualche anno fa era necessario separare l’analisi dei problemi tra il mondo mobile (smartphone e tablet) e quello dei notebook classici (siano essi PC o Mac) ma la forte evoluzione dei sistemi operativi mobili li pone ormai allo stesso livello su molti fronti. Oggi sia un notebook che uno smartphone di ultima generazione sono in grado di memorizzare quantità di dati nell’ordine delle decine di GB, entrambi gli ecosistemi hanno problemi legati al rilascio degli aggiornamenti da parte del produttore e, per finire, è sempre più vasto il numero di software malevoli disponibili per queste piattaforme. Chi si occupa della compliance delle macchine deve garantire l’accesso solo a coloro che utilizzano hardware e software perfettamente in regola sotto tutti questi punti di vista.