Bring Your Own Device – parte 4 (dal webminar che ho tenuto per (ISC)2)

Tutto è in evoluzione….

Visto che tanto si parla di BYOD ma il supporto numerico spesso latita vediamo cosa è successo in termini di personal computing negli ultimi 10 anni. Risulta evidente come ci si presenti una situazione in cui i paradigmi sw e hw sono profondamente cambiati in termini di uso. Guardando ai sistemi operativi, ad esempio, si vede come una volta il mercato parlasse esclusivamente microsoft e in quota minore linux, mentre gli ultimi anni hanno visto una situazione dove almeno 4 sono i sistemi operativi di riferimento: mac OX iOS Windows e Android, con una presenza marginale di linux.

La inter-comunicabilità applicativa è stata gestita, come vediamo nella evoluzione dei trend software, da uno spostamento verso mobile application e cloud (SaaS) cosi come lo shifting delle interfacce verso multitouch e cosi via.

risulta estremamente chiaro dalla tabella presente come si siano evolute le interfacce e l’HW. Un tale movimento ha, nei fatti, ribaltato i paradigmi in uso negli anni 90. e form factor, interfacce, HW OS e Software sono estremamente diversi da quello che appariva in uso 20 anni fa, quanto sia cambiata la impostazione del disegno di una rete e dei suoi elementi costitutivi è tuttavia ancora oggi oggetto di dibattito: vi sono IT manager che non ritengono questi cambi tali da giustificare un diverso approccio alla rete mentre altri stanno abbracciando il nuovo ma con la sconsolante evidenza di ancora pochi riferimenti tecnici e culturali.

Volenti o nolenti comunque oggi il set standard di riferimento di un utilizzatore aziendale medio è portatile aziendale (circa il 100%) + telefono (50% personale 50% aziendale) + tablet personale (circa il 90/100% personale).

Possiamo fare finta che tutto sia fermo agli anni 90 ma nei fatti il mondo è profondamente diverso, vuoi per adesione alle mode, per necessità operative o finanziarie.

Del resto il mondo della tecnologia, non me ne vogliano i tecnici, è sempre stato guidato più da scelte marketing che da effettivi ed oggettivi riscontri tecnici, e il ritornare di tecnologie ed approcci ciclicamente nei nostri percorsi tecnologici ne è una evidenza.

Il punto focale è che lo spostamento che stiamo osservando oggi nei nostri modi di usare la tecnologia è sempre più orientato alla intercambiabilità.

Non importa il device, ma facciamo le stesse cose con tutti….. (insomma più o meno, io fartdroid non lo ho…sul portatile)

Questo uso si riflette, ovviamente, sulle statistiche di accesso ai dati e applicazioni aziendali.

Questi dati possono essere facilmente relazionati alle statistiche di outbreak delle policy aziendali: tanto più queste sono chiuse e costrittive tanto più gli utenti cercano scappatoie che consentano a loro di continuare ad essere produttivi anche in arre NON considerate dalla struttura aziendaleIT

si noti come la presenza di device personali si sia allargata in solo un anno. Paesi più restii ad abbracciare le novità, ed a fornire nuovi devices ai propri utenti, come l’italia, vedono impatti di crescita ancora maggiori: se l’azienda non fornisce device “attuali” l’utente li sostituisce con i propri indipendentemente dai desiderata aziendali.

Questo fatto di per se non è ne positivo ne negativo, soppesare pro e contro e fare una corretta analisi economica è, a tutti gli effetti, il lavoro di un CSO e di un IT manager. L’introduzione, ad esempio, di device non aziendali potrebbe essere fonte di notevoli risparmi in termini di gestione ed acquisto, a patto di avere una struttura che sposti le competenze sulla sicurezza mobile e sulla sicurezza applicative, piuttosto che sul primo livello di supporto HW per il pc con immagine standard.

Che lo si voglia o meno comunque il trend è questo, e occorre reagire alla introduzione di questi oggetti all’interno della nostra vita lavorativa, cosa che ha costretto molti vertical ad adottare politiche di accettazione dei device personali, anche in feudi tradizionalmente restii, si veda il financial.

Non ci si lasci traviare però dai numeri, le statistiche ci dicono si che il financial è stato più reattivo, ma il motivo è semplicemente che gli altri settori sono meno reattivi e più laschi riguardo l’introduzione ufficiale di tali device rispetto un ambito ove la security è sempre stata considerata cardine, si pensi che al giorno d’oggi il 100% delle transazioni finanziarie avviene in forma telematica e si capisce la paranoia.

Purtroppo la storica mancanza di sviluppo di modelli di gestione ed integrazione della sicurezza dei device mobili ha esasperato l’uso di vecchie piattaforme di sicurezza ed amministrazione portandole a deliranti, quanto attuali, realtà come descritto bene in questo grafico ove si vede che i più attenti hanno introdotto la bellezza di oltre 10000 regole, policy di gestione, per il BYOD.

Forse non è noto ai più ma uno dei primi cardini della gestione e della sicurezza è l’approccio Kiss «keep it simple stupid», maggiore è la complessità minore è la capacità della struttura di reagire agli eventi in maniera sia reattiva che proattiva; chiedete poi ai disgraziati che si occupano di forensic analisys cosa gli tocca fare per capire in quale ambiente stanno operando.

Ultimamente vanno di moda un sacco di surveystatistiche inerenti il BYOD, questo è un esempio vi riconoscete?

Si noti come in queste risposte si evinca la mancanza di un quadro generale e coerente, in cui management, sicurezza ed accesso ai flussi informativi non sembrano far parte dello stesso nucleo operativo…

Il paradosso è che, come abbiamo visto dall’escursus storico, molte delle problematiche sono presenti sin dagli anni 80, e dopo oltre un trentennio vengono alla luce come se fossero nuove.

Per affrontare correttamente la introduzione e gesione del BYOD occore fermarsi un attimo e pensare a come si sta gestendo il piu generale discorso mobile in azienda. Magari organizzandoci con una tabella di raffronto.vantaggisvantaggi:

Vantaggi	Svantaggi
Piace agli utenti	Non piace all’ IT
Aumenta la produttività	Aumenta la complessità gestionale
Espande il perimetro lavorativo	Aumenta la superfice di rischio
Rende più flessibili	Rende più flessibili
È cool	Non posso standardizzare
Permette risparmi operativi di gestione IT	Non riesco a giustificare porzioni di budget
Permette risparmi in termini di supporto	Comunque gli utenti mi chiamano
…	…

Quando cerchiamo di fare una tabella di vantaggi e svantaggi dovremmo cercare di vedere i diversi punti di vista. Talvolta una maggiore complessità operativa per l’IT significa realmente un vantaggio all’utenza, talvolta il voler porre regole di controllo da come risultato solo la costante violazione di queste ultime. Il vecchio esercizio dei buoni e cattivi è in questo senso estremamente utile e serve, si noti, non a decidere se il BYOD è un fenomeno da arrestare, ma a capire come gestirlo. Ognuno di questi punti di esempio, pro o contro, possono essere l’inizio di un lavoro di design della introduzione di byod che permetta la soddisfazione degli utenti e magari una semplificazione operativa, purtroppo occorre che facciano parte del gioco tutti i player, gli utilizzatori, l’IT ma anche chi decide regole aziendali (management e HR) in quanto l’attenzione ai flussi informativi, alle regole della privacy non sono più secondarie anche dal punto di vista legislativo.

	Mobile	BYOD
Compro il device	Si	No
Gestisco il device	Si	No
Location control	No	No
Network (IP) Rules	Si	No
Privilegi Amministrativi	No	No
Controllo Identità	No	No
UsernamePassword	Si	No
Network Access Control	No	No
Application Access Control	No	No
AntivirusAntimalware	Si	No
Application Store Management	No	No

Una altra cosa utile da fare è mettersi a tavolino per fare un elenco di cosa si dovrebbe fare e cosa si fa per gestire sia l’attuale parco mobile che la sua evoluzione BYOD. Ci si rende di solito subito conto che spesso richieste imposte al BYOD non vengono attese neanche nel classico mondo mobile.

Classici esempi sono la gestione dei diritti amministrativi (quasi tutti i laptop sono con diritti amministrativi presenti), la mancanza di Application Access Control e la mancanza di identity management.

	Mobile	BYOD
Data Protection (DLP)	No	No
Data Encryption	Si	No
Data Location control	No	No
Geo IP Rules	No	No
Policy su furto	Si (parziali)	No
Istruzione	No	No
Segregazione Reti Wireless	Si	Si
…

esiste poi una evidente esigenza di inventory ed una analisi da fare eventualmente col vendorprovider per quello che concerne le licenze.

Queste ultime infatti rappresentano una area ancora abbastanza oscura, non esistendo ancora vere e proprie licenze BYOD al momento a parte i cloud services (magari con identità gestite via Saml) , rimane il dubbio di come gestire e registrare a norma applicativi che seppur acquistati da un soggetto vengono installati su un apparato di propietà di soggetti terzi.

da analizzare anche con attenzione sono le possibili implicazioni legali che possono sorgere in caso di infezionehacking o sospetto di uso improprio delle risorse aziendali (ma lo sono?)

in questo caso il consiglio è quello di rivolgersi ad una struttura legale specializzata nelle problematiche IT (interna od esterna all’azienda) per chiedere la stesura di una “liberatoria” che consenta in funzione di regole ben definite di determinare quali sono i limiti di accesso e di uso che l’azienda ha nei confronti del device personale del dipendente e, vicerversa, quali sono vincoli e limiti di accesso che ha l’utente ne portare tale device in rete.

La questione è solo apparentemente accademica, per quanto lasche confuse e talvolta deliranti esistono ovunque, anche in Italia, normative cui fare riferimento. esistono vincoli di responsabilità ad esempio da parte della azienda se dalla sua struttura parte un attaccoinfezione verso un altra, tanto per citare uno degli obblighi da valutare.