Il punto di vista dell’ azienda
Nell’analizzare il punto di vista dell’azienda sono certamente molti di più i fattori da tenere in considerazione. In primo luogo il Byod non coinvolge esclusivamente l’ambito sistemistico, ma riguarda sia quello strategico e finanziario, sia i dipartimenti in cui viene applicato. La scelta di adottare il Byod deve dunque essere valutata con attenzione, considerandone tutti i possibili svantaggi, tra cui i rischi di furto dei dati e di sicurezza che porta con sé.
Ci saranno sicuramente dipartimenti e aziende in cui i benefici sono nettamente superiori ai rischi, mentre in alcuni ambiti specifici potrebbe non essere neppure preso in considerazione. In ogni caso è fondamentale, come già spiegato, che ci siano delle policy chiare e che venga predisposto un piano preciso per il controllo e la messa in sicurezza dei dispositivi collegati alla rete aziendale on premises (dentro le mura) e off premises (fuori dalle mura).
La prima problematica da affrontare è quella della connessione, fuori e dentro le mura. Per la connessione dall’esterno bisogna affrontare due problemi, quello della connettività e quello della sicurezza della connessione.
Per quanto riguarda la connettività come già accennato il principale problema è la banda in upload, fondamentale quando la maggior parte del flusso dati è dall’interno (ad esempio dal server di posta aziendale) verso l’esterno. Purtroppo non in tutte le parti d’Italia questo problema può essere affrontato allo stesso modo. Nelle aree meglio coperte dai vari operatori si possono prendere in considerazione le connessioni simmetriche in fibra (ad esempio 10 o 100 Mbit) o quelle via etere sempre simmetriche o con un buon livello di upload. Le esigenze in termine di banda in upload variano ovviamente in base al numero di dipendenti o agenti che si trovano all’esterno e in base all’uso che ne fanno.
Per tutti una soluzione semplice ma non sempre facile da mettere in pratica è ovviamente lo spostamento della posta e di tutte le funzioni di groupware come agenda, contatti e così via nel cloud. Attivando ad esempio i servizi Saas (Software as a Service) di Microsoft (Office 365) o Google (Apps) si può spostare fuori dall’azienda questo servizio con un costo fisso abbastanza limitato e facilmente controllabile (rispettivamente 60,02 e 48,80 euro a utente all’anno Iva inclusa per i piani base Small Business e For Business).
Per quanto riguarda invece la sicurezza della connessione la problematica può essere affrontata in modi diversi. Nel caso più semplice potrebbe essere sufficiente aprire le porte del firewall aziendale per consentire la connessione diretta al server e-mail o ad altri server locali. In questo caso ovviamente le connessioni dovranno essere protette tramite la tecnologia Ssl/Tls, per evitare che password e altri dati sensibili possano essere intercettati durante la trasmissione.
In alternativa si può adottare una soluzione Vpn che garantisca un collegamento sicuro alla rete aziendale, in modo che tutti gli applicativi agiscano come se il computer o il cellulare fosse all’interno della Lan. La soluzione Vpn scelta deve utilizzare algoritmi sicuri, dunque è certamente meglio dare priorità alle soluzioni basate su IpSec o sulla piattaforma OpenVPN. In ogni caso è bene verificare che i protocolli di cifratura siano attivati e vengano configurati come requisito per il successo della connessione. Alcune tecnologie abbastanza diffuse come la rete Vpn Microsoft Pptp (Point to Point Tunneling Protocol) per esempio vengono spesso utilizzare senza cifratura, con tutti i problemi che questo comporta.
Nel caso di una connessione Vpn ovviamente il firewall aziendale dovrà limitare l’accesso, per quanto possibile, ai server e alle macchine che devono effettivamente essere raggiunte dall’esterno, per limitare i danni in caso ad esempio di un portatile infetto che si collega da remoto. Le soluzioni gestite – managed – più efficaci sono certamente quelle che utilizzano un agent dedicato da installare sul computer del dipendente e verificano ad esempio che il sistema operativo abbia le necessarie patch di sicurezza e che l’antivirus sia aggiornato: i dispositivi che non sono compliant, cioè che non soddisfano i requisiti vengono automaticamente relegati a uno stato di quarantena, per evitare che possano infettare altre macchine o creare problemi.
Chi non utilizza già soluzioni di firewall commerciali può valutare per esempio il progetto open source pfSense (www.pfsense.org), basato su FreeBSD che può girare tranquillamente sia su un Pc, anche datato, sia in macchina virtuale sia su appliance dedicate (come quelle basate sulla piattaforma Alix di PC Engines). Nonostante si tratti di un progetto open source chi lo sviluppa offre – qualora fosse necessario – supporto commerciale a pagamento (prezzi a partire da 400 dollari Usa, assistenza solo in lingua inglese). pfSense supporta IPSec, Pptp e OpenVPN. È interessante notare che per la creazione di una Vpn con OpenVPN, una delle tecnologie più complesse, è disponibile ad esempio un comodo wizard guidato e un plugin (Client Export) che permette l’esportazione diretta dei file necessari per la connessione da tutti i principali sistemi operativi (Windows, Linux, Mac, Android, iOS).
Un altro prodotto interessante, anche se commerciale, per chi cerca una soluzione facile da gestire e configurare è Kerio Control (www.kerio.com), che integra anche funzionalità di controllo dei contenuti, una feature non disponibile sui prodotti gratuiti. Control fa della semplicità la sua forza e include procedure guidate per la configurazione che permettono anche a un utente alle prime armi con conoscenze di base di networking di configurare una soluzione Vpn complessa come IPSec. Il prodotto è completamente tradotto in italiano ed è facile avere supporto grazie ai due distributori italiani (Coretech, www.coretech.it e Multiwire, www.multiwire.net) e una ampia rete di rivenditori. I prezzi partono dai 258,64 euro (Iva inclusa) per i primi 5 utenti.
Filippo Moriggia
[box type=”shadow” ]
Parliamo di Byod: i vostri dispositivi all’interno dell’azienda
[/box]