Recentemente si è molto parlato degli utenti che preferiscono connettere i loro dispositivi mobili personali ai sistemi aziendali (BYOD, Bring Your Own Device).
Ma cosa possiamo dire degli utenti che preferiscono utilizzare applicazioni cloud autogestite, vale a dire applicazioni fuori dal controllo dell’IT aziendale, per lavorare su file aziendali?
Dal punto di vista della sicurezza e dell’IT, si tratta di un’attività veramente pericolosa. Quando i dati degli utenti, i dati riservati dell’azienda e i dati soggetti a obblighi normativi e di conformità vengono condivisi tramite applicazioni Web di terze parti, cioè applicazioni non soggette alla governance IT aziendale, l’intera azienda è esposta a un rischio enorme per la sicurezza. La proprietà intellettuale può finire tra le mani della concorrenza, pericolosi hacker possono impossessarsi dei dati dei clienti e informazioni di carattere sanitario o finanziario soggette a specifiche normative possono essere compromesse, determinando sanzioni devastanti e reputazioni danneggiate.
Tuttavia, la collaborazione basata su cloud è ormai una realtà, indipendentemente dal fatto che sia approvata o meno dal reparto IT, e questo significa che l’IT deve considerare numerosi problemi, tutti attinenti al controllo.
- Controllo degli utenti. Quali utenti possono utilizzare le applicazioni cloud per collaborare, con chi possono collaborare e quali strumenti possono utilizzare? Il reparto IT limiterà l’accesso da parte degli utenti a strumenti specifici o fornirà strumenti alternativi sui quali dispone di maggiore controllo?
- Controllo dei dispositivi mobili. Come avviene l’accesso da parte degli utenti a queste tecnologie di collaborazione? La collaborazione tra le attrezzature fornite dall’IT è una cosa, ma la collaborazione tra strumenti personali e la costante sincronizzazione dei dati associata è un’altra cosa e può esporre l’organizzazione a un gran numero di vulnerabilità.
- Controllo dei dati. Cosa viene effettivamente condiviso dagli utenti? Le cartelle personali contenenti foto di amici e familiari non sono un problema, anche se condivise tramite dispositivi mobili personali. Ma la storia cambia radicalmente quando l’utente lavora per una società di servizi finanziari e condivide cartelle piene di elenchi di conti o numeri di carte di credito o quando l’utente lavora per un’azienda del settore sanitario e condivide file ZIP pieni di informazioni dei pazienti di natura confidenziale.
Idealmente, il reparto IT dovrebbe iniziare il suo processo di controllo creando un documento ad uso interno contenente linee guida chiare e concise con dettagli precisi circa i comportamenti consentiti ai singoli utenti, cosa possono condividere e quali piattaforme possono utilizzare.
In seguito, dovrebbe codificare queste linee guida in un sistema che crei un solido livello di controllo e che aiuti concretamente gli utenti a seguire le linee guida, applichi il controllo degli utenti, dei dispositivi mobili e dei dati che il reparto IT ritiene indispensabile e non obblighi gli utenti a tenere costantemente a mente le linee guida fornite.
I modi per farlo includono:
- Fornire alternative ai servizi di storage in cloud disponibili in commercio,come ad esempio soluzioni alternative on-premise che offrano le funzionalità preferite dagli utenti.
- Offrire accesso controllato tramite proxy ai servizi Web, per sottoporre l’utilizzo delle applicazioni cloud autogestite dagli utenti a supervisione appropriata da parte del reparto IT.
- Combinare le soluzioni DLP (Data Loss Prevention) aziendali esistenti con la tecnologia di collaborazione on-premise o basata su cloud per ottenere il meglio di entrambi i mondi nell’applicazione delle policy e nell’abilitazione della collaborazione.
Esiste da sempre una tensione dinamica tra il controllo aziendale e l’esigenza degli utenti di strumenti per la produttività. Ora, con l’affermarsi di servizi cloud che consentono agli utenti di effettuare autonomamente l’approvvigionamento, è diventato ancora più semplice per gli utenti ignorare le restrizioni imposte dai reparti IT, prendere iniziative autonome e svolgere il lavoro. In definitiva, l’aspettativa che gli utenti facciano sempre di più con sempre meno risorse comporta la necessità da parte del reparto IT di fornire un’alternativa di facile utilizzo ai siti di collaborazione pubblici non sicuri in ambiente cloud. Se così non fosse, se l’IT non dovesse riuscire a sfruttare alternative che consentono di mantenere il controllo e al tempo stesso offrono semplicità, sicurezza e governance, gli utenti si limiterebbero ad aggirare la funzione dell’IT.
È tempo che l’IT inizi a porre un freno al dilagare dell’autogestione delle forniture da parte degli utenti e inizi a decidere quali sono i comportamenti loro consentiti, con chi possono collaborare e condividere, quali dispositivi sono accettabili o meno, cosa contengono i dati condivisi e quali problematiche normative e di conformità sono di competenza della loro organizzazione. Le aziende che usciranno indenni da questa rivoluzione saranno quelle i cui i reparti IT sono pronti a tener conto delle preferenze degli utenti senza però accettare compromessi in materia di governance assoluta dei dati.
Facebook Comments