Wikipedia |
Il mercato consumer guida lo sviluppo della tecnologia dei dispositivi personali! La tecnologia è percepita come moda di largo consumo e in prospettiva il fenomeno sarà sempre più accentuato: su internet si trovano, ad esempio, primizie di “tecnologia indossabile”: occhiali con integrati auricolari e microfono e webcam in grado di presentare in sovrapposizione sulle lenti dati aggiuntivi multimediali trasmessi da un computer in rete, estremizzando quindi il concetto di mobilità e di “always on”, la realtà aumentata. La velocità con cui evolvono questi dispositivi, imposta dal “consumer market”, non è certo compatibile con l’esigenza di ottimizzazione costi e al tempo stesso garanzia di livelli di servizio e sicurezza che le aziende richiedono, tuttavia ognuno di noi è al tempo stesso consumatore di queste tecnologie nel proprio contesto privato e utilizzatore di strumenti analoghi in quanto lavoratore. In entrambi i contesti , privato o lavorativo, si utilizzano sempre più apparati simili, con le medesime funzionalità o perfino proprio lo stesso modello; sorge spontanea la domanda: “se il mio dispositivo e il dispositivo aziendale consentono di fare le stesse operazioni, perché non posso utilizzare sul lavoro il mio dispositivo al posto di quello aziendale?" Ecco il Byod. Qui l’attenzione non è più sulla tecnologia o sul mercato, l’accento è sulle parole “your own” ovvero il dispositivo non è dell’azienda ma proprio il tuo personale. Però se il dispositivo è personale significa che è l’individuo a sceglierlo (marca , modello, ecc.) e a decidere anche la dotazione di software a bordo, come configurarlo e utilizzarlo. Come si concilia con l’ambiente lavorativo?
Ciò premesso, considerando che la forza del mercato consumer riuscirà a superare probabilmente qualsiasi resistenza venga posta alla sua diffusione, la questione diviene come preparare l’azienda a questo cambio di paradigma. Per trovare le risposte sono utili alcune parole chiave quali compatibilità, sicurezza, servizio, procedure, autonomia, responsabilità leggendone senso ed applicabilità secondo due differenti relazioni : lavoratore – consumer e dipendente – azienda.
Lavoratore – Consumer
Il nuovo paradigma, assimila il pc, il cellulare o qualunque altro dispositivo di accesso a dati e applicazioni ad una penna, una calcolatrice tascabile, un orologio che certamente siamo liberi di portare con noi e utilizzare dove e quando vogliamo per motivi personali o lavorativi: nessuno obbietta se in ufficio uso la mia penna per firmare un documento aziendale (la stessa che uso per firmare una cartolina quando sono in vacanza), ma non mi sognerei mai di chiedere all’azienda di riparare la mia penna se si rompe o di fornirmi una ricarica di inchiostro quando si esaurisce anche se la usassi solo per firmare documenti di lavoro: certo se dimentico la penna a casa mi aspetto di trovarne una in ufficio, una dotazione messa a disposizione dall’azienda, anche se una semplice penna a sfera.
Quando vesto i panni del Lavoratore – Consumer posso quindi accettare di utilizzare il mio dispositivo per lavoro ma ho bisogno di poter trovare un back up in ufficio, devo essere consapevole che l’utilizzo del mio dispositivo in azienda è soggetto a regole: banalmente così come le cartoline le firmo quando sono in vacanza, il mio pc lo userò al lavoro solo per lavoro. Ma se si rompe non potrò aspettarmi che lo ripari l’azienda; se avrò dei “problemi di accesso” a dati e applicazioni forse dovrò risolvermeli da solo, … non ho più la garanzia di un servizio di assistenza! D’altra parte quando utilizzerò il dispositivo per motivi personali fuori dall’orario di lavoro sarò libero di sfruttare tutte le potenzialità del dispositivo: musica, film, apps, senza limitazioni.
Dipendente – Azienda
Escludiamo il caso in cui sia l’azienda stessa a decidere di inserire tra la dotazione aziendale (a tutti o parte della popolazione) strumenti quali Tablet o Smartphone: in tale situazione infatti, i dispositivi saranno sempre aziendali, e configurati / gestiti secondo la volontà aziendale. Anche nei casi in cui venga concesso un utilizzo personale di tali dispositivi, esso sarà normato e circoscritto. Ma i tablet e gli smartphone hanno dato vita al concetto di APP e di STORE che apre all’individuo un infinito portafoglio di soluzioni e contenuti in continuo aggiornamento e ampliamento. Questo è un fatto nuovo, ancora poco gestito/gestibile dalle aziende.
Affrontiamo invece il caso in cui un’azienda voglia ammettere l’uso di dispositivi personali in ambito lavorativo. L’Azienda potrebbe anche tollerare l’utilizzo di un dispositivo “alieno”, perfino valutarne un beneficio economico (forse si riduce la spesa per hardware, software e servizi destinati al desktop management), ma dovrà in ogni caso assicurare alcuni aspetti fondamentali per il proprio business: sicurezza, efficacia ed efficienza.
- Sicurezza: occorre evitare che il dispositivo “alieno” rappresenti un veicolo di ingresso di agenti aggressori per la rete dati aziendali, le applicazioni e i sistemi connessi, senza poter di fatto “mettere le mani” sul pc della persona. L’azienda deve quindi cambiare il paradigma della sicurezza. Il perimetro si restringe al Data Center (DC): tutto ciò che sta fuori è potenzialmente alieno e non controllabile e quando un device si presenta per accedere alle applicazioni allora, se viene riconosciuto, dovrebbe essere incanalato e profilato in modo sicuro lungo tutto il percorso, indipendentemente dal tipo di dispositivo e da dove si trova. Meglio ancora , occorre riconoscere la persona: solo così il dipendente potrebbe utilizzare qualsiasi dispositivo per accedere alle applicazioni aziendali e l’azienda potrebbe assicurare la protezione necessaria ai propri dati.
- Efficacia ed Efficienza: dipendono naturalmente anche dalla disponibilità di strumenti di lavoro adeguati e funzionanti. Ma anche dal livello di addestramento dell’utente nel loro utilizzo. Occorre quindi renderle (efficacia ed efficienza) indipendenti dal fatto che il dispositivo sia dell’azienda o della persona, ma occorre anche che la persona sia autonoma nell’apprendimento (le aziende non insegnano a leggere e scrivere: così gli utenti dovranno essere autonomi nell’utilizzo delle nuove “penne digitali”) e forse dovranno preoccuparsi di cambiare il PC con un modello più performante quando lo stesso intaccherà la propria efficacia o efficienza… ma siamo pronti a questo cambio di paradigma culturale ? Non credo, almeno non in modo esteso.
Conclusione
Fino ad oggi i dispositivi di accesso (pc o cellulari o altro) sono stati trattati come “dotazione messa a disposizione dall’azienda” e quindi scelti, configurati , gestiti dall’azienda secondo regole che privilegiano l’uso aziendale e consentono pertanto ai tecnici di garantire un certo livello di sicurezza e di qualità del servizio di assistenza e supporto, a scapito ovviamente di alcune funzionalità – tipiche del mondo consumer. Questo non cambierà nel breve e forse mai dovendo in ogni caso le aziende garantire almeno un back up (l’equivalente della penna a sfera).
Alcune applicazioni (es email) già oggi si prestano meglio di altre ad essere fruibili in modalità sicura anche da dispositivi personali ovvero da dispositivi “alieni” non configurati dall’azienda ma dall’individuo; applicazioni quali quelle tipiche per l’Home Banking utilizzano già oggi modalità di sicurezza elevate per offrire servizi attraverso il web: le medesime tecniche potrebbero essere estese alle applicazioni aziendali tradizionali per gli utenti interni.
A mio avviso è necessario procedere per gradi valutando attentamente le casistiche e il reale fabbisogno che spinge l’azienda ad adottare tecnologia con modalità Byod. Ogni azienda deve valutare il proprio parco applicativo, i propri metodi di gestione della sicurezza e dei livelli di servizio, le esigenze dei propri utenti e il loro grado di autonomia e adottare quindi procedure aziendali e strumenti adeguati a rendere compatibile l’utilizzo di dispositivi personali nel contesto lavorativo, accanto ai dispositivi aziendali, ma solo dove veramente necessario e per i soli dispositivi necessari evitando premature generalizzazioni. Occorre far comprendere agli utenti la maggior responsabilità in capo all’utente stesso e il minor supporto che riceverà dall’azienda.
Avviarsi su questo percorso, alternativo a mantenere una chiusura totale al Byod – salvo gestire particolari eccezioni – , comporta ripensare e modificare le proprie procedure aziendali per ridefinire le responsabilità e le modalità operative, formare il personale per essere consapevole dei rischi e conoscere le tecniche da adottare per mitigarli, definire standard a garanzia di compatibilità per garantire supporto alla produttività individuale, implementare metodi e utilizzare strumenti per intensificare la sicurezza verso dispositivi alieni anche se “interni” al perimetro aziendale, e infine, introdurre modalità di monitoraggio e controllo sull’operato delle persone più spinti di quanto le normative attuali consentano. Dove l’azienda potrà recuperare il costo di tale cambiamento?
* Paolo Manzoni è Cio di A2A