#VMServiceProvider, come, quando e perché diventare fornitori di servizi Cloud La guida completa

Digital workspace e sicurezza, come evitare i rischi della perdita di dati

Digital worskspace. Nuova e attesa puntata della rubrica multimediale #VMDigitalWorkspace sviluppata da Channelcity in collaborazione con VMware, Computer Gross e con www.franzrusso.it. Dopo la definizione di digital workspace cos’è ecco un nuovo approfondimento su Digital Worskpace e sicurezza. Come gestire e proteggere l’ambiente di lavoro che perde forma e confini? Ecco la risposta in una preziosa guida pratica

Autore: Francesco Pignatelli


Digital workspace (qui l’approfondimento per sapere Digital workspace cos’è e a cosa servee qui una testimonianza reale di chi lo sta già sperimentando), una rivoluzione, una nuova forma di vista professionale a cui è dedicato il progetto #VMDigitalWorkspace, progetto multimediale fortemente voluto da un vendor come VMware in collaborazione con un distributore a valore come Computer Gross.

Una delle caratteristiche più interessanti della società moderna è la possibilità di avere, almeno in certi ambiti, una vita lavorativa estremamente destrutturata. Non è cioè più necessario impostare la propria attività professionale in termini di luoghi e orari di lavoro prefissati, perché possiamo lavorare in maniera produttiva praticamente da qualsiasi luogo e in ogni momento. Questa "delocalizzazione digitale" del lavoro rimanda al concetto del Digital Workspace, che come dettto abbiamo già trattato in dettaglio su ChannelCity. 

Il Digital Workspace è possibile anche e soprattutto grazie al fatto che oggi possiamo usare dispositivi sempre più leggeri e potenti, dai notebook agli smartphone, che risultano molto efficienti dal punto di vista della produttività lavorativa. Abbiamo anche reti performanti con cui accedere alle applicazioni e ai dati della nostra azienda, che sono sempre più in cloud. Tutto questo comporta enormi vantaggi, ma dal punto di vista della protezione delle informazioni pone problemi nuovi agli staff IT delle imprese. 


digital workspace security1


Il Digital Workspace è ovunque

Il punto principale del problema è che il Digital Workspace comporta un allargamento, per non dire la scomparsa totale, del perimetro aziendale. Non esiste più un confine virtuale con "dentro" i dipendenti, le applicazioni e i dati critici per l'impresa. E non esiste un "fuori" che può restare al di là del nostro controllo. I due ambienti si mescolano, banalmente anche perché i nuovi stili di vita e di lavoro impediscono che un dispositivo sia sempre e solo all'interno della rete aziendale. Questo impone approcci nuovi alla sicurezza IT e alla tutela delle informazioni, approcci che partono dal presupposto che non è più possibile controllare completamente tutto. 
A rendere articolata la protezione del Digital Workspace è la sovrapposizione di altri due ambienti che sino a qualche tempo fa erano nettamente separati: la sfera lavorativa e quella personale. Oggi è normale usare gli stessi dispositivi per entrambe, mentre avere un PC per il lavoro e uno per la propria vita digitale privata risulterebbe inutilmente complesso. E lo stesso vale per smartphone e tablet. Ciò che sfugge a molti, però, è che questa "convivenza" delle due vite sullo stesso dispositivo richiede attenzione, da parte sia dell'utente sia del suo datore di lavoro, perché quello che si fa da un lato può influire sull'altro. Un'azienda ovviamente non vuole che l'utilizzo personale di uno smartphone o un PC, anche in perfetta buona fede, metta a rischio i dati e in generale la sicurezza dell'impresa. D'altro canto, il singolo utente nemmeno vuole essere limitato nell'usare il device per la sua vita personale.

Le vecchie generazioni di dipendenti potevano accettarlo, i nativi digitali che oggi entrano nelle imprese sicuramente no. Il Digital Workspace deve dunque inserirsi nella vita digitale di una persona in maniera semplice e quasi trasparente. Per chi si occupa di sicurezza all'interno delle aziende, quindi, il Digital Workspace porta elementi nuovi di cui occuparsi. Questo è vero in generale e lo è a maggior ragione laddove c'è, storicamente, una elevata propensione ad usare dispositivi mobili in ogni aspetto della propria vita quotidiana.
L'Italia rientra decisamente in questa categoria, essendo una nazione ad alta "mobilità" praticamente da quando sono nati i primi smartphone. È grazie a questa predisposizione che oggi praticamente tutti gli italiani hanno un computer in tasca, ma c'è un altro lato della medaglia: siamo talmente abituati a usare i device mobili che nemmeno li percepiamo più come computer in senso proprio, ossia come oggetti che gestiscono informazioni anche delicate e che vanno di conseguenza protetti e gestiti in maniera appropriata.

Digital Workspace: serve una visione d'insieme 

Il rischio di perdere informazioni aziendali in qualche modo critiche, purtroppo, è evidente e sempre in crescita. Oggi la criminalità informatica vede proprio nei dispositivi usati tutti i giorni dai dipendenti il canale migliore per sottrarre dati direttamente e per penetrare nelle reti e nei sistemi d'impresa. Basta una vulnerabilità non risolta, un attacco di phishing, un'app "ostile" scaricata per errore o ingenuità... e un singolo smartphone o notebbok diventa una porta aperta nella sicurezza del Digital Workspace, qui comunque tutti gli strumenti e le guide pratiche costruite da VMware sul tema digitalworskspace. Ma non c'è solo la criminalità informatica di cui preoccuparsi. Nella loro vita lavorativa e professionale, i dipendenti e i collaboratori delle imprese vogliono la stessa semplicità che sperimentano quotidianamente nella loro vita digitale privata.
Per questo aggireranno, in buona fede ma pericolosamente, le forme di protezione del loro Digital Workspace che risulteranno troppo frustranti. E non utilizzeranno app e servizi predisposti dall'azienda se sanno di poterne usare altri, più semplici e immediati. La conseguenza negativa di tutto questo è che frequentemente dipendenti e collaboratori condividono informazioni aziendali importanti attraverso canali paralleli a quelli previsti, anche semplicemente account di posta non protetti o servizi di cloud storage. Con l'elevato grado di connettività e di digitalizzazione che oggi hanno le imprese, però, avere flussi incontrollati di informazioni è un rischio troppo grande. Anche e soprattutto a fronte delle normative sempre più stringenti sulla gestione delle informazioni. Qualche anno fa perdere i dati dei clienti era un problema "tecnico" serio ma risolvibile, spesso limitato all'IT, oggi invece norme come il GDPR lo trasformano subito in un problema per il business, con sanzioni economiche pesanti e gravi danni per l'immagine aziendale. 

Dal punto di vista della sicurezza, l'errore concettuale che fanno ancora molte imprese è vedere nell'evoluzione della mobility aziendale tante potenziali vulnerabilità da "tappare" preventivamente con soluzioni verticali. Serve invece una visione d'insieme, trasversale: una strategia complessiva del Digital Workspace che non si focalizzi sulle singole tecnologie e sui singoli prodotti. Serve integrare la sicurezza direttamente negli ambienti del Digital Workspace, in modo che tocchi allo stesso modo tutto ciò che esso coinvolge: utenti, dispositivi, applicazioni, dati, reti.



digitalworkspacesecurity2



Digital Workspace: la gestione degli accessi 

Integrare la sicurezza e la protezione dei dati in tutto il Digital Workspace significa affrontare alcuni temi tecnologici fondamentali tra cui spicca la gestione degli accessi. Oggi infatti l'utilizzo principale dei dispositivi in mobilità è accedere alle risorse e alle informazioni chiave dell'azienda, che possono trovarsi tanto nei sistemi dell'impresa stessa quanto, sempre più frequentemente, in cloud. Oggi l'IT aziendale può essere molto eterogenea e delocalizzata, quindi è opportuno adottare soluzioni di access management che gestiscano indifferentemente ambienti on-premise e in cloud. Quando si tratta poi, in particolare, dell'accesso alle applicazioni di business, la soluzione scelta deve essere altrettanto agnostica sul tipo di applicazione: nativa, web, virtualizzata, in cloud, on-premise. 

Più in generale, la gestione delle applicazioni sui dispositivi mobili è un elemento chiave per un moderno Digital Workspace. Una sua piattaforma di gestione deve permette all'IT di gestire, sui device mobili dei dipendenti, un catalogo di applicazioni aziendali che diano accesso alle risorse più importanti dell'impresa. Per ovvie ragioni di privacy, questa "visibilità" sui device da parte dell'IT d'azienda non deve potersi estendere alla sfera privata. E per altrettanto ovvie ragioni di sicurezza, non deve accadere nemmeno l'opposto. Lato sicurezza delle comunicazioni, un modo per garantire questa separazione è abbandonare l'approccio tradizionale delle VPN per dispositivo. È inutile e anche dannoso proteggere con una VPN unica tutte le comunicazioni di un device, perché a questo canale "sicuro" verso l'IT d'imprese potrebbe accedere anche un malware scaricato per errore dall'utente su dispositivo stesso. Meglio usare VPN specifiche per singola app: ciascuna si attiva, in maniera trasparente, solo quando viene lanciata una app ben identificata e connette alla rete d'impresa solo ed esclusivamente il traffico di quell'app.

Digital Workspace: serve intelligenza 

È impossibile mettere in sicurezza i Digital Workspace (qui anche una preziosa survey per sapere se siete pronti o meno per il Digital workspace) senza ricorrere alle policy e alla loro automazione. Le variabili da controllare (dispositivi, utenti, applicazioni, dati) sono troppe, lo staff IT deve poter definire policy di alto livello che il sistema di controllo poi traduce in azioni mirate. Questo tra l'altro garantisce che le regole di sicurezza e di protezione delle informazioni siano messe in atto sempre allo stesso modo, coerentemente. Le policy però potrebbero non bastare a seguire il proliferare dei device e delle applicazioni. Un ambiente di Digital Workspacedeve anche essere in grado di esaminare nel tempo quali device accedono a quali risorse e quali informazioni, scoprendo così profili e trend di utilizzo che possono o meno essere in linea con le previsioni e le procedure dell'IT. E anche con i requisiti di compliance che l'azienda deve soddisfare. In questa attività di monitoraggio, la scoperta di eventuali comportamenti anomali dovrebbe scatenare automaticamente opportune azioni di remediation. Ad esempio, un dispositivo che ha una versione non aggiornata di una applicazione aziendale potrebbe essere automaticamente soggetto a una patch. O un device che si collega attraverso una rete mai usata prima potrebbe ricevere, solo per quella particolare connessione, diritti di accesso alle risorse aziendali molto ridotti rispetto al normale.

Digital Workspace: la strada della virtualizzazione 

La gestione più granulare e "blindata" possibile per le applicazioni aziendali che vengono esposte verso utenti esterni è legata alla loro virtualizzazione. In un Digitale Workspace basato sulla virtualizzazione, è possibile far accedere gli utenti a istanze virtualizzate di singole applicazioni o di tutto un ambiente desktop Windows. I vantaggi di questo approccio sono molteplici, dal punto di vista della protezione dei dati. Innanzitutto, le applicazioni e gli ambienti desktop virtualizzati è come fossero creati da zero ogni volta che l'utente vi accede. Questo permette di avere un ambiente "neutro" a ogni login, senza residui digitali delle attività delle sessioni precedenti e quindi senza la possibilità per utenti non autorizzati di recuperare informazioni trattate in precedenza. Le istanze virtualizzate sono poi, a priori, completamente separate le une dalle altre e dalle risorse aziendali a cui non hanno motivo di accedere. Questo da un lato evita che un utente autorizzato possa, per errore o volontariamente, andare oltre i suoi privilegi di accesso. Dall'altro, fa sì che un eventuale utente non autorizzato sia comunque confinato in un ambiente limitato e quindi non possa, da questo, penetrare nella rete aziendale. 
Infine, ai Digital Workspace basati su istanze virtualizzate si possono applicare trasversalmente funzioni di backup e patching centralizzate, garantendo così una maggiore protezione delle informazioni da errori umani, malfunzionamenti o vulnerabilità software.