In un’organizzazione tipica la proprietà (o chi per lei) si affida all’IT (dipendente, consulente o mix) per la gestione dei dati e della loro sicurezza (intesa sia come integrità sia come protezione).
L’IT sa benissimo che usabilità e sicurezza sono due vettori uguali e contrari; compito del bravo IT è di mediare le due cose con le necessità aziendali e, spesso, con i capricci di alcuni utenti.
Fino a poco tempo fa la soluzione della sicurezza informatica era quasi banale perché bastava stabilire un perimetro con accessi controllati: i computer all’interno erano sicuri, quelli all’esterno insicuri e alle porte si mettevano dei guardiani feroci (firewall, proxy e assimilati).
Alcuni fattori tecnologici stanno rendendo velocemente obsoleto questo modello; tra questi si possono citare le chiavette USB, i dispositivi portatili leggeri (telefoni, netbook, tavolette, console portatili) e la proliferazione di servizi online di storage e collaboration (Dropbox e Google Office per ricordare due esempi).
Alla tecnologia si affiancano anche i fattori umani, come il social engineering da un lato e la tendenza di alcune persone IT a non volersi aggiornare dall’altro.
Risultato? Il caos.
L’IT non aggiorna a Windows 7 magari perché non ha il budget e/o perché dovrebbe imparare tutto da zero. L’utente che si crede un SysAdmin perché riesce ad installare la stampante a casa sua senza dover riformattare il PC inizia a pontificare teorie assurde. Il power user che collega un po’ di device alla LAN e al PC aziendale, installando un sacco di driver e di crapware (avete idea di cosa installano iTunes o il software di gestione di Nokia?), trasferendo dati di lavoro e magari un po’ di malware. Il dirigente che accede alla mail aziendale via web dall’albergo e salva la password sul PC comune dell’hotel.
Ogni sei mese esce un nuovo dispositivo mobile leggero, tutti in azienda vorrebbero che il loro dispositivo mobile (notoriamente il migliore al mondo, checché ne dicano i colleghi, che non capiscono nulla di tecnologia) fosse interfacciabile con i sistemi aziendali. Tutti vorrebbero che il calendario (di cui non esiste un dannato standard!) del telefono fosse sincronizzato con quello del netbook e con quello del sistema aziendale. Piacerebbe a ciascuno poter leggere i documenti aziendali dal treno o da casa, ovviamente ognuno con una versione diversa di piattaforma e di release.
Nessuno pensa che i propri appuntamenti personali potrebbero essere letti da tutti a causa delle impostazioni di default della sincronizzazione, o che non è una bella cosa far transitare in chiaro dati aziendali su reti aperte o che se si chiede di cambiare password ogni tanto ci possono essere validi motivi.
“Ma io devo vedere i documenti anche quando sono in giro!” è il mantra di chi sostituisce troppe volte il verbo volere con dovere, guardando solamente al proprio orticello.
Se in un ufficio di poche persone è relativamente semplice e poco dispendioso cambiare le tecnologie, più l’azienda diventa grossa e più aumentano i problemi e i costi, spesso con un andamento geometrico.
Se sarebbe accettabile avere due client diversi di posta elettronica, è meno facile gestire diversi sistemi di programmi di tipo office, anche se molte realtà fanno di necessità (il budget) virtù e stringono i denti.
Al solito, un’intelligente mediazione è spesso la soluzione migliore. Da un lato, l’IT non deve dire NO per principio, deve restare costantemente aggiornato, ascoltare le istanze dei clienti/utenti e condividere le decisioni con loro. Dall’altro, gli utenti non possono considerare il PC e la LAN aziendale come quelli di casa, a cui possono connettere ogni idiozia che si trova in giro, debbono essere ragionevoli nelle richieste e devono essere istruiti sul valore dei dati che trattano, oltre che vaccinati con training ed esempi pratici contro le tecniche più banali di social engineering.
È difficile? Ovvio che lo è: se fosse facile non ci sarebbe l’IT, basterebbe lasciare che gli utenti facciano quello che vogliono.
Lascia un commento