La sicurezza è un tema piuttosto spinoso nella gestione dei dispositivi mobile. Differenti approcci alla telefonia, ai dati, all'email e ad altre applicazioni sono direttamente collegati al dispositivo, o a un certificato presente in tale dispositivo, come base per uno schema di sicurezza. Così se parliamo di un tunnel Blackberry, di una VPN o dell'autenticazione utente, ciascuno di questi metodi richiede una certa forma d'autenticazione a due fattori e uno di questi fattori è un componente del dispositivo mobile (per esempio, il MAC address, la SIM, e così via.). Qualsiasi soluzione di mobility management deve prevedere l'integrazione con le architetture di sicurezza.
Le imprese sono in genere "brave" nello sviluppare e gestire la sicurezza per le proprie reti, ma quando le cose sono estese a una rete di terzi, si complica il tutto. Se aggiungiamo il mobile nell'equazione possiamo immediatamente capire perché tanti dipartimenti It preferiscono una delle seguenti tre alternative:
- la prima è di evitare totalmente la rete cablata e puntare sull'infrarosso, sul Bluetooth o persino sui cradle di sincronizzazione per la connettività fra i dispositivi e le applicazioni mobili;
- la seconda è di utilizzare il tunnel Blackberry chiuso e ben controllato disponibile agli utenti di quel dispositivo e di quel servizio;
- la terza è di usare notebook, la connettività della rete 3G e un tunnel VPN per l'accesso sicuro e mobile ai dati aziendali e alle applicazioni.
Quanto detto apre un dibattito su che cosa è realmente la mobilità. È un notebooke una scheda 3G? O è un dispositivo ancor più mobile che si avvia istantaneamente e usa una qualsiasi rete disponibile? La prima ipotesi è l'attuale stato dell'arte, ma la seconda è una parte integrante del complicato futuro che ci aspetta.
Autenticazione: terra di mezzo fra il carrier e l'impresa
Per rendere sicuro un utente, dobbiamo autenticarlo, il che significa che dobbiamo anzitutto identificarlo e verificare i servizi che è autorizzato a usare. Una volta verificate tali informazioni, possiamo fornire i servizi in sicurezza. A questo proposito, gli operatori mobili e le imprese stanno agendo in modo simile ma usano differenti tecnologie. Sulle reti GSM, la scheda SIM è una parte importante dell'identità dell'utente mobile, ma le tecnologie SIM non sono usate sulle reti CDMA o in molte applicazioni di impresa. Per i dipartimenti It, le credenziali dell'operatore mobile possono essere un buon punto da cui avviare l'autenticazione, benché altri attributi o certificati del dispositivo (quali i MAC address) rappresentino valide alternative.
Servizi come il Wi-Fi e WiMAX si basano su tecnologie di autenticazione quali RADIUS,WPA, TKIP e altri approcci ben noti allo staff It. Se però i carrier sono coinvolti nella condivisione di queste directory le storia è totalmente differente. Molto probabilmente, i mobile worker continueranno a basarsi sulle identità multiple e sui permessi dell'utente attraverso le reti aziendali e su quelle del carrier. E anche se l'impresa si affiderà alle directory per i permessi dell'utente, ci sarà duplicazione fra il carrier e l'impresa stessa.
Isole di autenticazione
La duplicazione prenderà la forma di un sistema per l'autenticazione di impresa e di un sistema separato per l'autenticazione ai servizi su rete pubblica. I servizi mobili di dati sono un ovvio punto di conflitto, mentre la telefonia è un buon punto per cominciare. Gli operatori mobili forniscono già un roaming globale fra le reti del carrier per la telefonia, ma queste reti usano processi di autenticazione inaccessibili (in gran parte a causa del costo) alle imprese di qualsiasi dimensione. Il risultato è che la telefonia mobile localizzata su una rete Wi-Fi aziendale può usare un insieme separato di processi e tecnologie di autenticazione oppure il dipartimento It deve essere coinvolto nella rete del carrier a un certo livello. Quest'ultima soluzione è costosa, ma consente anche un passaggio di responsabilità fra le due reti. La prima soluzione richiede di “commutare” coscientemente fra le reti e, considerato questo aspetto, sappiamo già che gli utenti si troveranno in difficoltà con la rete cellulare.
Lo stesso accade con i dati mobili. Uno studio recente ha stabilito che il 90% del traffico generato dagli utenti che usano laptop in combinazione con schede 3G proviene da location all'interno della sede aziendale. Di fronte a questa responsabilità “di pensare” alla connettività, la maggior parte degli utenti mobili opta per il minimo comune denominatore, ovvero la soluzione che funziona nel maggior numero di posti con il minimo sforzo.
Il punto sui dati mobili è che - se i dipartimenti It aziendali vogliono gestire la connettività dell'utente (incluso il roaming sulla rete più adatta) per fornire un insieme coesivo di servizi - gli It manager hanno bisogno di un modo per controllare l'autenticazione dell'utente e condividere le credenziali con gli operatori della rete pubblica. E la gestione dell'autenticazione, delle credenziali e della sicurezza richiede un accordo circa il processo fondamentale di gestione del dispositivo mobile.
Un esempio
Supponiamo per esempio che un dipartimento It offra un servizio di telefonia di impresa ai dipendenti. Questo servizio indirizzerà l'utente sulla rete aziendale ogni volta che è disponibile un segnale Wi-Fi (in un edificio, in un ufficio remoto, in un tunnel VPN e così via). In tutte le altre situazioni, l'utente accederà alle reti cellulari pubbliche. L'utente avrà un unico numero di telefono che sarà attivo sul dispositivo mobile. L'utente potrà specificare le ore durante le quali può ricevere determinate chiamate e le persone a cui può rispondere senza limitazione di orario. L'utente non avrà un telefono da tavolo e ci sarà un singolo voicemail che può essere disponibile in formato e-mail sul terminale mobile. Il dipartimento It fornirà programmi di chiamata con numeri brevi e potrà instradare le telefonate (comprese quelle internazionali) sulla rete aziendale.
Oggi, esistono tecnologie che forniscono alcune di queste caratteristiche, ma tali metodi richiedono un certo livello di integrazione fra le reti d'impresa e quelle del carrier. Alcuni dei servizi di cui si è parlato si basano sull'accesso al carrier che segnala l'infrastruttura. Altri servizi si basano su un accesso ai servizi di autenticazione al Wi-Fi aziendale. Fornire questa integrazione fra il carrier e l'impresa richiede l'accordo a un livello fondamentale riguardo il software e i certificati disponibili sul telefono mobile. Il raggiungimento di questa intesa comporta una chiara definizione dei ruoli del mobile device management e delle responsabilità.
In
conclusione
Fornire servizi aziendali agli utenti mobili richiede che il dipartimento It condivida le credenziali e le informazioni di autenticazione dell'utente con gli operatori mobili. Per raggiungere questo risultato efficacemente e in sicurezza, le imprese e gli operatori mobili dovranno stabilire un insieme comune di aspettative circa i ruoli, le responsabilità e i punti di demarcazione per il mobile device management.
