Si chiama BYOC (Bring Your Own Cloud) ed è un acronimo che sta a indicare la tendenza crescente dei dipendenti di un'organizzazione a utilizzare servizi di cloud storage personali scegliendoli direttamente, senza passare attraverso la supervisione del reparto IT. Esattamente come il BYOD (Bring Your Own Device), è uno degli effetti della diffusione massiccia del mobile computing e della consumerizzazione dell'IT. Il dipendente che già usa un servizio di storage personale (Dropbox, iCloud, OneDrive, Google Drive?) su un dispositivo che impiega anche per scopi professionali è portato a utilizzare lo stesso servizio per immagazzinare i dati aziendali.

I vantaggi del BYOC

I vantaggi non mancano, a cominciare dalla possibilità di avere accesso ai record da qualunque dispositivo e ovunque ci si trovi, oppure dal fatto che spesso i sistemi di cloud storage effettuano il backup dei dati senza che siano necessari particolari interventi. Da non sottovalutare poi un altro aspetto, ovvero il costo trascurabile, se non addirittura nullo – molte soluzioni sono "free" –, di questi servizi. Ed è anche in ragione di quest'ultimo aspetto che non sono poche le aziende che ne incoraggiano, o perlomeno non ne ostacolano, l'uso. Le organizzazioni che decidono di autorizzare i dipendenti a utilizzare servizi di personal storage nel cloud anche per scopi professionali si vedono aumentare lo spazio di memorizzazione a disposizione senza fare alcun investimento. Inoltre, anche la facilità d'uso è garantita, in virtù del fatto che l'utente è già avvezzo all'interfaccia utente e alle funzionalità del servizio.

Tutto bene quindi? Non proprio. Diversi sono i problemi cui le aziende vanno incontro. A cominciare dalla sicurezza, in quanto per un'azienda è davvero difficile pensare di poter controllare i servizi di cloud storage, a causa della loro natura di servizi gestiti da un fornitore terzo e che fanno sostanzialmente capo al dipendente, che dispone di propri user id e password. Per di più, analogamente a quanto accade nel BYOD, si fa più sfumata la distinzione tra i dati e le applicazioni personali e quelli aziendali.
La commistione di dati personali e professionali ha ripercussioni notevoli sul lavoro quotidiano di chi si occupa di sicurezza e IT in azienda, in particolare su queste cinque aree.

  • Aumenta la complessità: i reparti IT devono garantire capacità adeguata alle esigenze degli applicativi. A questo si somma la necessità di tenere traccia e gestire servizi completamente al di fuori del loro controllo.
  • Aumenta il consumo di risorse di rete: la maggior parte delle reti aziendali non è strutturata per gestire l'incremento dei file condivisi che si accompagna all'uso crescente di applicazioni BYOC. Questo si traduce in una contrazione della banda disponibile per le operazioni quotidiane, quindi in un rallentamento dei processi e in una riduzione della produttività nel suo complesso.
  • Aumentano le vulnerabilità: il BYOC lascia le aziende esposte a gravi violazioni della sicurezza. In primo luogo, perché l'impresa non mantiene più il controllo dei propri dati e non ha modo di sapere cosa è stato caricato e su quale servizio cloud. I dati possono cadere nelle mani sbagliate o andare smarriti.
  • Aumentano i silos di dati: il BYOC porta con sé il pericolo di creare silos di dati nel momento in cui gli utenti archiviano ed elaborano i record al di fuori del contesto aziendale. Poiché gli strumenti sono facili da usare e reperire, l'aderenza alla governance dei dati è di solito un pensiero secondario. Ai reparti IT resta però il difficile compito di cercare di ripulire, riconciliare e integrare i record immagazzinati nei diversi silos, così da poterli condividere in azienda.
  • Compliance a rischio: il BYOC non solleva solo questioni di conformità con le linee guida di sicurezza dell'impresa, ma anche con le regolamentazioni di settore e le normative sulla tutela della privacy. Gli operatori sanitari e le organizzazioni di servizi finanziari, per esempio, devono essere conformi a rigorose norme di sicurezza e protezione dei dati. Con il BYOC, già proteggere le informazioni di base diventa una sfida, per non parlare poi dei dati sensibili. Le violazioni della sicurezza possono comportare pesanti multe oltre alla perdita di reputazione con le spese (legali, di marketing?) che ne conseguono.
     

Cosa possono, quindi, fare le aziende per cercare di contenere i rischi del BYOC? Anzitutto, adottare sempre la versione "enterprise" delle soluzioni di cloud storage. Quasi tutti i servizi di personal storage nella nuvola, infatti, offrono un'opzione professionale con funzionalità di sicurezza ottimizzate per un uso promiscuo (personale/di lavoro). E poi cercare sempre di fondere il meglio dei due mondi attraverso una strategia BYOC "ibrida" composta da un servizio di cloud storage personale sicuro che riprenda funzioni come quelle dei più comuni servizi disponibili ma che risieda all'interno della rete aziendale. Infine, diffondere in azienda una maggior consapevolezza sui rischi potenziali derivanti dall'uso "incauto" di questi servizi e, soprattutto, implementare policy differenziate utili per assicurare la protezione dei dati on premise, off premise e nel cloud.

 

7 febbraio 2018