L’evoluzione del mondo del lavoro, sempre più incentrato sull’uso di dispositivi mobili e sullo smart working, sta portando a un profondo cambiamento negli accessi: rispetto al passato, ci sono moltissimi dispositivi intelligenti che non appartengono agli impiegati e che, per motivi differenti, chiedono di potersi connettere al network aziendale.
Le Wireless Local Area Network (WLAN) utilizzate anche da utenti esterni all’azienda per accedere a Internet sono una prassi molto comune per chi si occupa di networking e di sicurezza delle reti. Come gestire questo tipo di accessi, mantenendo governance, sicurezza e qualità del servizio?
Allo stesso modo di quanto fatto per l’accesso ai dipendenti aziendali, è necessario definire policy accurate anche per la gestione degli accessi alle reti wireless degli ospiti, occasionali o periodici.
WI-FI significa libertà di connessione, ma ben gestita
Tra notebook, smartphone, tablet (e presto wearable device, smartwatch e smart glasses in primis) la gestione degli accessi per gli ospiti sta diventando una sorta di naturale estensione dei sistemi LAN aziendali. L’altra faccia del BYOD management è una modalità di configurazione stabile e sicura. Dando per assodato che oggi il BYOD non è più osteggiato ma favorito da nuove e più lungimiranti politiche di gestione, capaci di risolvere ogni aspetto associato alla sicurezza di questa ondata di accessi non cablati e alle prestazioni che è necessario garantire in termini di servizio.
Per quanto riguarda il coworking o lo smart working, nel caso sia necessario fornire l’accesso a una rete aziendale come comportarsi? Se invece si tratta di uno spazio pubblico, di un negozio o di un centro commerciale, la connessione a costo zero può trasformarsi un buon meccanismo di retention?
Gli esperti della sicurezza consigliano di definire regole precise per definire un Wi-Fi dedicato alla gestione degli smartphone e dei tablet di collaboratori e ospiti in visita, con un’attenzione alla qualità della user experience. Ecco qualche consiglio utile per la gestione degli accessi alla rete aziendale degli utenti ospite:
1) Abilitare un canale WI-FI dedicato
Un approccio molto funzionale è quello di abilitare un canale dedicato alla navigazione a Internet, senza però includere tutto il corollario di policy di sicurezza utilizzate per la navigazione e gli accessi alla rete usati per i dipendenti. È sufficiente delimitare il perimetro delle restrizioni rispetto al network wireless aziendale.
2) Identificazione univoca dell’ospite
È possibile fornire ai visitatori l’accesso a una rete aziendale attraverso un set di servizio che, identificando ogni singolo ospite, limita il routing esclusivamente all’interno della WAN, in modo che tutti gli altri elementi e servizi della LAN rimangano invisibili agli ospiti. La gestione delle identità può essere risolta utilizzando gli strumenti che offrono molti fornitori di sistemi WLAN di Identity Management (IDM), che consentono di raccogliere informazioni relative alle credenziali degli ospiti, il che permette di creare diverse profilazioni per gruppi di utenti e di applicare diversi tipi di autorizzazioni, a seconda dei cluster.
3) Networking predittivo
Un altro punto fermo della governance deve essere la capacità di gestione dei picchi. Questo è possibile utilizzando un sistema di provisioning rispetto agli accessi wireless degli utenti ospiti. Si tratta infatti di governare l’ondata crescente di dispositivi mobili che chiedono e continueranno a chiedere banda e Wi-Fi come una commodity, attraverso un’unica soluzione di continuità, garantendo continuità di servizio capace di ragionare anche nel medio e nel lungo termine.
4) Personalizzare i servizi
Fornire un accesso a Internet a un ospite consentendogli di navigare tramite la connessione aziendale non basta. In realtà, la maggior parte delle organizzazioni dovrebbero pensare a una gestione degli ospiti come una nuova classe di servizio (Class of Service – CoS) abilitata sulla rete. L’accesso degli ospiti, grazie a una identificazione e profilazione adeguate, può essere così personalizzato.
5) Specifiche operative
Le specifiche operative sono quell’insieme di policy definite per tipologie di cluster: in base all’ospite, infatti, è possibile assegnare una serie di requisiti, aggregando alcuni servizi IT come, ad esempio, quali siti possono essere acceduti e quali no, se l’utente ha l’autorizzazione a stampare documenti o meno, se l’ospite ha diritto a una prioritizzazione del traffico oppure in caso di picco sia messo in coda e via dicendo.
6) Qualità del servizio
La Qualità del servizio (QoS) deve essere parte integrante dell’offerta e, come tale, deve includere strumenti di monitoraggio e di misurazione delle perfomance di rete. Il fatto che molte aziende non considerino prioritario offrie una connessione di qualità agli ospiti non è un punto a favore: oltre a indebolire la brand reputation, non è una gestione lungimirante rispetto a quell’evoluzione sempre più digitale dei servizi che presto porterà a formalizzare la qualità di questo tipo di accessi per garantire prestazioni ed efficienza a tutti: dipendenti, clienti, cittadini e consumatori.
7) BYOD management in sicurezza
Per garantire la sicurezza delle reti e del BYOD management ci sono alcuni strumenti a supporto delle best practice. In particolare gli esperti consigliano di utilizzare:
- chiavi WPA2: fornite da terze parti, in automatico assegnano chiavi di sicurezza su una base per-user. Fornire un’unica password per tutti non è sufficiente: è necessario assegnarne una per ogni utente. Le chiavi per sessione rendono più facile bloccare uno specifico utente (che per vari motivi va isolato) senza generare interruzione di servizio al resto degli ospiti. In ogni caso, mai lasciare aperta la propria rete aziendale.
- Splash-page: ovvero una pagina su cui far atterrare l’utente ospite, prima che questo possa connettersi alla rete. La splash-page riporta l’elenco di tutte le politiche relative alle modalità di accesso e dovrebbe includere un pulsante “Clicca qui per confernare”, il che fornisce un certo grado di protezione, se un ospite viola policy e normative locali.
- Credenziali di accesso temporizzate: a seconda del profilo utente dell’ospite, le chiavi di accesso possono prevedere una data di scadenza predefinita. Può essere schedulato alla fine della giornata di lavoro, o sulla settimana, su un mese o delta temporali superiori. In questo modo la governance degli accessi è ottimizzata ed efficiente, perché il monitoraggio dei flussi di accesso diventa più strutturato e presidiato.