Sono un utente entusiasta (e beta tester) di VMware Workstation dalle primissime versioni, cioè da almeno otto anni: la società è stata fondata nel 1998, e la versione più vecchia che ho del software è del 1999. Da allora uso VMware essenzialmente per diversi motivi. Il primo è avere a disposizione una macchina Windows per le applicazioni o idispositivi che mi tocca usare e che su Linux non c’è verso di usare. Il secondo è provare configurazioni, anche di rete, senza aver bisogno di molti sistemi. Il terzo è separare contesti per esigenze di sicurezza.
Leggo sul Corriere della Sera (il tema è trattato anche da ComputerWorld) che “Smartphone, macchine fotografiche digitali, chiavette Usb e quant’altro entrano infatti ogni giorno negli uffici, e sovente anche servizi pubblici come Skype o i vari instant messenger sono regolarmente installati (e utilizzati) dai dipendenti proprio sul computer di lavoro. Il tutto in barba alle policy sulla sicurezza del sistema informatico aziendale”. Si tratta di un vecchio problema che si ripropone da anni, e che ogni volta viene “riscoperto” in funzione dei nuovi programmi o oggetti che l’utente utilizza sul proprio PC. Il problema principale di queste situazioni è, di solito, la politica aziendale. Spesso si tratta di un documento (quando non è solo nella testa del CIO) che nessuno conosce e che, soprattutto, nessuno si sente in obbligo di rispettare. A cosa serve una policy aziendale se poi “si sa” che tutti fanno quello che vogliono? Evidentemente chi l’ha scritta non aveva l’interesse o l’autorità per farla rispettare, o la politica è del tutto irrealistica rispetto alle pratiche e alle esigenze dell’azienda. Ad esempio, prevede che il Desktop sia gestito dall’IT, ma di fatto questi non hanno il personale per farlo e magari non hanno neppure un inventario completo dei sistemi presenti in azienda. In queste condizioni, le violazioni da parte degli utenti sono una conseguenza ovvia.
In queste condizioni, è forse meglio concedere all’utente un contesto in cui avere un po’ più di libertà, senza che questa metta a repentaglio le risorse aziendali. Una possibilità è l’uso di una macchina virtuale. Avevo già valutato questa soluzione anni fa, quando il problema erano i PC usati sia per navigare, sia come emulatori 3270 (con apposita scheda) per accedere al mainframe. Allora però l’uso di una macchina virtuale era poco proponibile per questioni di prestazioni. Adesso il problema può essere più gestibile. Non ripeto come può essere utilizzata la macchina virtuale, ne ho già parlato qui. Vorrei invece sottolineare che l’uso di macchine virtuali permette di usare anche browser completamente separati (anche in termini di librerie) fra ambienti diversi. Questo può essere di aiuto nell’affrontare i problemi degli abusi dei browser: browser separati, uno per la rete aziendale, l’atro “forzato” ad uscire dall’azienda, ma fra i quali si possa fare un minimo di cut-and-paste (VMware lo permette) permette di evitare che attacchi al browser per la rete pubblica possano essere usati per accedere alla rete aziendale. Anzi, scoprire che il browser “pubblico” sta facendo cose strane (tipo lo scan di sistemi e porte) diventa a questo punto davvero banale.
