Strategie mobilnego bezpieczeństwa

Pliki stanowią zasób, nad którymi organizacja musi panować - tam przechowywane są najważniejsze informacje. Każda firma powinna opracować politykę zarządzania dokumentami na wszystkich urządzeniach.

Strategie mobilnego bezpieczeństwa
BYOD a pliki

Jedną z najczęściej słyszanych odpowiedzi na pytanie o zagrożenia związane z urządzeniami mobilnymi jest propozycja zakazu korzystania z takich rozwiązań w korporacyjnej sieci. Chociaż zakaz wydaje się najprostszym wyjściem, jest najmniej elastyczny, a jednocześnie przynosi szkody firmie, gdyż pracownicy będą chcieli ten zakaz omijać. Wszelkie restrykcje kończą się zazwyczaj tym, że pracownicy znajdą sposób na obejście ograniczeń i wygodniejszą pracę mobilną, często kosztem bezpieczeństwa. Wprowadzenie alternatywy, która umożliwi użytkownikom korzystanie z firmowych dokumentów na urządzeniach mobilnych bez konieczności uciekania się do usług, takich jak Dropbox, jest w dłuższej perspektywie nieuniknione. Usługi przeznaczone dla użytkowników domowych nie nadają się dla firm, gdyż nie oferują oczekiwanego przez korporacje poziomu ochrony danych. Niekiedy ochrona jest słabsza od przesyłania plików jako załączników poczty elektronicznej. Jedynym wyjątkiem są organizacje, które wszystkie swoje dokumenty, poza danymi osobowymi, przetwarzają i udostępniają publicznie.

Praktyka dobrze zarządzanych działów IT wskazuje, by już teraz rozważyć strategię związaną z urządzeniami mobilnymi w firmie. Dostarczenie rozwiązań, które spełnią korporacyjne potrzeby, a jednocześnie zapewnią akceptowalny poziom ryzyka, wydaje się najlepszym wyjściem naprzeciw potrzebom użytkowników. Dzięki temu można uniknąć problemów z naruszeniami bezpieczeństwa spowodowanymi przez korzystanie przy danych firmowych z usług konsumenckich, takich jak Dropbox. Prezentujemy trzy strategie mobilne, które można zastosować w przedsiębiorstwie w celu zminimalizowania ryzyka naruszenia bezpieczeństwa.

Strategia pierwsza: Każdemu według potrzeb

Pierwszą ze strategii jest dostosowanie ochrony do rzeczywistych potrzeb, przy czym koncentruje się ona nie tyle na samych zasobach, ile na funkcji, którą użytkownik pełni w strukturze organizacyjnej przedsiębiorstwa. W takim scenariuszu użytkownicy są podzieleni pod względem ważności informacji i niezbędnych zabezpieczeń, a zatem:

- najważniejsze osoby w firmie, odpowiedzialne za strategię oraz zarządzanie, a także personel IT korzystają z najlepiej zabezpieczonych urządzeń, takich jak terminale BlackBerry;

- dyrektorzy niższego szczebla, a także inne ważne osoby spoza grupy ściśle zarządzającej firmą, mogą (oprócz BlackBerry) użyć także telefonów iPhone oraz wybranych urządzeń z Androidem, pod warunkiem zarządzania nimi;

- pracownicy niższego szczebla mogą korzystać z najszerszej listy urządzeń, pod warunkiem zarządzania nimi;

- niezarządzane urządzenia nie są dozwolone niezależnie od pozycji danego pracownika w firmie.

Ponieważ najczęściej wykorzystywaną usługą w korporacyjnych telefonach jest dostęp do poczty elektronicznej oraz firmowego intranetu, właśnie te dwie usługi wymagają szczególnego zabezpieczenia.

Podejście zakładające wybór urządzeń zależnie od informacji na nich przetwarzanej i przechowywanej jest często spotykany w dużych firmach, gdyż umożliwia silną ochronę tych obszarów, gdzie ryzyko jest największe. Jednocześnie można minimalizować koszty, wprowadzając urządzenia mobilne z uproszczoną ochroną do działów i użytkowników, w których ryzyko naruszenia bezpieczeństwa i ewentualne jego skutki są nieznaczne. Wadą jest konieczność obsługi różnych urządzeń przez dział IT, a także znacznie ograniczona funkcjonalność dla użytkowników, których dane są najważniejsze. Ponieważ nawet prezesi i dyrektorzy organizacji często ulegają modzie na różne urządzenia elektroniczne, można spodziewać się naruszeń bezpieczeństwa właśnie ze strony top menedżmentu. Zamiast odczuwać niewygody w dobrze zabezpieczonym środowisku, tacy użytkownicy będą woleli pracować w mniej bezpiecznym, ale dla nich wygodniejszym. Jest to jeden z najważniejszych problemów w tym modelu udostępniania informacji niestrukturalnej w firmie.

Strategia druga: Kontener na firmową zawartość

Uwaga na wyszukiwanie

Wiele rozwiązań oferuje przeszukiwanie udostępnianej treści, ale przed wdrożeniem należy koniecznie sprawdzić, czy motor wyszukiwania uwzględnia uprawnienia użytkownika poszukującego informacji. Udostępnienie przeszukiwania w treści wszystkich dokumentów jest jednym z najpoważniejszych błędów, gdyż umożliwia ewentualnemu intruzowi dotarcie do najważniejszych dokumentów i pozyskanie ich (nawet uproszczonej) zawartości bez konieczności przełamywania zabezpieczeń. Problem był nieznany, dopóki nie pojawiły się zaawansowane systemy pracy grupowej oraz repozytoria firmowych dokumentów wyposażone w pełnotekstowe wyszukiwanie.

Odmienna strategia zakłada objęcie ochroną nie tylko pliki, ale całą firmową zawartość. Na rynku znajdują się rozwiązania, które potrafią utworzyć szyfrowany i zarządzany kontener na firmową treść w telefonie klasy smartphone lub w tablecie. Przechowywane tam treści (także pliki) są udostępniane tak, że można uruchomić firmową aplikację, która będzie miała do nich dostęp w sposób podobny do znanych usług terminalowych, albo synchronizować treść z firmowymi serwerami. Metoda dzięki utworzeniu warstwy abstrakcji od sprzętu umożliwia bezpieczne przechowywanie firmowych aplikacji oraz treści nawet w prywatnych urządzeniach pracowników. Rozwiązanie to ma kilka zalet, m.in.:

- jest bardzo proste w użyciu od strony pracownika, gdyż wystarczy zainstalować odpowiednią aplikację i zalogować się do firmowych systemów;

- umożliwia nie tylko przechowanie danych, ale także udostępnienie firmowych aplikacji, bez konieczności publikacji ich w ogólnodostępnym sklepie z aplikacjami obu najważniejszych dostawców (Apple i Google);

- pliki przechowywane w smartfonie są przechowywane w kontenerze i jeśli firmowa polityka bezpieczeństwa na to nie pozwala, nie ma możliwości przeniesienia ich do innego środowiska;

- każdą aplikację można wyłączyć lub doinstalować;

- nie ma potrzeby zarządzania całym urządzeniem mobilnym przez dział IT, wystarczy uruchomienie aplikacji przez użytkownika.

Pionierem udostępniania informacji i aplikacji na urządzeniach mobilnych za pomocą bezpiecznego kontenera jest firma Citrix, obsługiwane są standardowe desktopy oraz urządzenia mobilne Apple i Google. W przypadku dystrybucji aplikacji do urządzeń iOS przeprowadzanej z użyciem kontenera nie jest wymagana autoryzacja kodu i publikacja w sklepie z aplikacjami firmy Apple.

Strategia trzecia: Pomost dla plików

Trzecia strategia zakłada dostęp do plików za pomocą synchronizowanego repozytorium, które potrafi połączyć istniejące zasoby i udziały, prezentując je użytkownikom w dedykowanej aplikacji lub przez przeglądarkę. Pierwsze takie systemy korzystały z koncentratorów SSL VPN, w których zasoby sieci lokalnej udostępnianie za pomocą protokołów CIFS i NFS można było przeglądać przez zwykłą przeglądarkę internetową w połączeniu SSL. Przykładem rozwiązania z tej grupy, które potrafi o wiele więcej, niż tylko udostępnić pliki na tabletach, jest Novell Filr. Podstawowe zalety tego sposobu integracji urządzeń mobilnych polegają na:

- wykorzystaniu istniejącej infrastruktury IT, takiej jak serwery plików oraz usługi katalogowe, a także zachowaniu opracowanych założeń polityki dostępu do zasobów;

- dostęp można osiągnąć z praktycznie każdego urządzenia z systemami Windows, OS X, iOS, Android czy BlackBerry. Jeśli polityka bezpieczeństwa na to pozwala, można udostępnić zasoby przez przeglądarkę, dzięki czemu nawet na specjalnie "utwardzonych" stacjach roboczych z Linuksem można pracować z firmowymi dokumentami;

- nie potrzeba żadnych zmian w firmowych zasobach, integracja z usługami katalogowymi, takimi jak Microsoft Active Directory, typowy LDAP czy NetIQ eDirectory, jest bardzo prosta;

- danych nie potrzeba duplikować poza firmę, by udostępnić je podmiotom zewnętrznym. Pliki pozostają nadal na firmowych serwerach;

- >globalne wyszukiwanie, uwzględniające prawa dostępu do plików dla każdego użytkownika;

- podobnie jak w poprzednim modelu możliwy jest dostęp offline, jeśli tylko polityka bezpieczeństwa na to pozwala;

- praca grupowa na plikach.

Novell Filr ma dodatkową zaletę, polegającą na łatwości udostępniania zasobów poza firmową sieć praktycznie dowolnym użytkownikom przez przeglądarkę internetową. Nie jest przy tym wymagana instalacja żadnej aplikacji, wystarczy podanie hiperłącza, by pobrać udostępnione przez firmę materiały. Rozwiązanie to ma dość szczegółowy audyt dostępu i granularną kontrolę uprawnień. W odróżnieniu od typowej konfiguracji udostępniania zasobów CIFS za pomocą koncentratora SSL VPN, użytkownik korzystający z Filra nie musi mieć żadnych uprawnień do firmowych serwerów, by pobrać udostępnione dla niego pliki.

Czy zawsze trzeba silnej ochrony?

W firmach, które opracowują projekty stanowiące własność intelektualną wymagającą szczególnej ochrony, nie może dochodzić do udostępniania zasobów do niezarządzanych urządzeń. Zazwyczaj stosuje się metodę pierwszą, wykorzystującą specjalnie opracowane pod kątem korporacji urządzenia, lub metodę drugą, gdzie ochronę realizuje się za pomocą szyfrowanego kontenera.

Niekiedy jednak ryzyko związane z udostępnieniem firmowych dokumentów w chmurze publicznej jest bardzo małe - tak jest np. w organizacjach pożytku społecznego lub niektórych przedsiębiorstwach komercyjnych. W ww. podmiotach jedynymi porcjami informacji, które należy chronić, są dane osobowe oraz niektóre płatności. Wszystkie inne informacje są i będą publicznie dostępne, a zatem można bez wielkiego ryzyka umieścić w zasobach, takich jak Dropbox lub Google Drive czy Microsoft SkyDrive. Jeśli pracownicy w firmie działają wyłącznie w obrębie zasobów dostępnych publicznie innymi drogami, nie ma potrzeby stosowania wyrafinowanych zabezpieczeń. W takim przypadku od bezpieczeństwa mocno pilnowanych zasobów ważniejsza jest wygoda użycia, a zatem zastosowanie ma strategia druga, z luźno zdefiniowanymi regułami bezpieczeństwa, oraz strategia trzecia, w dużym stopniu korzystająca z udostępniania zasobów poza firmową sieć. Metoda trzecia ma dodatkową zaletę polegającą na łatwości połączenia istniejących zasobów firmowych w zorganizowane centra dystrybucji dokumentów.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200