Bezpieczeństwo - trzy duże problemy

W praktyce, odpowiednia polityka bezpieczeństwa w zakresie urządzeń mobilnych to obecnie najważniejszy element planu zabezpieczeń systemu IT przed zagrożeniami, zwraca uwagę Chris Silva, wiceprezes zajmującej się bezpieczeństwem firmy Ians. W tym przypadku ważna jest nie platforma a polityka, bo nie można powiedzieć, że jedno urządzenie jest bezpieczne, a inne nie. Wszystko zależy od tego, kto z niego korzysta i jakie ma uprawnienia.

Polecamy: Smartfony podatne na ataki

Zobacz również:

Przezorny zawsze ubezpieczony

Należy być przygotowanym na wypadek, gdyby wrażliwe dane zostały skradzione lub przypadkowo wyciekły z systemu. Oprócz znajomości technicznych mechanizmów zapobiegania i detekcji takich przypadków, trzeba wiedzieć, jakie działania należy wówczas podjąć, by zapewnić zgodność z regulacjami prawnymi. Utrata wrażliwych danych może być bardzo kosztowna dla firmy i wymagać skoordynowanego, uzgodnionego działania pracowników działu IT, dyrektora ds. bezpieczeństwa, działów prawnego, ds. zasobów ludzkich, marketingu i być może innych. Dlatego warto zaplanować najgorszy możliwy scenariusz i opracować plan działań przy współpracy przedstawicieli wszystkich wymienionych działów przedsiębiorstwa.

Co polityka oznacza w tym przypadku? Przede wszystkim jest to zdefiniowanie, jakie rodzaje urządzeń mobilnych będą wspierane, oraz określenie zakresu uprawnień ich użytkowników w dostępie do danych i aplikacji.

Ponieważ coraz częściej pracownicy wykorzystują różne własne urządzenia mobilne, nie należy ograniczać się do obsługi jednej, z góry zdefiniowanej platformy. Ale z drugiej strony, błędem jest zapewnienie dostępu dla każdego pracownika wykorzystującego dowolną platformę sprzętowo-programową, bo wówczas kontrola bezpieczeństwa będzie praktycznie niemożliwa.

Dlatego należy jasno określić, które urządzenia mogą mieć dostęp do firmowej sieci. Dotyczy to też ich wersji - np. zastrzec, że żaden model starszy niż iPhone 3G nie będzie obsługiwany (w tym przypadku starsze modele nie pozwalały na sprzętowe szyfrowanie danych).

Kolejnym elementem polityki jest zdefiniowanie, czy wrażliwe informacje będą przechowywane w mobilnym urządzeniu, czy dostępne tylko online. Dla niektórych firm lub organizacji, to bardzo ważne pytanie. Jeśli dotyczące ich regulacje prawne stawiają wymagania w zakresie zabezpieczania danych w urządzeniu mobilnym, zapewnienie odpowiedniego poziomu ochrony może być trudne i kosztowne. Dlatego wartą rozważenia alternatywą jest skorzystanie z urządzeń, które umożliwiają tylko wyświetlanie informacji.

Innym ważnym elementem polityki bezpieczeństwa jest zdefiniowanie profili ryzyka dla użytkowników lub ich grup. Powinny one określać, jakie mają oni uprawnienia do korzystania (lub nie) z urządzeń mobilnych i w jakim zakresie.

Dobrze opracowane zasady istotnie ułatwiają pracę osób odpowiedzialnych za bezpieczeństwo i zwiększają jego poziom.


TOP 200