Dziś przedsiębiorstwa znacznie częściej zezwalają użytkownikom prywatnych urządzeń mobilnych na dostęp do firmowej sieci i korzystanie z nich w normalnej pracy. Dla firm oznacza to wzrost wydajności pracy, a także zmniejszenie kosztów. Z kolei pracownicy odbierają możliwość pracy na własnych urządzeniach jako łatwość dostępu, szybkość i wygodę, co przekłada się na lepszą efektywność pracy. Niestety, bardzo niewiele firm ma odpowiednie zapisy polityki bezpieczeństwa, które pozwoliłyby ochronić sieć firmową przed zagrożeniami wynikającymi z napływu różnych prywatnych urządzeń mobilnych.

Brak konkretnych założeń polityki bezpieczeństwa przekłada się na obawy menedżerów IT przed BYOD (Bring Your Own Device). W badaniu przeprowadzonym przez firmę Fortinet w ub. r. aż 60% respondentów wyraża niepokój o bezpieczeństwo danych korporacyjnych, będące efektem BYOD. Większość firm nie jest pewnych, czy osobiste urządzenia mobilne są odpowiednio zabezpieczone. 66 % twierdzi, że pozwala swoim pracownikom korzystać tylko z takich prywatnych smartfonów czy tabletów, które umożliwiają egzekwowanie korporacyjnej polityki bezpieczeństwa. Jednak 21% przenosi odpowiedzialność za zabezpieczenie urządzeń mobilnych na ich właścicieli, a to bardzo niebezpieczne podejście. Zdecydowanie lepsze efekty przyniesie przystosowanie firmy do tego, by pracownicy mogli w kontrolowany i bezpieczny sposób korzystać z własnych urządzeń.

Zobacz również:

• Wdrożono system, który ochroni nas przed niechcianymi wiadomościami SMS
• Ta ustawa przybliża moment, w którym TikTok zostanie zablokowany w USA
• Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom

Dla domowego użytkownika, czyli mniej bezpieczne

Można zrozumieć niechęć firm wobec korzystania przez pracowników z prywatnych smartfonów i tabletów w celach służbowych. Na ogół są to urządzenia pozbawione podstawowych funkcji ochronnych, takich jak oprogramowanie antywirusowe, szyfrowanie wszystkich przechowywanych informacji czy zabezpieczenie hasłem, co jest standardem w przypadku komputerów w miejscu pracy. Urządzenia te nie mają narzędzi klasy Enterprise umożliwiających zdalne zablokowanie lub wyczyszczenie urządzenia przez dział IT w przypadku jego kradzieży, a nawet jeśli taka opcja istnieje, zakłada zarządzanie zasobami urządzenia przez podmiot trzeci - a to jest nie do przyjęcia przez większość korporacji.

Specyfika urządzeń mobilnych umożliwia pracownikom dostęp do sieci korporacyjnej i aplikacji biznesowych z dowolnego miejsca. W ten sposób pewna część poufnych informacji firmowych jest przechowywana na prywatnych smartfonach i tabletach. Ujawnienie lub utrata tych danych byłyby groźne dla biznesu. Oczywiście, najprościej zabronić pracownikom korzystania z własnych urządzeń mobilnych, ale trendu BYOD nie da się zatrzymać. Należy zatem przygotować firmę do tego, by mogła zarządzać ryzykiem związanym z tym zjawiskiem.

Jak minimalizować ryzyko problemów

1. Zastosować odpowiednią politykę bezpieczeństwa mobilnego

Większość firm powinna zacząć od zdefiniowania możliwych zagrożeń (np. ryzyko infekcji złośliwym oprogramowaniem, nadmierne zużycie pasma, utrata danych) i wyznaczenia celów. W procesie tym pomoże udzielenie odpowiedzi na pytania:

- Jakie aplikacje są niezbędne dla pracowników?

- Którym pracownikom można pozwolić na BYOD i w jakim celu?

- Komu, gdzie, kiedy i jakie treści korporacyjne można udostępnić za pośrednictwem osobistych smartfonów i tabletów?

- W jaki sposób udostępnić zasoby, by minimalizować ryzyko?

- Jak zorganizować kontrolę dostępu?

- W jaki sposób przeprowadzać testy podatności systemu na nowe zagrożenia?

Opracowane założenia polityki bezpieczeństwa powinny być regularnie aktualizowane, dostosowywane do pojawiających się nowych zagrożeń - tutaj obowiązują te same zasady, które sprawdziły się przez lata w wielu firmach.

2. Zainstalować oprogramowanie do zdalnego zarządzania

Jeśli urządzenia pracowników mają mieć dostęp do sieci firmowej, dział IT powinien zastosować na nich choćby podstawowe narzędzia ochronne. Są nimi oprogramowanie antywirusowe oraz aplikacja do zdalnego usunięcia danych z telefonu lub tabletu w przypadku jego kradzieży, a także narzędzia przeznaczone do wprowadzania niezbędnych aktualizacji, usuwających istniejące luki w zabezpieczeniach. Firmy powinny także zastanowić się nad instalacją oprogramowania do lokalizacji skradzionego lub zgubionego urządzenia.

3. Zablokować urządzenia niezgodne z polityką bezpieczeństwa firmy

Pracownicy chętnie korzystają z własnych urządzeń do pracy, ale niechętnie instalują dodatkowe oprogramowanie, które mogłoby skasować cenne kontakty lub zdjęcia z telefonu, dlatego warto uzależnić zgodę na BYOD od wprowadzenia takich narzędzi.

4. Jeśli to możliwe, udostępniać treści bez składowania ich na urządzeniu

Dzisiejsza technologia umożliwia udostępnienie treści bez konieczności zapisu informacji na urządzeniu mobilnym. W ten sposób użytkownik może na telefonie lub tablecie pracować z aplikacją, która rezyduje w data center, bez konieczności instalacji samej aplikacji na urządzeniu. Metoda pracy z użyciem wirtualizacji aplikacji jest o wiele bezpieczniejsza od przetwarzania lokalnego na urządzeniu, ale nie zawsze można z tej technologii skorzystać.