Jaka strategia dla BYOD?
-
- Sebastian Górski,
- 15.04.2013
Prywatne smartfony i tablety w pracy - koszmar działów IT
Na tegorocznej konferencji RSA 2013 zagrożenia dla biznesu związane z BYOD zostały zaklasyfikowane przez ekspertów do spraw bezpieczeństwa IT do pierwszej trójki najpoważniejszych. Aż 35% z nich przyznaje, że ich firmy nie są gotowe na wyzwania, jakie stawia przed nimi nowy trend.
"Nie obchodzi mnie prywatny (niezabezpieczony) smartfon pracownika, dopóki nie pojawi się w mojej (dom. firmowej) sieci" - jeszcze do niedawna to zdanie mogło swobodnie zdobić ścianę typowego działu IT w dowolnej wielkości firmie. Prawda jest taka, że BYOD stawia przed managerami IT nie lada wyzwanie. Po pierwsze, to sam użytkownik wybiera urządzenie i platformę systemową do pracy. Po drugie, będzie z niej korzystał również poza sterylnymi warunkami korporacyjnymi (przykładowo na dworcu, w kawiarni, w domu). Po trzecie, to samo urządzenie zaciera granicę dzielącą dwa do tej pory całkowicie odrębne światy - służbowy oraz prywatny.
Zobacz również:
- Najlepsze MDM-y do ochrony urządzeń mobilnych na 2023
- Bezpieczeństwo urządzeń końcowych - 9 kluczowych zasad
Kolejna bolączka to zapewnienie odpowiedniego wsparcia dla użytkowników. W czasach zunifikowanych standardów w postaci BlackBerry nie nastręczało to wielkiego problemu. Jednak teraz dziesiątki modeli, różne wersje platform systemowych, a także nierówny poziom zabezpieczeń aplikacji firm trzecich sprawiają, że stabilny dotychczas system zaczyna wymykać się menedżerom IT spod ścisłej kontroli. A to właśnie rygorystyczny zbiór zasad dotyczących sprzętu i programów do tej pory chronił firmy przed ewentualnymi stratami finansowymi na skutek wycieku poufnych danych.
Nie sposób pominąć problemu kradzieży lub zagubienia sprzętu. W takich przypadkach konieczne jest wdrożenie skutecznej procedury blokowania dostępu do firmowych danych, a także zdalnego wymazywania zawartości takiego urządzenia, aby jego zawartość nie wpadła w nieupoważnione ręce.
BYOD kontra cyberprzestępcy
Firmy produkujące oprogramowanie zabezpieczające wskazują na dramatyczny wzrost liczby zagrożeń mobilnych zanotowanych w 2012 roku. Eksplozja popularności smartfonów oraz tabletów nie umyka uwadze cyberprzestępców, jak również coraz powszechniejsze wykorzystywanie ich w środowisku korporacyjnym. Problem z bezpieczeństwem BYOD w firmach ma charakter dwukierunkowy. Trzeba pilnować, aby żadne złośliwe oprogramowanie (wirusy, trojany, rootkity) nie przeniknęło do wewnątrz, a z drugiej strony zadbać o to, aby z firmy nie wyciekły tym kanałem żadne poufne informacje.
Mimo wzrostu świadomości odnośnie do zagrożeń mobilnych, nadal niewielu z nas stosuje odpowiednie oprogramowanie zabezpieczające urządzenia mobilne (antywirus, antyspyware, anty-phishing), nie wspominając już o bardziej wyrafinowanych metodach ochrony (przykładowo szyfrowanie). Być może będziemy świadkami nowego trendu - ataków ukierunkowanych na najbardziej wrażliwe ogniwo łańcucha korporacyjnego systemu bezpieczeństwa. Zatem nic dziwnego, że to, co raduje typowych użytkowników, powoduje nieprzespane noce wśród managerów IT. W stosunku do BYOD w firmie nie mogą sobie jednak stawiać pytania: czy powinienem to zrobić? Bardziej właściwe okazuje się pytanie: jak mogę to zrobić?
inżynier systemowy w Fortinet
Powszechne wykorzystanie urządzeń mobilnych w biznesie stało się faktem. Ich wszechstronność i funkcjonalność sprawiają, że użytkownikom coraz ciężej jest sobie wyobrazić świat sprzed ery tabletów i smartfonów. Należy pamiętać, że jak zawsze rozwój nowych technologii niesie ze sobą rozwój nowych zagrożeń. Podobnie BYOD oznacza liczne wyzwania w obrębie sieci, danych i urządzeń bezpieczeństwa.
Zaskakująco mało firm ma właściwie wypracowaną politykę bezpieczeństwa wobec napływu urządzeń mobilnych. Dodatkowo urządzenia te są pozbawione najbardziej podstawowych funkcji bezpieczeństwa - takich jak oprogramowanie antywirusowe czy ochrona hasłem - włączonych w praktycznie wszystkich komputerach w miejscu pracy. Oznacza to, że zawrotna ilość danych firmowych dostępnych na urządzeniach przenośnych nie jest skutecznie chroniona, co w efekcie może okazać się bardzo szkodliwe dla interesu i bezpieczeństwa firmy.
Odpowiedzią na wyzwania stawiane przez zjawisko BYOD w dziedzinie bezpieczeństwa mogą być trzy rozwiązania, które zapewnią trochę spokoju organizacji:
• Relevant Mobile Policy (wytyczne dotyczące korzystania z urządzeń mobilnych);
• Remote Management Software (oprogramowanie do bezpiecznego zdalnego sterowania);
• Blocking Non-Compliant Devices (blokada niezgodnych urządzeń).
W rzeczywistości jednak bardzo trudno jest zabezpieczać poszczególne telefony i tablety przy użyciu agentów czuwających nad bezpieczeństwem. Urządzenia mobilne nie mają wystarczająco dużo mocy obliczeniowej, jest zbyt wiele systemów operacyjnych oraz urządzeń, które należy na bieżąco aktualizować. Dodatkowo pracownicy niechętnie instalują oprogramowanie zabezpieczające na prywatnych urządzeniach, które wykorzystują w celach służbowych, a administratorzy IT nie są w stanie tego wyegzekwować.
System kontroli dostępu urządzeń mobilnych do zasobów sieci korporacyjnej powinien być realizowany na poziomie sieci, a nie tylko jej punktów końcowych. W ten sposób zarówno sieć korporacyjna, jak i dane firmowe będą efektywnie chronione przed atakami złośliwego oprogramowania. Dlatego w efekcie jedynym skutecznym rozwiązaniem jest ochrona rdzenia sieci oraz kontrola nad przychodzącym i wychodzącym ruchem z zewnętrznych urządzeń. Ta strategia bezpieczeństwa sieci wymaga silnej kontroli nad użytkownikami i aplikacjami. To znowu wiąże się z przyznaniem uprawnień dla administratorów IT do wykrywania i kontroli wykorzystywania aplikacji oraz punktów końcowych na podstawie klasyfikacji aplikacji, analizy behawioralnej użytkownika końcowego, a także do wykrywania i kontroli aplikacji internetowych na dużym poziomie szczegółowości, w tym kontroli szyfrowanych ruchów aplikacji, niezależnie od portów i używanych protokołów.
Stało się oczywiste, że przedsiębiorstwa będą musiały włożyć sporo wysiłku, aby dostosować się i wspierać swoich pracowników. Ale nie ma alternatywy - BYOD już dawno stało się faktem.
