Służbowy smartfon zgodny z GDPR

Rozporządzenie RODO wskazuje, że wszelkiego rodzaju urządzenia, na których są przetwarzane dane osobowe, powinny być w odpowiedni sposób zabezpieczone, by nikt nie mógł niepowołanie dostać się do danych i je rozprzestrzeniać. Jaką firmy prowadzą politykę bezpieczeństwa w przypadku smartfonów?

Kamil Pakalski, IT Security Specialist/ABI, Optima Sp. z o.o.

Smartfony zmieniły nasze życie. Rozwój technologii mobilnej spowodował, że zaczęliśmy coraz częściej korzystać ze smartfonów do przeglądania treści w internecie, jak również do zapisywania na nim wszelkich danych. Tim Cook, szef Apple stwierdził, że „w smartfonie mieszczącym się w kieszeni znajduje się więcej prywatnych informacji, niż można znaleźć podczas przeszukania domu jego właściciela”. Używamy ich coraz częściej i coraz więcej. W 2017 roku liczba smartfonów na świecie wyniosła 2,32 mld sztuk. Średnio 160 razy dziennie każdy użytkownik spogląda na ekran telefonu, 88% użytkowników sięga po niego w mniej niż pół godziny.

W 2012 roku system Android odpowiadał za nieco ponad 2% globalnego ruchu w sieci, ale w marcu 2017 roku było to już 37,93%, nieznacznie wyprzedzając Windowsa. W Polsce Android odpowiada za niemal 55% ruchu w sieci, zaś Windows 39%.

Zobacz również:

Dane zagubione w taksówkach

Smartfony, jako komunikatory, ale i narzędzia o szerszym zastosowaniu, wkroczyły również do firm. Do firm wkroczyły też, potencjalnie i realnie, luki bezpieczeństwa, zamieszczone choćby w aplikacjach, które pracownicy ściągają na służbowe urządzenia. Jak organizacje radzą sobie z bezpieczeństwem urządzeń mobilnych i ich właściwym zabezpieczeniem? O działaniach swojej firmy w tym zakresie podzielił się podczas konferencji SEMAFOR 2018 Kamil Pakalski, IT Security Specialist/ABI, Optima Sp. z o.o.

Ekspert przede wszystkim zwrócił uwagę, że często firmy bagatelizują znaczenie smartfonu w ogólnej polityce bezpieczeństwa firmy. “Zgodnie z RODO nie tylk adres IP jest daną osobową, którą trzeba zabezpieczyć, ale również numer IMEI, pponieważ dając pracownikowi smartfona przypisujemy do tego numeru jego imię i nazwisko. Czyli takie urządzenia również musimy zabezpieczyć” – zauważył Kamil Pakalski. Podczas swojej prezentacji ekspert podał przykład ze Stanów Zjednoczonych, gdzie rocznie w nowojorskich taksówkach klienci zostawiają 73 tysiące urządzeń, z czego ponad połowa to telefony służbowe, w których znajduje się poczta korporacyjna, książki adresowe, pliki Excel, PDF i inne dane firmowe. Ryzyka występują też na innych poziomach, choćby softu. Według danych przedstawionych przez specjalistę z Optimy, Globalnie 87% urządzeń posiada jedną lub więcej luk bezpieczeństwa w oprogramowaniu niezależnie od wersji systemu, zaś na 100 tysięcy aplikacji w Google Play aż 410 z nich było potencjalnie wrażliwe na działanie złośliwego oprogramowania i kradzież danych.

MDM kontra ryzyka

„Jeżeli nie scentralizujemy miejsca do zarządzania takimi smartfonami, narażamy się na ryzyka regulacyjne, operacyjne, finansowe i reputacyjne” – stwierdził.

Co więc konkretnie może spotkać organizację, która nie przystosuje swoich działań zabezpieczających do RODO?

  • Ryzyko regulacyjne:
  • • kontrole organów nadzoru
  • • Sankcje administracyjne
  • • Sankcje karne
  • Ryzyko operacyjne:
  • • Problemy z działalnością na terenie UE
  • • Zakaz transferu danych
  • • Ograniczenie prowadzonych działań
  • Ryzyko finansowe:
  • • Kary finansowe
  • • Utrata przychodów
  • • Koszty procesowe
  • • Odszkodowania
  • Ryzyko reputacyjne:
  • • Utrata zaufania klientów
  • • Utrata zaufania pracowników
  • • Spadek siły marki i odejście klientów
##

Nie oznacza to jednak, jak zaznaczył Kamil Pakalski, zachęty do zaprzestania korzystania z urządzeń mobilnych w pracy. Wykorzystanie smartfonów daje ogromne korzyści, zwiększając efektywność, elastyczność, wygodę pracy, stały dostęp do danych. Po prostu należy zastosować w tym wypadku odpowiednie środki bezpieczeństwa.

„Urządzenia mobilne należy szyfrować, tak, aby można było z każdego miejsca je zablokować i wymazać znajdujące się na nim dane” – radził Kamil Pakalski.

W tym wypadku konieczne wydaje się zainstalowanie agenta systemu MDM (Mobile Device Management) i centralne zarządzanie telefonami w firmie. Jak zaznaczył ekspert, ofert MDM jest na rynku wystarczająco dużo, by dopasować ich funkcjonalności do potrzeb organizacji. „Posiadając scentralizowane zarządzanie urządzeniami, organizacja może w łatwy sposób ustawiać potrzebne polityki bezpieczeństwa, przyznawać dostęp do aplikacji, blokować go dla innych. Może też wykonywać kopie zapasowe danych konkretnych telefonów, by po wycieku lub zagubieniu telefonu nie tylko skasować dane z urządzenia, ale przywrócić je na innym” – wyjaśniał Kamil Pakalski.

Czy to zlikwiduje całkowicie ryzyka związane z przystosowaniem firmowych smartfonów do RODO? Na pewno zoptymalizuje je i uczyni firmę bardziej odporną na zagrożenia płynące z tej strony.

Organizatorzy:
logo ISACA Warsaw logo ISACA Katowice logo ISSA logo CW
Partner główny:
logo Entrust Datacard
Mecenasi:
logo Akamai logo Fortinet logo F-Secure logo InfraData
logo OneTrust logo TrendMicro logo Verint
Partnerzy merytoryczni:
logo Arrow logo Asseco logo Atende logo EMCA
logo Flowmon logo Flowmon logo Infoblox logo KPMG
logo Polish Data Center Association logo PWC logo Quest Dystrybucja logo Quest
logo Symantec logo Vade Secure
Wystawcy:
logo Alstor logo Comparex logo Greeneris logo Integral Solutions
logo Integrated Solutions logo LogicalTrust logo Opswat logo Orange
logo Ramsdata logo Ratels logo Sanas Emea logo Vecto
logo Vertiv
Patroni medialni:
logo Rządowe Centrum Bezpieczeństwa logo Instytut Audytorów Wewnętrznych IIA polska logo niebezpiecznik logo CSA PL
logo ISC2 logo Owasp logo Securak logo Technology Risk
logo Zaufana Trzecia Strona