Smartfony, tablety i bezpieczeństwo firmy
- Patryk Królikowski,
- 14.12.2011, godz. 09:00
Polecamy: IPv6 na celowniku hakerów
Zobacz również:
Najdalej w "domyślnym" bezpieczeństwie poszedł RIM, oferując szyfrowanie zarówno pamięci wewnętrznej, karty SD, jak i komunikacji czy wbudowanego firewalla. Ale nawet tutaj mamy przypadki udanych ataków. Przykładem może być wydane już w 2006 r. i zaprezentowane na konferencji "Black Hat" eksperymentalne narzędzie BBProxy, które umożliwia podsłuchiwanie komunikacji. Mamy też w pełni komercyjne trojany, takie jak FlexiSpy czy MobiStealth.
Pozostaje jeszcze kilka innych istotnych kwestii, a przede wszystkim ta dotycząca przechowywania informacji wrażliwych na urządzeniach mobilnych i tego, co może się z nimi stać. Na ogół wystarczy trochę wyobraźni, chwila refleksji i zadanie kilku prostych pytań, aby zapobiec zagrożeniom. Użytkownicy często kupują własne urządzenia mobilne i wykorzystują je do pracy- znajdują się zatem na nich zarówno dane prywatne, jak i służbowe. Czy będziemy w stanie je rozdzielić i tylko te drugie objąć kontrolą? W ilu korporacjach impulsem do zastanowienia się nad bezpieczeństwem mobilnym staje się np. decyzja kadry dyrektorskiej o zakupie tabletów bez wcześniejszej konsultacji z działem bezpieczeństwa? Albo inny scenariusz, gdy dyrektor finansowy, udając się w podróż służbową, zabiera ze sobą do pociągu krytyczne dane firmowe na iPadzie (bo mu tak łatwiej), a potem urządzenie ginie…
1. Jakimi systemami będziemy zarządzać?
2. Czy dopuszczamy korzystanie z rozwiązania oferowanego tylko w chmurze, czy potrzebujemy dedykowanej platformy w organizacji?
3. Czy chcemy mieć rozwiązanie agentowe czy bezagentowe ze wszystkimi konsekwencjami, które płyną z pierwszego lub drugiego podejścia?
4. Co możemy zrobić w razie kradzieży urządzenia?
5. Czy oprócz bezpieczeństwa, zależy nam również na archiwizacji?
6. Czy mamy dedykowane rozwiązanie AV/FW dla urządzeń mobilnych, z którym musimy się zintegrować? Jeżeli nie, to czy oczekujemy takich funkcjonalności od MDM-a?
7. Czy chcemy mieć możliwość szyfrowania zawartości urządzenia?
8. Czy zakładamy wykorzystanie urządzeń własnych użytkowników, i czy w związku z tym powinniśmy rozdzielać ochronę danych prywatnych od służbowych?
9.W jaki sposób chcemy kontrolować przepływ informacji między urządzeniem a światem zewnętrznym?10. Czy chcemy mieć kontrolę nad tym, co może zostać zainstalowane na urządzeniu?