Tablety w korporacji, czyli jak bezpiecznie korzystać z nich w organizacji

Gdy proponuje się używanie tabletów lub smartfonów w firmie, zazwyczaj dział IT odmawia...

Urządzenia, z których korzystają pracownicy, można podzielić na sprzęt powszechnego użytku, profesjonalny oraz przeznaczony do specjalnego zastosowania specjalnych (mission grade). Komputery i tablety przeznaczone do używania w domu nie są bezpośrednio przystosowane do pracy w korporacyjnym środowisku (często nie mają niezbędnych opcji służących do tego celu). Typowy przykład dotyczy komputerów domowych z preinstalowanym systemem Windows w edycji domowej, pozbawionej zabezpieczeń NTFS, szyfrowania danych, zarządzania ustawieniami polis systemowych, a także narzędzi pomocy zdalnej i dołączenia do firmowej domeny. Aby zarządzać takim komputerem, niezbędne jest zainstalowanie właściwego wydania Windows oraz i narzędzi zdalnego zarządzania. Dla niektórych rozwiązań konsumenckich, takich jak tablety czy telefony iPhone, takich rozwiązań nie ma w ogóle i prawdopodobnie nie będzie (brak API dla antywirusa), dlatego nie można mówić, by przetwarzać tam dane o szczególnym znaczeniu dla przedsiębiorstwa.

Komputery klasy korporacyjnej są zbudowane pod kątem pracy w firmowym środowisku, zawierają narzędzia takie jak TPM, instalowane oprogramowanie posiada opcje centralnego zarządzania i ochrony danych, ponadto instalowane są wydania Windows przeznaczone do pracy w firmach.

Z kolei sprzęt przeznaczony do zastosowań specjalnych, zwany popularnie klasą mission grade, ma zaawansowane systemy ochrony składowanej informacji, wliczając w to sprzętowe szyfrowanie oraz inne zabezpieczenia, umożliwiające przetwarzanie ważnych danych. Jego wadą jest koszt (zarówno zakupu, jak i utrzymania) i powolne działanie, zaletą - bardzo dobra ochrona przetwarzanej informacji.

Problem użytkownika

Wybierając urządzenia, nie można ignorować preferencji i odczuć ludzi, gdyż przekłada się to na produktywność pracy. Miarą dobrego wrażenia korzystania z komputerów czy tabletów jest zadowolenie użytkownika. Użytkownicy korzystający z pracy mobilnej lub zdalnej (co w niektórych firmach jest regułą) chcą instalować własne aplikacje, dostosować wygląd czy zachowanie urządzenia do swoich potrzeb, korzystać z przechowywanych danych, w tym także offline, w każdym miejscu, np. w samolocie. Oznacza to, że najgorsze, co może spotkać takiego użytkownika, to praca na własnym sprzęcie, którego jednocześnie nie może dostosować ani wykorzystać w wygodny dla siebie sposób. Z drugiej strony optymalne wrażenie użytkownika związane z pracą na własnym sprzęcie przekłada się na wzrost ryzyka biznesowego, ze względu choćby na większe prawdopodobieństwo infekcji złośliwym oprogramowaniem.

Użytkownicy dobrze przyjmują cienkiego klienta, traktując go jako urządzenie służące wyłącznie do pracy, taki "niepełnowartościowy" komputer. Firmowy laptop z korporacyjnymi ograniczeniami jest traktowany jako nieprzydatny do zastosowań domowych, gdyż nie oferuje żadnej z oczekiwanych przez użytkownika funkcji - zatem wrażenia obsługi są negatywne.

Koszty i ryzyko dla firmy

Wykorzystanie "dostarczonych z zewnątrz" komputerów wydaje się sensowną propozycją dla wielu organizacji, ale niesie ze sobą także koszty. Gdy policzyć całkowity koszt dla przedsiębiorstwa, najdroższe są komputery klasy domowej zarządzane przez firmę. Z kolei najtańsze są niezarządzane urządzenia domowe (zarówno komputery, jak i , i im podobne), ale charakteryzują się najwyższym ryzykiem dla firmy. Mniej więcej pośrodku pod względem kosztów znajdują się udostępniane użytkownikom terminale cienkiego klienta, które jednocześnie są obarczone najmniejszym ryzykiem, trochę droższe są firmowe komputery zarządzane przez korporacyjny dział IT. Oznacza to, że w przypadku zadań bardzo niskiego ryzyka, na przykład przetwarzania powszechnie dostępnej informacji bez bezpośredniego połączenia z infrastrukturą firmy, można korzystać z komputerów domowych, niezarządzanych. Przy zadaniach o wyższym stopniu ryzyka należy korzystać z maszyn klasy biznesowej zarządzanych przez firmowe IT albo z cienkiego klienta.

Podzielić na publiczne, wewnętrzne i mocno chronione

W organizacjach przetwarzane są informacje o różnym stopniu ważności, od powszechnie dostępnych, na przykład dotyczących oficjalnych stron internetowych, przez informacje wewnętrzne, które nie powinny wychodzić poza firmę, aż do chronionych, takich jak dane medyczne, finansowe czy niejawne, objęte ochroną prawną.

Kurt Roemer, główny strateg do spraw bezpieczeństwa w firmie Citrix, mówi: "Pierwszym krokiem dla firmy przy wprowadzaniu modelu zakładającego wykorzystywanie tabletów oraz innych stacji roboczych niż firmowe i zarządzane jest opracowanie polityki, która określać będzie podział informacji pod względem jej ochrony w organizacji. Nie ma potrzeby chronić w specjalny sposób informacji, które pochodzą z ogólnodostępnych źródeł, takich jak publiczne strony WWW".

Gdy organizacja posiada już klasyfikację informacji, może skorzystać z niej, budując właściwą politykę bezpieczeństwa, uwzględniającą pracę z różnymi klasami informacji na różnych urządzeniach.

Co wolno, komu, gdzie i na czym

Kluczem do bezpiecznego wykorzystywania urządzeń różnej klasy jest podział informacji, które na nich można przetwarzać. Informacje publicznie dostępne można składować i przetwarzać na dowolnym z urządzeń, gdyż ich utrata nie jest obarczona ryzykiem biznesowym. Z kolei informacje szczególnie chronione wolno składować i przetwarzać tylko na komputerach klasy mission grade, przy mniejszych wymaganiach wystarczą dobrze zabezpieczone maszyny korporacyjne. "Dzisiejsze aplikacje firmowe przestają być przywiązane do desktopu, stają się dostępne praktycznie z każdego miejsca. Oznacza to, że oprócz podziału na klasy urządzeń, należy wprowadzić rozróżnienie miejsc, z których dana aplikacja ma być dostępna dla wybranej grupy pracowników. Na przykład firmowy intranet może być udostępniony z tabletu w sieci firmowej lub w połączeniu VPN, z kolei dostęp do programu finansowego będzie możliwy tylko z komputera klasy biznesowej połączonego do sieci firmowej i wyposażonego w dwuskładnikowe uwierzytelnienie" - stwierdza Kurt Roemer.

Dobrze opracowana polityka bezpieczeństwa powinna uwzględniać godziny pracy oraz możliwości dostępu nie tylko do aplikacji, ale także do trybów pracy - na przykład oprogramowanie firmowe może być w pełni udostępnione w biurze, ale niektórzy pracownicy mogą mieć dostęp przez VPN, niemniej tylko do odczytu i tylko do niektórych jego modułów. Reguły te powinny być proste, uwzględniając jednocześnie specyfikę zadań pracowników. Dział księgowy najczęściej pracuje w biurze, z kolei handlowy i sprzedażowy może pracować w terenie, więc potrzebuje dostępu do części aplikacji z urządzeń mobilnych. Dział informatyki powinien mieć urządzenia klasy biznesowej lub mission grade, zwłaszcza gdy dotyczy to administratorów obdarzonych wysokimi uprawnieniami. Poważny problem jest związany z pracą członków zarządu oraz dyrekcji, gdyż mają tendencję do bagatelizowania problemów z bezpieczeństwem i jednocześnie wymagają dostępu z najnowszych urządzeń, które akurat są modne. Polityka bezpieczeństwa powinna uwzględniać obecność takich gadżetów, ale ograniczać ryzyko związane z ich eksploatacją.

Przypadki specjalne

Każda organizacja może stanąć pewnego dnia przed zdarzeniem losowym, które spowoduje zadziałanie mechanizmów zabezpieczających w taki sposób, że zablokują obsługę głównych procesów biznesowych. Należy przygotować procedury, które w szczególnych przypadkach umożliwią kontrolowane obejście niektórych wymagań.

"Jeśli polityka bezpieczeństwa w przedsiębiorstwie zabrania dostępu do oprogramowania finansowego z innego komputera niż wybrany, a maszyna ta jest uszkodzona i nie ma czasu ani możliwości szybkiego podstawienia innej maszyny klasy mission grade, procedura powinna zezwalać na dostęp z alternatywnego urządzenia na terenie firmy. Jest to istotne, gdy praca danej osoby jest krytycznie ważna dla finansów przedsiębiorstwa. Przykładem może być odłączenie dostępu dla głównego księgowego ostatniego dnia przed bilansem. Innym przykładem jest konieczność zatwierdzenia dokumentu przez CFO, który stoi w korku poza siedzibą przedsiębiorstwa - w firmie musi istnieć procedura, która zapewni ciągłość działania, nawet kosztem tymczasowego obejścia niektórych zabezpieczeń, zastępując je innymi, na przykład zatwierdzeniem na dwie ręce" - mówi Kurt Roemer.

WYJĄTKOWE PROCEDURY

Przypadki szczególne mogą dotyczyć nie tylko terminów, ale także warunków pracy przedsiębiorstwa. Jeśli organizacja zostanie dotknięta klęską żywiołową lub innym zdarzeniem losowym, które wykluczy korzystanie z części dotychczasowej infrastruktury IT, priorytetem stanie się utrzymanie ciągłości działania. Procedura związana z utrzymaniem pracy firmy musi także uwzględniać zmiany w ograniczeniach dostępu - na potrzeby pracy podczas klęski żywiołowej lub poważnego zdarzenia losowego (pożar, katastrofa budowlana, konieczność ewakuacji budynku) można wykorzystać tymczasowo sprzęt niższej klasy, gdyż jest łatwo dostępny. Po przywróceniu normalnego trybu pracy przedsiębiorstwa nastąpi powrót do właściwych założeń polityki bezpieczeństwa.


TOP 200