Zgoda na używanie przez pracowników własnych urządzeń nie musi jednocześnie oznaczać akceptacji wszystkich zagrożeń związanych z BYOD. Odpowiednia strategia umożliwi bezpieczne korzystanie z urządzeń mobilnych.

Mobilność to szansa na zwiększenie efektywności pracowników, ponieważ umożliwia dostęp z dowolnego miejsca do firmowych danych i systemów. Z drugiej strony rozmywa brzeg korporacyjnego środowiska IT i stwarza szereg zagrożeń. Osoby odpowiedzialne za bezpieczeństwo już zauważyły, że urządzenia mobilne powodują obniżenie poziomu kontroli dostępu do korporacyjnych danych, a dodatkowo utrudniają ustalenie, z których urządzeń dostęp był realizowany.

Jednak popularność BYOD rośnie i analitycy szacują, że z prywatnych urządzeń korzystają pracownicy w od 40% do 75% firm. Trend zwyżkowy napędzają przede wszystkim smartfony i tablety. Według firmy badawczej Osterman Research, liczba prywatnych urządzeń z systemami Android i iOS jest już dwukrotne wyższa niż ich służbowych odpowiedników. Dlatego najprostsze rozwiązanie – zakaz korzystania z BYOD – rzadko kiedy działa i pcha użytkowników w szarą strefę. A jeśli ktoś jest przekonany, że w jego firmie nie ma BYOD, powinien uważnie przejrzeć logi, np. w poszukiwaniu wpisów mobilnej wersji Safari. Dlatego zamiast blokować, należy podjąć działania minimalizujące ryzyko.

Najważniejsze zagrożenia związane z BYOD

BYOD stwarza szereg zagrożeń dla biznesu, z których część jest już dobrze rozpoznana, ainnych wciąż nie do końca rozumiemy. Security for Business Innovation Council – zespół złożony z ekspertów bezpieczeństwa z firm Global 1000 – określił utratę lub kradzież urządzeń jako największą obawę przed wdrożeniem BYOD. Problem zrozumiały, ponieważ wg danych Security for Business Innovation Council, tylko w 25 proc. utraconych urządzeń mobilnych można zdalnie skasować przechowywane w nich dane. Ponadto z niezarządzanych – np. przez systemy klasy MDM (Mobile Device Management) – urządzeń mobilnych nie można rozpoznać faktu włamania i kradzieży danych.  Mamy więc do czynienia z sytuacją, w której dział IT traci kontrolę nad firmowymi danymi.

Kiedy pracownik znajduje się poza siedzibą firmy, urządzenia mobilne nie są chronione przez zapory sieciowe filtrujące ruch przychodzący, co oznacza podwyższony poziom zagrożenia ze strony szkodliwego oprogramowania. Może to również powodować brak zgodności z regulacjami prawnymi dotyczącymi środowiska IT. Kusi więc, aby rozwiązać problem poprzez objęcie urządzeń BYOD takimi samymi mechanizmami kontroli, co urządzenia firmowe. To jednak powoduje silne protesty ze strony pracowników, obawiających się naruszenia prywatności.

Dlatego producenci systemów MDM wprowadzili możliwość bardziej precyzyjnego definiowania reguł. Przykładowo, niektóre produkty mogą być tak skonfigurowane, że zbierają informacje o lokalizacji i historii połączeń tylko w przypadku urządzeń korporacyjnych, ale nie robią tego w przypadku prywatnych.  Dobrą praktyką jest też zabezpieczanie urządzeń mobilnych oprogramowaniem antywirusowym, a także blokowanie użytkownikom dostępu do niebezpiecznych zasobów.

Zarządzanie mobilnością pracowników

Z pomocą w zabezpieczeniu smartfonów i tabletów przychodzą wspomniane już systemy MDM, które pozwalają na zdalne zarządzanie urządzeniami pracującymi pod kontrolą różnych systemów operacyjnych. Większość tych rozwiązań skupia się na zarządzaniu konkretnym urządzeniem, np. pozwala na blokowanie bądź konfigurację pewnych funkcji telefonu. Głównym elementem tych systemów jest serwer zarządzający regułami, urządzeniami i użytkownikami.

Częstym zastosowaniem systemów MDM jest jego pośredniczenie w dostępie do poczty korporacyjnej. Daje on dostęp do poczty tylko zaufanym urządzeniom, a pozostałe blokuje. Administrator może definiować własne reguły dostępu, np. dopuszczać tylko urządzenia zarządzane przez MDM, ale dodatkowo spełniające jeszcze dodatkowe warunki uzależnione od polityki bezpieczeństwa danej firmy. Bezpieczną formą dostępu do zasobów firmowych są tunele SSL VPN, zestawiane za pomocą certyfikatów wydawanych użytkownikom. Takie tunele można tworzyć także per aplikacja.

Aplikacje zabezpieczane w wydzielonym kontenerze

Specyfika korzystania z BYOD sprawia, że zabezpieczenia powinny koncentrować się nie na urządzeniu, lecz na ochronie danych. Dlatego bardzo ważne jest ich szyfrowanie i tworzenie kopii zapasowych. Warto też rozważyć inne rozwiązania, które utrudnią niepowołanym osobom dostęp do danych przedsiębiorstwa. Popularną metodą są wirtualne desktopy uruchamiane w centrach danych VHD (Virtual Hosted Desktop). Użytkownik ma do nich zdalny dostęp, natomiast przetwarzanie i przechowywanie danych odbywa się po stronie serwera. Mając szybkie łącza i wydajne urządzenia, można w ten sposób stworzyć wygodne i bezpieczne środowisko pracy.

Jednak dla większości pracowników korzystających z własnych urządzeń wady związane z wirtualnymi desktopami przekraczają korzyści. VHD nie korzysta z możliwości lokalnego sprzętu, a wydajność jest niezadowalająca w przypadku sieci rozległych. To częsty problem w przypadku zdalnych pracowników. Odpowiedzią na te problemy jest konteneryzacja, polegająca na uruchamianiu aplikacji lokalnie w urządzeniu, ale w specjalnej, zamkniętej strefie. Funkcje tego typu posiadają rozwiązania klasy Mobile Device Management.

Odpowiednie oprogramowanie tworzy warstwę abstrakcji, która oddziela kontener od sprzętu, co jest znacznie wydajniejszym rozwiązaniem, ponieważ przetwarzanie odbywa się lokalnie. Nie wymaga zdalnego dostępu do wirtualnego pulpitu działającego na serwerze w centrum danych. Jednocześnie poprawia się bezpieczeństwo, ponieważ aplikacje działające w kontenerze są oddzielone od niektórych funkcji, jak bezprzewodowe połączenia, porty USB czy kamera wbudowana w urządzenie. Niektóre kontenery mogą zawierać nawet cały system operacyjny i zestaw aplikacji.

Rozwiązania umożliwiające wdrożenie kontenerów są dostępne dla wszystkich platform mobilnych, zapewniając znacznie szerszą gamę obsługiwanych urządzeń niż VHD. Poza tym aplikacje w kontenerze działają z szybkością zbliżoną do aplikacji uruchamianych bezpośrednio na sprzęcie, a dane mogą przechowywać lokalnie, więc awarie sieci nie zakłócają ich działania. Konteneryzacja może jednak stwarzać inne wyzwania w zakresie zarządzania i rozwoju aplikacji, ponieważ aplikacje wymagają pamięci masowej w urządzeniu klienckim. Wybór zawsze więc uzależniony jest od polityki bezpieczeństwa.

Podziel się na:
  • Facebook
  • Google Bookmarks
  • LinkedIn