BYOD – polskim firmom brakuje przygotowania!

 

Bring Your Own Device – jeszcze alternatywa czy już konieczność?

Odpowiedzialność działów IT w firmach skupiona jest w głównej mierze na skutecznym i stabilnym zarządzaniu urządzeniami końcowymi oraz ich odpowiednim zabezpieczaniu. Do niedawna były to zestandaryzowane komputery i oprogramowanie. Postępująca konsumeryzacja IT i idący za nią trend BYOD spowodowały, że do technologicznej infrastruktury firm zaczęły się przedostawać różne sprzęty. Bring Your Own Device dając pracownikom swobodę decydowania o doborze urządzeń wykorzystywanych do celów zawodowych na trwałe zmieniło stacjonarny wymiar komunikacji klient – usługodawca. Z jednej strony relacja w nowej formule stała się bardziej mobilna, nieograniczona miejscem i czasem, właściwie permanentnie dostępna. Z drugiej, generująca wiele zagrożeń, z których niestety firmy zdają sobie sprawę tylko w niewielkim stopniu.

Praca zdalna, umożliwiająca aktywność poza służbowym biurkiem, zaczyna być jednym z coraz częściej spotykanych i akceptowanych standardów biznesowych. Co to oznacza dla firmowych działów IT? Konieczność zaakceptowania faktu, że BYOD to już nie wybór, ale utrwalająca się i coraz bardziej ekspansywna tendencja rynku do konsumeryzacji biznesu, niezależnie od tego czy firmy są na to przygotowane czy nie. To nieuniknione następstwo wzrostu liczby urządzeń przenośnych: smartphone’ów, tabletów, notebooków i proces, który jak należy zakładać, będzie postępował symultanicznie do rozwoju mobilności. Starania działów IT powinny, więc skoncentrować się na wyborze właściwych procedur regulujących korzystanie z BYOD w zakresie bezpieczeństwa, tak, aby model ten mógł być jak najbardziej korzystny dla biznesu - komentuje Adrian Lapierre, wykładowca Akademii Altkom, specjalista w obszarze projektowania i audytu bezpieczeństwa systemów IT, CEO firmy SoftProject.

Polacy łamią firmowe procedury BYOD – czy świadomie?

Bardzo niepokojące tendencje dla bezpieczeństwa firm wynikające z popularyzacji BYOD ujawnia raport Fortinet Internet Security Census 2013. Wskazuje on, że co drugi przebadany w Polsce respondent jest gotowy złamać firmowe procedury ograniczające wykorzystanie w pracy prywatnych urządzeń mobilnych. Wynik ten jest o 150% większy niż w roku 2012! Ten sam raport pokazuje jednocześnie stopień świadomości zagrożeń wynikających z użytkowania BYOD. W grupie badanych wciąż wysoki udział mają ci z brakiem wiedzy lub minimalną świadomością. Dla większości, takie zagadnienia jak APT (zaawansowane kierunkowe ataki o długotrwałym działaniu), DDoS (rozproszony atak typu odmowa usługi), botnet (sieć komputerów zainfekowanych złośliwym oprogramowaniem do rozsyłania spamu) i pharming (kierowanie na fałszywe strony www w celu przejęcie haseł, numerów kart kredytowych, itp.) – są nieznane. To jednoznacznie wskazuje, jak duża jest luka w procesie edukowania pracowników w zakresie zagrożeń i ich konsekwencji i jak pilnie firmowe działy IT powinny zadbać o jej uzupełnienie.

Najpierw polityka bezpieczeństwa, potem MDM

Przygotowanie firm w zakresie bezpieczeństwa do wdrożenia BYOD pozostawia wiele do życzenia. Wynika to m. in. z badania Global Corporate IT Security Risks 2013. Tylko 1 na 8 firm potwierdza w pełni zaimplementowaną politykę bezpieczeństwa urządzeń mobilnych dla swojej sieci. Statystyka jest tym bardziej niepokojąca, jeśli uwzględnimy przy tym wzrost przypadków nieautoryzowanej ingerencji w telefony komórkowe i tablety przy jednoczesnym braku w firmach procedur ograniczających wykorzystanie BYOD. Urządzenia mobilne stają się jednym z kanałów wycieku krytycznych danych, powodując obecnie większe straty poufnych zasobów niż ataki hostingowe, oszustwa pracowników czy szpiegostwo korporacyjne. Mimo zagrożenia dla bezpieczeństwa infrastruktury IT, jakie niesie ze sobą środowisko BYOD, większość firm nie planuje wprowadzenia żadnych związanych z nim restrykcji, a duża część uznaje, że takie ograniczenia nie odniosłyby skutku.

Jak zauważa Lapierre:

W tym wszystkim trzeba jeszcze mieć na uwadze dzisiejsze złośliwe oprogramowanie, które staje się szczególnie efektywne w atakowaniu nowych platform - urządzenia mobilne i nieświadomość ich użytkowników są tutaj punktem wysokiego ryzyka. Ochrona danych w środowisku, w którym systemy często rotują, a informacje mogą być dowolnie transferowane, wymaga skoordynowanego mechanizmu zabezpieczeń, potrafiącego ochraniać stacje końcowe, bramy sieciowe, urządzenia mobilne czy dane w chmurach obliczeniowych. Dlatego punktem wyjścia do wdrożenia modelu BYOD jest zawsze opracowanie jasno zdefiniowanej polityki bezpieczeństwa. Dalszym dopiero krokiem jest dobór narzędzi, za pomocą, których wprowadzenie BYOD będzie realizowane.

O ile zakup oprogramowania Mobile Device Management - odpowiedzialnego za zarządzanie flotą urządzeń przenośnych w firmie, które wzmacnia kontrolę nad wszystkimi terminalami mobilnymi i ochronę danych – nie jest problematyczny, istotniejsze jest znalezienie systemu, którego funkcjonalności zapewnią zgodność z firmową polityką.

Zagrożenia, z którymi firmy muszą się liczyć

Stałym ograniczeniem firm w modelu BYOD jest brak uprawnienia do pełnej ingerencji w terminal pracownika. W konsekwencji wymaga to zastosowania odpowiedniego zabezpieczenia firmowych danych na nim przechowywanych i co jest nie mniej ważne – zapewnienia ochrony cyfrowej tożsamości użytkownika.

Mimo rosnącej liczby wirusów i ataków wycelowanych w urządzenia mobilne poprzez sieć, najbardziej krytycznym zagrożeniem dla bezpieczeństwa poufnych danych jest fizyczna utrata urządzenia w wyniku kradzieży lub zaniedbań użytkowników. Na wypadek takich incydentów polityka bezpieczeństwa powinna zawierać odpowiednie procedury kontroli haseł dostępu, możliwości jego blokowania, mechanizmy szyfrowania danych czy zdalne kasowanie wrażliwych informacji – podaje CEO firmy SoftProject.

Istotne jest tu znalezienie kompromisu między interesem firmy, która podejmuje ryzyko wcielenia do infrastruktury prywatnego urządzenia, a pracownika, który zyskuje możliwość pracy na narzędziu wybranym według własnych preferencji. Kompromis ten wymaga jednak od właściciela urządzenia upoważnienia firmowego działu IT do części kontroli nad nim.

Sieć korporacyjna i wszystkie zasoby informacyjne znajdujące się w jej obiegu stanowią własność firmy, ma, więc ona prawo rejestrować i monitorować wszystkie aktywności użytkowników wykonywane z jej użyciem – dodaje.

Formy zabezpieczenia danych na urządzeniach mobilnych

Istotne znaczenie ma tu systematyczne monitorowanie, jakie zasoby firmowe są na nich przechowywane i stałe uzupełnianie świadomości pracowników, jak zarządzać dostępem do nich. Równie ważne jest także to, czy informacje zapisane na urządzeniu są dostępne w trybie online czy są też buforowane do stałego użytkowania. Poza wszelką wątpliwością priorytetem jest zapewnienie możliwości zdalnego usunięcia danych w przypadku kradzieży bądź zgubienia sprzętu.

Istnieje kilka sposobów zabezpieczania nośników przed zagrożeniem. Standardowym jest zainstalowanie odpowiedniego oprogramowania zabezpieczającego. Globalnie funkcjonują już także rozwiązania, jak tworzenie w smartfonach dwóch równolegle istniejących partycji logicznych – jedna, przeznaczona do obsługi celów prywatnych, druga - celów służbowych. Obok tego ważne jest zapewnienie niezbędnych blokad i zabezpieczeń w firmowej sieci oraz kontrola ruchu przychodzącego i wychodzącego z zewnętrznych urządzeń. Przyjęcie takich procedur bezpieczeństwa wymaga od działu IT stałego monitoringu aktywności użytkowników, śledzenia ruchu na korporacyjnych aplikacjach dostępnych w tabletach i smartfonach – wyjaśnia Lapierre.

Istnieją też bardzo proste, choć nadal w niewystarczającym stopniu wykorzystywane sposoby na zwiększenie bezpieczeństwa korzystania z urządzeń mobilnych, takie jak: stosowanie hasła lub kodu PIN z utrzymaniem ich poufności czy zainstalowanie oprogramowania antywirusowego na swoich urządzeniach.

Mobile Device Management

Pełny zakres zarządzania terminalami mobilnymi zapewniają systemy MDM - Mobile Device Management. Odpowiadają one za aktywowanie na urządzeniu przenośnym odpowiedniego programu bezpieczeństwa, pozwalając m. in.: zastrzec dostęp do urządzenia hasłem, wyczyścić nielegalne oprogramowanie i zainstalować właściwe, zablokować lub uruchomić wybrane funkcje, czy wreszcie zdalnie usunąć poufne dane.

Urządzenie przenośne włączone do środowiska IT firm stanowią kompilację korporacyjnych aplikacji i danych i w tym jeszcze prywatnych zasobów. Nasuwa się pytanie, jak więc stosować politykę bezpieczeństwa chroniąc dane firmy jednocześnie nie ingerując w prywatne? Jak odpowiada Lapierre:

Opracowywane właśnie rozwiązania dążą do bezpiecznego odseparowania zasobów firmowych od prywatnych. Dzięki specjalnym kontenerom przeznaczonym do przechowywania danych firmy na urządzeniu przenośnym, blokowany jest dostęp do nich nieautoryzowanym aplikacjom. Dzięki odizolowaniu i szyfrowaniu danych, możliwe jest zapewnienie służbowym informacjom bezpieczeństwa nawet w sytuacji, gdy na danym urządzeniu znajdują się aplikacje nieznanego pochodzenia.

BYOD – tego trendu już nie da się zatrzymać

Analizując tendencję migracji produktów z rynku konsumenckiego do biznesowego, można dość wyraźnie zaobserwować, że urządzenia prywatne stają się bardziej użyteczne niż firmowe. Należy się, więc spodziewać, że w niedługim czasie zdecydowana większość przedsiębiorstw będzie udostępniać aplikacje korporacyjne na urządzeniach prywatnych. Standardem też powoli stanie się korzystanie z poczty elektronicznej dostępnej w komórce bądź tablecie.

Zgodnie z opinią Adriana Lappiere:

Bezpieczeństwo IT ewoluuje z podejścia skupionego na urządzeniach, na podejście skupione na użytkowniku, wraz ze wszystkimi konsekwencjami tej zmiany. Oznacza to, że nowoczesne rozwiązania muszą skupiać się jednocześnie na wielu płaszczyznach, włączając w to wymuszenia stosowania polityki, szyfrowanie danych, bezpieczny dostęp do korporacyjnej sieci, produktywność, filtrowanie treści, zarządzanie bezpieczeństwem oraz aktualizacjami, jak również ochronę przed złośliwym oprogramowaniem.

BYOD pokazuje, jakie wyzwania stoją przed firmami chcącymi egzekwować zasady korzystania z własnych urządzeń do celów służbowych. Trend ten jednocześnie pokazuje, że kontrolowanie przez działy IT tego, gdzie są przechowywane dane firmowe i w jaki sposób jest uzyskiwany dostęp do nich jest wciąż bardzo krytycznym obszarem. Nieodzowna dla utrzymania bezpieczeństwa wdrożenia BYOD jest także edukacja pracowników w kwestii zagrożeń oraz konsekwencji z nich wynikających. Obawa przed osłabieniem bezpieczeństwa na pewno spowalnia proces ekspansji BYOD, nie spowoduje jednak jego zatrzymania.

Z dobrymi politykami bezpieczeństwa i odpowiednio dobranymi rozwiązaniami organizacyjnymi, BYOD ma ogromny potencjał i może przynieść znaczące korzyści każdej organizacji – podsumowuje Lapierre.

Autor: Kinga Kalińska – TKM Group