Poza znajomością regulacji prawnych, niezwykle istotne w kontekście bezpieczeństwa danych są procedury. W tej dziedzinie Polacy również mogą być postrzegani jako eksperci. Blisko 60% polskich pracowników twierdzi, że wie, jak zabezpieczać dane na służbowych urządzeniach, co również wyróżnia nas pozytywnie na tle pozostałych przebadanych rynków, gdzie jedynie 44% pracowników dysponuje znajomością metod ochrony danych na urządzeniach z których korzystają podczas pracy.

Niestety, teoria nie zawsze idzie w parze z praktyką. Pomimo wysokiej świadomości problemu, polscy pracownicy nie zawsze podchodzą do kwestii bezpieczeństwa urządzeń z należytą starannością. Jedynie 40% pracowników w Polsce myśli o bezpieczeństwie urządzeń, z których korzystają wykonując czynności służbowe. Zapewnienie ochrony wyedukowanym, ale nie przywiązującym wagi do bezpieczeństwa danych pracownikom, to wyzwanie dla firm. Z jednej strony należy wziąć pod uwagę najnowsze „mobilne” trendy w środowisku pracy, takie jak Bring Your Own Device (BYOD), Choose Your Own Device (CYOD), czy Company Owned Personally Enabled (COPE), z drugiej strony zapewnić kontrolę nad wrażliwymi danymi wszędzie tam, gdzie pracownicy korzystają ze służbowych urządzeń.

Zrozumienie, w jaki sposób pracują i podchodzą do kwestii bezpieczeństwa pracownicy, jest kluczem do zbudowania efektywnej polityki bezpieczeństwa dostosowanej do wymogów RODO. Jak wynika z badania Blurred World, Polacy pracują w miejscach publicznych średnio 6 godzin w tygodniu. Odpisywanie na służbowe maile w środkach komunikacji miejskiej, czy kawiarni staje się normą.

Według Samsunga konieczne jest odejście od zarządzania urządzeniami mobilnymi (MDM) na rzecz zarządzania mobilnością przedsiębiorstwa (EMM). Firmy nie mogą ograniczać się jedynie do zapewnienia bezpieczeństwa sprzętu, ale skupić się również na analizie profilu jego użytkowników, sprawdzeniu w jaki sposób korzystają oni z urządzeń i aplikacji oraz jakiego rodzaju dane na nich przetwarzają. Dzięki temu firmy będą w stanie zapewnić swojemu środowisku mobilnemu wysoki poziom zabezpieczeń, uwzględniając jego najsłabsze ogniwo, którym wciąż pozostaje człowiek.

Badanie „Blurred World” koncentruje się na zachowaniach ludzi związanych z korzystaniem z technologii we współczesnym miejscu pracy. Zostało ono przeprowadzone na grupie ponad 5000 respondentów w 10 krajach Europy.

Artykuł Eksperci od bezpieczeństwa, ale nie praktycy pochodzi z serwisu CRN.

Analitycy z Allied Market Research spodziewają się, że światowy rynek zabezpieczeń BYOD będzie wart w 2020 r. aż 24,6 mld dol. Do tego czasu ma rosnąć średnio w tempie 36,3 proc. rocznie. Według majowego raportu tej firmy obecnie aż trzy czwarte zabezpieczeń tej klasy trafia do korporacji, a pozostałe – do klientów z sektora MŚP. Specjaliści prognozują, że sprzedaż małym i średnim firmom będzie rosła szybciej niż dużym klientom korporacyjnym. Warto dodać, że jeszcze szybciej, bo w tempie 46,2 proc. rocznie, ma zwiększać się zbyt zabezpieczeń przeznaczonych specjalnie do ochrony tabletów.

Bezpieczny BYOD

Wydatki na  ochronę urządzeń mobilnych na początku wydają się wysokie, jednak dużych przedsiębiorstw nie trzeba szczególnie przekonywać do stosowania takich zabezpieczeń. Po prostu w korporacjach korzyści z ich wdrożenia są znaczące, szczególnie w porównaniu z tymi, które mogą osiągnąć firmy z sektora MŚP. Obecnie klienci kupują głównie rozwiązania Mobile Device Management, uznając, że w całości zaspokajają ich potrzeby w zakresie bezpieczeństwa BYOD. Natomiast w nadchodzących latach będzie rósł udział w ogólnej sprzedaży takich narzędzi, jak Mobile Application Management, Mobile Content Management oraz Mobile Identity Management.

Wydaje się, że popularyzacja wiedzy o  rozwiązaniach bezpieczeństwa BYOD oraz wprowadzenie na rynek szerokiej gamy aplikacji do zastosowań biznesowych będzie zwiększać zainteresowanie przede wszystkim narzędziami MAM. Eksperci przewidują też, że w nadchodzących latach będzie następowała integracja platform do zarządzania sprzętem  mobilnym z analogicznymi rozwiązaniami znanymi ze świata komputerów PC (przykładowo, w systemie Windows od wersji 8.1 są już wbudowane specjalne interfejsy API do komunikacji z systemami MDM). Kolejnym zauważalnym trendem jest rozwijanie systemów bezpieczeństwa przez samych producentów urządzeń mobilnych. Dostawcy wyposażają je w zabezpieczenia, które umożliwiają m.in. „podział” urządzenia na strefę prywatną i służbową.

Lider, nie znaczy najlepszy

W raporcie „Magic Quadrant for Enterprise Mobility Management Suites”, który został opublikowany w czerwcu2015 r., znalazło się aż 12 firm. Pięć z nich analitycy umieścili w kategorii liderów: AirWatch by VMware, MobileIron, Citrix, IBM oraz Good Technology. Warto jednak podkreślić, że ranking Gartnera nie powinien być podstawowym kryterium decydującym o wyborze określonego rozwiązania klasy Enterprise Mobility Management. Nie w każdym przypadku oferta liderów będzie optymalna. Konieczne jest dokładne zdefiniowanie wymagań dotyczących rozwiązania EMM i scenariuszy wykorzystania urządzeń mobilnych. Na tej podstawie można przygotować krótką listę produktów i dopiero wówczas wybrać rozwiązanie, które najlepiej zaspokaja potrzeby konkretnego użytkownika.

Ochrona urządzeń i aplikacji

Głównym elementem systemów Mobile Device Management jest centralny serwer, który umożliwia administratorom zarządzanie regułami, urządzeniami i kontami użytkowników zgodnie z korporacyjną strategią pracy mobilnej. Dzięki temu urządzenia przenośne zyskują dostęp do żądanych zasobów, a pracownicy mogą wykorzystywać aplikacje mobilne do zastosowań biznesowych. Część rozwiązań MDM wymaga stosowania agentów do kontrolowania urządzeń, ale są również systemy, które działają w architekturze bezagentowej. Ponadto centralny serwer do zarządzania sprzętem mobilnym z reguły umożliwia integrację z różnymi systemami, np. Active Directory, DNS, SMTP lub z serwerem SQL.

Bogdan Lontkowski

dyrektor regionalny Landesk na Polskę, Czechy, Słowację i kraje bałtyckie

Rynek zabezpieczeń urządzeń mobilnych jest w Polsce bardzo perspektywiczny, co widać po znacznie większej liczbie nowych projektów w ostatnim czasie. Istnieją różne modele sprzedaży takich rozwiązań. Mali resellery, którzy mają dobre relacje z klientami, mogą liczyć na przychód z pośrednictwa w sprzedaży i wsparcie firmy Landesk w zakresie przygotowania oferty oraz przeprowadzenia wdrożenia. Partnerzy dysponujący odpowiednią infrastrukturę i kompetencjami mogą pójść o krok dalej i zaoferować klientom nie tylko produkty, ale również usługi.

Często spotykanym rozwiązaniem jest wykorzystanie oprogramowania MDM do zabezpieczania dostępu do korporacyjnej poczty. Służy ono jako proxy, które umożliwia dostęp do skrzynek e-mail tylko zaufanym urządzeniom, a pozostałe blokuje. Administrator może definiować własne reguły dostępu, np. dopuszczać tylko sprzęt zarządzany przez MDM, ale taki, który spełnia jeszcze inne warunki (np. system operacyjny nie może być zrootowany).

Inne spojrzenie na problem zarządzania urządzeniami mobilnymi leży u podstaw rozwiązania Mobile Application Management – czyli zarządzanie nie sprzętem, ale aplikacjami (z reguły systemy MDM oferują obie funkcje). Poszczególne programy są uruchamiane w bezpiecznych kontenerach (tzw. sandbox), a pozostałe nie otrzymują dostępu do zarezerwowanych dla nich zasobów (jeden kontener można rozszerzyć i chronić kilka aplikacji). Elementem MAM bywa też korporacyjne repozytorium aplikacji dopuszczonych do instalacji przez użytkowników urządzeń mobilnych, zarządzane przez dział IT.

MAM występuje w dwóch podstawowych formach. Pierwsza to aplikacje prekonfigurowane (ewentualnie zintegrowane z systemem zarządzania sprzętem mobilnym) w taki sposób, aby zwiększyć możliwości administrowania nimi. Najczęściej są to typowe programy biurowe i pracy grupowej, np. poczta elektroniczna, kalendarz, kontakty, bezpieczna przeglądarka internetowa. W drugim przypadku korporacyjne reguły są wymuszane na aplikacjach mobilnych z wykorzystaniem pakietów SDK (Software Development Kit) lub przez umieszczanie tego oprogramowania w kontenerach.

Mobilna tożsamość

Pracownicy korzystają zwykle nie tylko ze smartfona, ale również z tabletu i notebooka. Co więcej, często ten sprzęt jest ich własnością. W efekcie przedsiębiorstwa muszą kontrolować nie tylko to, kto łączy się z firmową siecią, ale także, czy używa do tego autoryzowanego urządzenia. W rezultacie jednym z filarów bezpieczeństwa mobilnego stają się rozwiązania Mobile Identity Management.

Tożsamość użytkownika jest z reguły określana z wykorzystaniem elektronicznych certyfikatów. Można ją jednak weryfikować za pomocą różnych innych rozwiązań, np. czytników biometrycznych lub tokenów. W przyszłości rozwiązania MIM będą analizowały wiele zmieniających się parametrów (tzw. kontekst). Podczas uwierzytelniania będzie więc brany pod uwagę nie tylko użytkownik i urządzenie, z którego korzysta, ale także takie czynniki, jak fizyczna lokalizacja (biuro, dom, publiczny punkt dostępowy, miejsce określane za pomocą położenia geograficznego). Na podstawie tych parametrów użytkownik będzie otrzymywał różne uprawnienia w dostępie do firmowych zasobów. W ciągu najbliższych trzech lat takie możliwości powinny stać się wręcz standardem w rozwiązaniach do zarządzania sprzętem mobilnym.

Antywirus w sieci

Myśląc o ochronie urządzeń przed szkodliwym oprogramowaniem i zabezpieczaniu ruchu sieciowego, trzeba uwzględniać wydajność smartfona (lub tabletu) i czas pracy na baterii. Antywirus zainstalowany w urządzeniu końcowym spowalnia jego pracę i zwiększa zużycie prądu. Rozwiązaniem problemu jest przeniesienie zabezpieczeń poza urządzenie. Dobrze sprawdzi się antywirus sieciowy zintegrowany z MDM, który monitoruje zawartość telefonu.

Sebastian Kisiel

Lead System Engineer, Citrix Systems Poland

Polskie firmy nie mogą odciąć się od nowych trendów i coraz częściej wyrażanych oczekiwań pracowników. Dlatego wzrasta liczba przedsiębiorstw interesujących się wdrożeniem i już stosujących poszczególne rozwiązania do ochrony urządzeń przenośnych. By jednak umiejętnie dbać o bezpieczeństwo mobilne, trzeba chronić nie tylko urządzenia, ale przede wszystkim zasoby. Stąd coraz większe zainteresowanie rozwiązaniami EMM, zawierającymi funkcje systemów MDM, MAM oraz MCM.

Podobnie można postąpić w przypadku mechanizmów filtrowania ruchu i całą komunikację do urządzenia mobilnego „przepuszczać” przez zaporę sieciową. Administrator zyskuje wówczas możliwość wyboru kategorii blokowanych stron, których lista jest automatycznie aktualizowana przez dostawcę systemu MDM. Takie podejście zapobiega również przedostawaniu się do urządzeń szkodliwego oprogramowania.

Ochrona plików

Ważnym elementem związanym z trendem BYOD jest ochrona plików. Polega przede wszystkim na szyfrowaniu przechowywanych danych oraz komunikacji sieciowej (stosuje się też inne zabezpieczenia, m.in. wyłączanie ekranu po upływie określonego czasu i wymuszanie ponownego wpisania kodu PIN przy próbach uzyskania dostępu do poufnych danych). Jednakże takie podejście nie jest w pełni skuteczne. Użytkownicy często obchodzą zabezpieczenia, przesyłając poufne dane na zewnątrz w wiadomościach elektronicznych lub po prostu kopiują je do prywatnych komputerów, które nie są objęte korporacyjnymi regułami.

Dlatego w firmach bardzo ważna jest wewnętrzna ochrona danych lub stosowanie narzędzi do zarządzania uprawnieniami dotyczącymi poszczególnych plików. Przykładem jest ich szyfrowanie, w odróżnieniu od szyfrowania całych woluminów czy sieciowych tuneli VPN. Wtedy można zarządzać dostępem do dokumentów z wykorzystaniem infrastruktury klucza publicznego (Public Key Infrastructure). Tak zaszyfrowane pliki będą chronione niezależnie od miejsca, w którym są przechowywane. Poznanie ich zawartości jest bowiem niemożliwe bez podania klucza.

Bartosz Dudziński

IT Architect, IBM

Resellerzy mają kilka wariantów świadczenia usług na bazie MDM. W najprostszym partner na bazie chmury producenta MDM udostępnia funkcje tego oprogramowania swoim klientom, a oni samodzielnie zarządzają sprzętem mobilnym. W rozszerzonym wariancie reseller może też świadczyć usługi zarządzania sprzętem w imieniu klienta, w indywidualnie określonym zakresie. W opcji najbardziej zaawansowanej reseller świadczy usługi MDM za pomocą systemu zainstalowanego w swojej serwerowni, nie korzysta z chmury producenta.

Drugim sposobem rozwiązania problemu jest zarządzanie uprawnieniami dotyczącymi działań na plikach (nie tylko dostępu do nich). Służące do tego mechanizmy umożliwiają określenie, kto może dany dokument odczytać, wyedytować, skasować czy wysłać e-mailem.
Z reguły są wyposażone również w funkcję szyfrowania pojedynczych plików. Kluczowa pod kątem skuteczności zarządzania uprawnieniami jest jednak rzetelna klasyfikacja plików. Firmy mogą także stosować systemy kontrolowania portów USB w komputerach biurowych w taki sposób, aby nie można było za ich pośrednictwem uzyskiwać dostępu do prywatnych dokumentów w urządzeniach pracowników.

Urządzenia niekoniecznie prywatne

Koncepcja BYOD rodzi wiele problemów związanych z bezpieczeństwem w firmowym środowisku IT. Przykładowo, dużym wyzwaniem jest prowadzenie testów penetracyjnych, jeśli pracownicy łączą się z siecią korporacyjną za pomocą swoich urządzeń. Poza tym szybko rośnie ilość szkodliwego oprogramowania infekującego smartfony. To zjawisko jest jak śniegowa kula – im częściej korzystamy z urządzeń mobilnych, tym stają się one bardziej atrakcyjnym celem dla cyberprzestępców.

Warto zatem wskazywać przedsiębiorcom rozwiązanie pośrednie – CYOD (Choose Your Own Device). Zapewnia ono korzyści płynące z BYOD i zarazem ułatwia zapewnienie bezpieczeństwa firmowych danych. Jego podstawą jest założenie, że pracownicy mogą wybierać sprzęt mobilny tylko z listy urządzeń zaaprobowanych i w pełni kontrolowanych przez firmowy dział IT.

Pomoc techniczna

Polityka bezpieczeństwa urządzeń mobilnych powinna obejmować również wsparcie techniczne dla ich użytkowników. Brak takiej pomocy prowadzi do włamań oraz obniża satysfakcję z pracy. Wsparcie może również przybrać formę usługi oferowanej przez resellera.

Artykuł Bezpieczeństwo mobilne – szansa na duże zyski pochodzi z serwisu CRN.