Nic nie wskazuje na to, że najbliższa przyszłość będzie dla nich łaskawa. Wszyscy z niepokojem patrzą na zuchwałość hakerów, często biorących na cel użytkowników urządzeń końcowych. Dodatkowe obowiązki na działy IT nakłada rozporządzenie RODO, KRI czy ISO 27001. Nowe zadania pojawią się wraz z rozwojem Internetu rzeczy. Wymienione czynniki coraz bardziej stymulują popyt na systemy do zarządzania sprzętem informatycznym.

Jednak o ile komórki informatyczne dostrzegają korzyści wynikające z zastosowania tego typu rozwiązań, o tyle działy finansowe podchodzą do ich zakupu z rezerwą. Ciekawych danych na ten temat dostarczają wyniki badań przeprowadzonych przez krakowski Axence. Jedynie 34 proc. administratorów IT uważa, że ich potrzeby są rozumiane przez firmowych decydentów. Znacznie gorzej przedstawia się sytuacja w administracji publicznej, gdzie wskaźnik ten wynosi jedynie 17 proc.

– Wciąż istnieje ogromny rozdźwięk pomiędzy oczekiwaniami działów IT i kierownictwa. Dlatego przedstawiciele naszej branży muszą systematycznie uświadamiać decydentów – mówi Piotr Wojtasik, inżynier działu sprzedaży w Axence.

Nakłonienie potencjalnych klientów do zakupu narzędzi byłoby łatwiejsze, gdyby nie ich wysokie ceny. Dostawcy są na ogół zgodni, że jest to jedna z największych barier hamujących sprzedaż. Roch Norwa, Lead System Engineer, End User Computing & Mobility w VMware Polska, zwraca uwagę na jeszcze jedną przeszkodę, a mianowicie dług technologiczny przedsiębiorstw. Wiele polskich firm nadal używa rozwiązań sprzed dziesięciu, a nawet dwudziestu lat, co spowalnia cyfrową transformację. Nowoczesne narzędzia do zarządzania często nie są bowiem przystosowane do obsługi archaicznych systemów.

Bogactwo wyboru

Administratorzy IT nigdy wcześniej nie mieli tak szerokich możliwości w zakresie wyboru produktów do zarządzania urządzeniami końcowymi. Na pierwszy plan wysuwają się: UEM (Unified Endpoint Management), MDM (Mobile Device Management), EMM (Enterprise Mobility Management) czy ITAM (IT Asset Management). Tę listę uzupełnia IAM (Identify Access Management), jak również specjalistyczne systemy, np. aplikacje służące do monitorowania i zarządzania sprzętem AV. Nic dziwnego, że firmy wielokrotnie stają przed dylematem, czy zainwestować w rozwiązanie zunifikowane, czy raczej to przeznaczone wyłącznie do obsługi smartfonów i tabletów.

– Klienci czasami gubią się w gąszczu ofert. Część funkcji występuje we wszystkich systemach, ale są też komponenty charakterystyczne dla poszczególnych rozwiązań. Do tego dochodzi strategia marketingowa dostawców, którzy używają sprytnych sformułowań, aby jeszcze bardziej zaciemnić obraz – mówi Sebastian Wąsik, Country Manager baramundi.

Eksperci i analitycy nie mogą jednak uciec od klasyfikacji i starają się w sensowny sposób pogrupować produkty, jak również przewidzieć ich dalszy rozwój. Agencje badawcze uważają, że najlepsze perspektywy rysują się przed dostawcami zunifikowanych systemów UEM. Szacuje się, że w 2023 r. ten segment rynku osiągnie wartość 10 mld dol., a przychody ze sprzedaży mają rosnąć w najbliższych czterech latach w tempie 40 proc. rocznie.

– Popyt na tę grupę produktów jest wynikiem szeroko pojętej cyfrowej transformacji. Przedsiębiorstwa inwestują w innowacyjne rozwiązania bazujące na mobilności, Internecie rzeczy lub urządzeniach ubieralnych. Różnorodność produktów i nowe typy aplikacji dostarczanych z chmury wymagają od firm zmiany podejścia do zarządzania infrastrukturą – tłumaczy Roch Norwa.

UEM wpisuje się w potrzeby firm korzystających z technologicznych nowinek. Platforma pozwala na zarządzanie komputerami stacjonarnymi, tabletami, smartfonami, a nawet punktami końcowymi IoT. UEM oferuje ujednolicony zestaw funkcji i umożliwia centralne zarządzanie „końcówkami”. Dzięki temu w łatwy sposób egzekwuje się aktualizacje, licencje, a także zarządza i śledzi transakcje związane z zakupami aplikacji.

Pulpit nawigacyjny zapewnia wgląd w czasie rzeczywistym w stan pracy firmowych urządzeń, niezależnie od tego, czy znajdują się w środowisku lokalnym, chmurze, czy na jednej z platform (Windows, Unix/Linux, macOS, Android, Chrome lub IoT).

Niemniej UEM ma też kilka słabych stron. Tego typu systemy najlepiej sprawdzają się we współpracy z nowymi produktami. Na przykład wykorzystują liczne udogodnienia Windows 10, ale zdecydowanie gorzej radzą sobie w przypadku zarządzania komputerami z Windows 7. Poza tym firmy wdrażające UEM powinny przeznaczyć środki nie tylko na zakup samego rozwiązania, ale również szkolenia użytkowników oraz modernizację istniejącej infrastruktury informatycznej.

Dobre prognozy dla MDM

O swój los nie powinni się martwić dostawcy MDM. Analitycy przewidują, że na koniec 2023 r. globalna wartość tego rynku sięgnie niemal 8 mld dol. Dla porównania: w ubiegłym roku producenci sprzedali systemy o łącznej wartości 2,8 mld dol. Coraz większa popularność MDM to pokłosie rosnącego znaczenia smartfonów. Mobilne terminale służą nie tylko do realizacji połączeń głosowych czy wysyłania SMS-ów, ale zaczynają pełnić rolę przenośnych biur umożliwiających codzienne korzystanie z poczty elektronicznej, oprogramowania CRM i ERP z każdego miejsca. Co ważne, nie wszyscy przedsiębiorcy wychodzą z założenia, że unifikacja jest panaceum na bolączki związane z przyrostem terminali w firmach oraz instytucjach.

– Poszczególne systemy operacyjne bardzo się od siebie różnią, więc pojęcie zunifikowanego zarządzania okazuje się trudne do zdefiniowania. Tylko niewielki zakres funkcjonalności jest wspólny dla wszystkich systemów operacyjnych. Co więcej, każda platforma ma unikalne cechy, np. interaktywny zdalny pulpit w przypadku Samsunga, konteneryzacja urządzeń dla Androida czy wreszcie zarządzanie zakupami płatnych aplikacji dla Apple’a – mówi Mikołaj Sikorski, Product Manager rozwiązań Proget MDM w Dagmie.

Wszystko wskazuje na to, że w cieniu UEM czy UDM znajdą się platformy ITAM oraz EEM. Analitycy prognozują, że za cztery lata globalne przychody z ich sprzedaży wyniosą odpowiednio 1 mld oraz 3 mld dol. Jednak należy podkreślić, że obie grupy produktów będą z roku na rok zyskiwać zwolenników.

Nowe urządzenia, nowe problemy

Zarządzanie firmowymi urządzeniami nigdy nie było aż tak skomplikowane. W znacznym stopniu wynika to z rosnącej liczby, a także złożoności i zróżnicowania sprzętu. Jednocześnie zmieniają się wymagania pracowników, którzy chcą używać własnych i służbowych urządzeń, a na dodatek mieć stały dostęp do aplikacji oraz danych z dowolnego miejsca. Skala występowania tego zjawiska różni się w zależności od regionu świata bądź wielkości przedsiębiorstwa. O ile BYOD jest bardzo widoczny za oceanem czy w państwach Europy Zachodniej, o tyle w rodzimych przedsiębiorstwach praktycznie nie występuje. Wynika to stąd, że polskie firmy zdecydowanie preferują model COPE (Company Owned Personally Enabled), w którym pracownicy używają służbowego sprzętu, a jego właściciel przyznaje im uprawnienia w zakresie korzystania z terminali oraz aplikacji.

– Firma w ten sposób kontroluje koszty, bezpieczeństwo i inne obszary objęte potencjalnym ryzykiem. Ten model działania bardzo często spotykamy w korporacjach, które dzięki korzystnym umowom z operatorami sieci komórkowych zamawiają dla swojego personelu całą flotę mobilnych urządzeń – mówi Sebastian Kisiel, Senior Sales Engineer w Citrix Systems.

Obecnym od pewnego czasu trendem jest tzw. shadow IT, pod którym to pojęciem kryją się wszelkie zakupy i projekty informatyczne wdrażane bez wiedzy działu informatycznego. Wyjątkowo dużą aktywność w tym zakresie wykazują działy marketingu, z reguły wydające pieniądze na sporo przydatnych aplikacji. Na pierwszy rzut oka wydaje się to niezłą opcją, przedsiębiorstwo wdraża bowiem innowacyjne rozwiązanie niemal od ręki. Nie trzeba czekać, aż wiecznie zapracowani informatycy zrealizują projekt własnymi siłami bądź wyrażą zgodę na złożenie zamówienia u zewnętrznego usługodawcy. Niemniej eksperci uważają, że przedsiębiorcy, godząc się na tego typu praktyki, otwierają kolejną furtkę dla cyberprzestępców.

– To zjawisko występuje w wielu polskich firmach. Co gorsza, bywa tak, że nie mają one pełnej świadomości, że takowy kłopot istnieje. Trudno w takiej sytuacji o skuteczne, a przede wszystkim bezpieczne zarządzanie infrastrukturą – podkreśla Sebastian Kisiel.

Nawet jeśli uda się ograniczyć zjawisko shadow IT, wkrótce pojawią się kolejne problemy związane chociażby z nową falą urządzeń albo zwyczajami pracowników. Ich rozwiązywanie bez wsparcia w postaci solidnych narzędzi do zarządzania, nadzorujących i zabezpieczających sprzęt oraz dane, będzie przypominać walkę z wiatrakami.

Artykuł UEM i jego kuzyni, czyli odsiecz dla admina pochodzi z serwisu CRN.

Z pewnością łatwiej było dostosować się do wymogów nowych przepisów firmom, które już wcześniej zaimplementowały i stosowały na co dzień systemy bezpieczeństwa informacji. W takich przypadkach zapewnienie ochrony danych osobowych mogło się wiązać tylko z wprowadzeniem dodatkowych elementów do już funkcjonującego, sprawdzonego w praktyce mechanizmu. Co nie znaczy, że samo w sobie było zadaniem prostym i łatwym, szczególnie w rozbudowanych organizacjach korzystających z dużej liczby aplikacji przetwarzających dane. Nie wymagało to już jednak budowania całego środowiska zabezpieczeń i kontroli od podstaw.

Problemy mogły mieć przedsiębiorstwa, które nie posiadały jeszcze systemów zarządzania bezpieczeństwem informacji. W ich przypadku RODO mogło jednak odegrać pozytywną rolę jako przyczynek do poważniejszego zajęcia się sprawami bezpieczeństwa – dać impuls do uporządkowania i zoptymalizowania związanych z tym obszarem zadań lub procesów. Zapowiadana nieuchronność i duża wysokość kar z pewnością przyczyniły się do uświadomienia sobie przez decydentów znaczenia i podniesienia rangi systemu zabezpieczeń w firmie. Niejeden specjalista ds. cyberbezpieczeństwa miał ułatwione zadanie, próbując dotrzeć do zarządu przedsiębiorstwa z przesłaniem o konieczności podjęcia działań zmierzających do minimalizacji ryzyka wycieku danych bądź wykorzystania ich w niewłaściwy sposób.

Nierzadko jednak trudności sprawiało – i często nadal sprawia – przestawienie się ludzi na różnych stanowiskach na nowy sposób rozumienia wartości chronionych zasobów informacji. W przypadku RODO nie chodzi bowiem o zapewnienie bezpieczeństwa danych będących własnością firmy, lecz o zabezpieczenie informacji dotyczących fizycznych osób, autonomicznych jednostek pozostających z nią w różnych relacjach, wynikających z prowadzonego biznesu. I choć jedno z drugim często idzie w parze, to trudno myśleć o spełnieniu wymogów RODO bez uświadomienia sobie, że w tym przypadku nie chodzi o zapewnienie bezpieczeństwa firmie czy instytucji, lecz o troskę o odpowiednie zabezpieczenie danych osób, których one dotyczą.

Zadanie może nie być łatwe także  z tego powodu, że wprowadzenie RODO zwiększyło również świadomość wagi ochrony prywatności w całym społeczeństwie. Zarówno prawnicy zajmujący się wdrażaniem unijnego rozporządzenia w firmach, jak i przedstawiciele organizacji będących administratorami danych osobowych zauważają, że widać nieustanny wzrost jakości pytań i żądań kierowanych przez ludzi pod adresem firm przetwarzających ich dane. Po początkowym okresie zamieszania pojęciowego i proceduralnego, zgłaszania problemów bazujących na medialnych stereotypach, a nie rzetelnej analizie stanu faktycznego pojawia się coraz więcej wystąpień mających poważne umocowanie prawne i merytoryczne, świadczących o coraz lepszym zrozumieniu przez ludzi obowiązujących mechanizmów ochronnych.

Bez przerwy na nasłuchu

Trudności z jednoznaczną oceną stanu zaawansowania prac nad dostosowaniem się polskich firm do wymogów RODO wynikają również z braku dostatecznej ilości orzecznictwa w tym obszarze. Brakuje jasnych rekomendacji i interpretacji. W wielu kwestiach pojawiające się interpretacje są nawet całkowicie rozbieżne. Rezultaty kontroli prowadzonych przez Urząd Ochrony Danych Osobowych nie są podawane do publicznej wiadomości. Dostępne są jedynie decyzje prezesa UODO w sprawie zgłaszanych skarg i wniosków. Branżowe kodeksy dobrych praktyk nie zostały zatwierdzone lub jeszcze w ogóle nie powstały. Ewentualnego wsparcia można szukać na razie w wytycznych i opiniach publikowanych na stronach UODO. Nawet pierwsza w naszym kraju kara nałożona za niedopełnienie obowiązku informacyjnego budzi szereg pytań i wątpliwości ze strony prawników i ekspertów od ochrony danych osobowych.

Osoby odpowiedzialne za zapewnienie firmom działalności w zgodzie z wymogami RODO nie mają więc łatwego zadania. Tym bardziej że zgodnie z wprowadzoną zasadą rozliczalności to na nich ciąży obowiązek wykazania, że zastosowane środki i sposoby zabezpieczenia danych były najbardziej optymalne jak również najlepiej dostosowane do zdiagnozowanych zagrożeń w danej sytuacji. Jak się jednak przygotować do kontroli, skoro nie ma żadnego wymaganego prawem minimum konkretnych zadań do wykonania? Nawet gotowe wzorce czy szablony postępowania na nic się nie zdadzą, jeśli nie zostaną dostosowane do specyfiki i uwarunkowań funkcjonowania konkretnego przedsiębiorstwa.

Co więc pozostaje firmom, które chcą się rzetelnie stosować do przepisów unijnego rozporządzenia? Potraktować poważnie wymóg analizy ryzyka i uczynić go podstawą swoich wszelkich działań w dziedzinie ochrony danych osobowych! Co to w praktyce oznacza? Przede wszystkim potrzebę stałego monitorowania sytuacji zarówno wewnątrz firmy, jak i w jej zewnętrznym otoczeniu. Należy śledzić zmiany technologiczne, analizować trendy biznesowe, które mogą decydować o zapotrzebowaniu na przetwarzanie danych osobowych, aktualizować mapę zagrożeń i nowych rodzajów ryzyka związanych z danymi, jakimi dysponuje ich administrator. Nie obejdzie się bez audytu przeprowadzanego minimum raz na rok, a w uzasadnionych przypadkach zapewne i częściej.

Osobną kwestią jest zwracanie uwagi na zmiany prawa, które mogą mieć wpływ na sposoby i zakres stosowania niektórych przepisów RODO. Obowiązująca od 4 maja 2019 r. ustawa dostosowująca polskie przepisy sektorowe do wymogów RODO (Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.) zmienia 162 krajowe akty prawne. Nowe uregulowania pojawiły się w wyniku tego m.in. w prawie bankowym, prawie pracy, przepisach dotyczących dokumentacji medycznej czy prawie karnym.

W niektórych przypadkach, jak na przykład Kodeks pracy, zmiany mogą być znaczące a także wymagać dostosowania zasad przetwarzania danych osobowych do nowych regulacji. Nie znaczy to, że będą one już obowiązywały zawsze. Nie jest wykluczone, że kolejne zmiany w przepisach branżowych również będą mieć istotny wpływ na zabezpieczanie danych wymagane przez RODO. Nie ma więc innego wyjścia, jak uważnie śledzić zmiany w prawie pod kątem ich powiązania z wymogami unijnego rozporządzenia.

Stały element gry

Warto sobie uświadomić, że od RODO nie ma odwrotu. Zapewnienie zgodności z tym rozporządzeniem musi być już stałym, integralnym elementem systemu zarządzania bezpieczeństwem informacji we wszystkich  przedsiębiorstwach i  instytucjach. Wymogi wynikające z wprowadzonych w ubiegłym roku unijnym rozporządzeniem przepisów o ochronie danych osobowych muszą być uwzględniane w każdym miejscu ich przetwarzania, w każdym procesie, w ramach którego takie przetwarzanie następuje, i na każdym etapie życia narzędzi oraz systemów informatycznych i urządzeń, które do przetwarzania danych są wykorzystywane.

I nie da się tego zrobić inaczej jak przez ciągłe, uważne śledzenie rozwoju sytuacji w różnych obszarach funkcjonowania organizacji przetwarzającej dane osobowe. Analiza ryzyka wymaga monitorowania zarówno samych zagrożeń, jak i związanych z nimi technologii oraz trendów rynkowych. Dbałość o przestrzeganie zapisów unijnego rozporządzenia musi być stałym składnikiem zarządzania bezpieczeństwem informacji w firmie, chociaż stosowane w praktyce rozwiązania mogą się nieustannie zmieniać pod wpływem modyfikacji uwarunkowań różnych aspektów aktywności biznesowej. Nadążanie za zmianami i wybór adekwatnych w danej sytuacji rozwiązań pozostanie z pewnością największym wyzwaniem.

Niejednoznaczna, pozbawiona katalogu niezbędnych zadań do wykonania formuła RODO sprawia, że ciągle będą się pojawiać pytania, wątpliwości i niejasności dotyczące zastosowania odpowiednich środków i rozwiązań. W ostateczności każdy będzie musiał radzić sobie z tymi zagadnieniami na własną rękę, biorąc za dokonywane wybory bezpośrednio odpowiedzialność. Nawet jeśli będzie już dostatecznie dużo orzeczeń, interpretacji, kodeksów dobrych praktyk i rekomendacji. Zawsze bowiem można mieć do czynienia z sytuacjami, które nie zostały dotąd uwzględnione, a mogą mieć znaczące skutki dla zapewnienia bezpieczeństwa danych osobowych.

Taka jest konstrukcja RODO, że cały ciężar decyzji o wyborze odpowiednich zabezpieczeń spoczywa na tym, kto przetwarza dane osobowe. Przy odpowiednim podejściu może to być jednak szansa na znalezienie rozwiązania dopasowanego dokładnie do potrzeb i specyfiki konkretnej firmy – jak również szansa dla integratorów na nowe kontrakty dzięki indywidualnemu traktowaniu każdego klienta i zaproponowaniu mu rozwiązań zgodnych z faktycznym zapotrzebowaniem, uwzględniających rzeczywiste uwarunkowania jego działalności oraz aktualne możliwości.

Artykuł RODO: droga bez końca pochodzi z serwisu CRN.