Firmy nie są gotowe na model BYOD

Przeczytaj także: Obawa o bezpieczeństwo hamuje model BYOD

Najpierw polityka bezpieczeństwa, potem MDM

Przygotowanie firm w zakresie bezpieczeństwa do wdrożenia BYOD pozostawia wiele do życzenia. Wynika to m. in. z badania Global Corporate IT Security Risks 2013. Tylko 1 na 8 firm potwierdza w pełni zaimplementowaną politykę bezpieczeństwa urządzeń mobilnych dla swojej sieci. Statystyka jest tym bardziej niepokojąca, jeśli uwzględnimy przy tym wzrost przypadków nieautoryzowanej ingerencji w telefony komórkowe i tablety przy jednoczesnym braku w firmach procedur ograniczających wykorzystanie BYOD. Urządzenia mobilne stają się jednym z kanałów wycieku krytycznych danych, powodując obecnie większe straty poufnych zasobów niż ataki hostingowe, oszustwa pracowników czy szpiegostwo korporacyjne. Mimo zagrożenia dla bezpieczeństwa infrastruktury IT, jakie niesie ze sobą środowisko BYOD, większość firm nie planuje wprowadzenia żadnych związanych z nim restrykcji, a duża część uznaje, że takie ograniczenia nie odniosłyby skutku.

Jak zauważa Lapierre: - W tym wszystkim trzeba jeszcze mieć na uwadze dzisiejsze złośliwe oprogramowanie, które staje się szczególnie efektywne w atakowaniu nowych platform - urządzenia mobilne i nieświadomość ich użytkowników są tutaj punktem wysokiego ryzyka. Ochrona danych w środowisku, w którym systemy często rotują, a informacje mogą być dowolnie transferowane, wymaga skoordynowanego mechanizmu zabezpieczeń, potrafiącego ochraniać stacje końcowe, bramy sieciowe, urządzenia mobilne czy dane w chmurach obliczeniowych. Dlatego punktem wyjścia do wdrożenia modelu BYOD jest zawsze opracowanie jasno zdefiniowanej polityki bezpieczeństwa. Dalszym dopiero krokiem jest dobór narzędzi, za pomocą, których wprowadzenie BYOD będzie realizowane. O ile zakup oprogramowania Mobile Device Management - odpowiedzialnego za zarządzanie flotą urządzeń przenośnych w firmie, które wzmacnia kontrolę nad wszystkimi terminalami mobilnymi i ochronę danych – nie jest problematyczny, istotniejsze jest znalezienie systemu, którego funkcjonalności zapewnią zgodność z firmową polityką.

Zagrożenia, z którymi firmy muszą się liczyć

Stałym ograniczeniem firm w modelu BYOD jest brak uprawnienia do pełnej ingerencji w terminal pracownika. W konsekwencji wymaga to zastosowania odpowiedniego zabezpieczenia firmowych danych na nim przechowywanych i co jest nie mniej ważne – zapewnienia ochrony cyfrowej tożsamości użytkownika. - Mimo rosnącej liczby wirusów i ataków wycelowanych w urządzenia mobilne poprzez sieć, najbardziej krytycznym zagrożeniem dla bezpieczeństwa poufnych danych jest fizyczna utrata urządzenia w wyniku kradzieży lub zaniedbań użytkowników. Na wypadek takich incydentów polityka bezpieczeństwa powinna zawierać odpowiednie procedury kontroli haseł dostępu, możliwości jego blokowania, mechanizmy szyfrowania danych czy zdalne kasowanie wrażliwych informacji – podaje CEO firmy SoftProject.

Istotne jest tu znalezienie kompromisu między interesem firmy, która podejmuje ryzyko wcielenia do infrastruktury prywatnego urządzenia, a pracownika, który zyskuje możliwość pracy na narzędziu wybranym według własnych preferencji. Kompromis ten wymaga jednak od właściciela urządzenia upoważnienia firmowego działu IT do części kontroli nad nim. Sieć korporacyjna i wszystkie zasoby informacyjne znajdujące się w jej obiegu stanowią własność firmy, ma, więc ona prawo rejestrować i monitorować wszystkie aktywności użytkowników wykonywane z jej użyciem – dodaje.