Mobilność - wygodna i niebezpieczna

Przeczytaj także: Szyfrowanie poufnych danych coraz częściej

Polityka bezpieczeństwa to konieczność

Firmy nie są jednak zupełnie bezbronne. - Przedsiębiorstwa dysponują technikami, które wpływają na wzrost bezpieczeństwa – podkreśla Paul Stamp, analityk Forrester Research. – Dostęp do sieci jest chroniony, użytkownicy mogą korzystać jedynie z tych zasobów, które są im rzeczywiście niezbędne, a dane przesyłane przez sieć są szyfrowane.

Także same urządzenia powinny być chronione hasłem i blokowane po określonej liczbie nieudanych prób uzyskania dostępu. Funkcja „remote device kill” może automatycznie zablokować zagubione albo skradzione urządzenie, gdy tylko spróbuje ono uzyskać dostęp do sieci. Oczywiście, konieczne są także standardowe zabezpieczenia, takie jak oprogramowanie antywirusowe i firewall.

Jednak wraz ze zwiększającą się liczbą używanych urządzeń przenośnych, a także wskutek nieustannych zmian bezprzewodowych technik i stosowanych standardów ryzyko wzrasta zbyt szybko by bezpieczeństwo mogło polegać tylko na wdrażaniu jakiś krótkoterminowych działań, czy odwołaniu się do konkretnej techniki – konieczne jest wdrożenie polityki bezpieczeństwa z prawdziwego zdarzenia.

- Najpierw trzeba opracować politykę, a dopiero później decydować, jaka technika będzie najbardziej odpowiednia, by tę politykę wprowadzić w życie – twierdzi Pironti. – To polityka musi decydować o tym, jakiego rodzaju dane mogą być udostępniane zdalnie, jakie mogą być przechowywane w pamięci urządzeń przenośnych i tak dalej. Dopiero później można rozmawiać o hasłach, blokowaniu urządzeń.

Jeśli spróbujemy na wstępie określić, jakiej ochrony wymagają różne typy urządzeń, natychmiast ugrzęźniemy w martwym punkcie, nie uda nam się znaleźć odpowiedniej techniki dla zaspokojenia każdej z różnorodnych potrzeb – wyjaśnia Peter Firstbrook. – To informacje wymagają ochrony, a nie urządzenia.

Zasady bezpieczeństwa, związane z urządzeniami mobilnymi powinny być elementem polityki bezpieczeństwa przedsiębiorstwa. Muszą uwzględniać nie tylko infrastrukturę informatyczną, ale i strategię oraz procesy biznesowe.

Ochrona informacji zaczyna się od sklasyfikowania danych. Oto przykład schematu tworzenia różnych kategorii informacji:

• Publiczna – informacja powszechnie dostępna

• Poufna – informacje, do których dostęp powinien być ograniczony, biznesplany, projekty produktów, wszelkiego rodzaju własność intelektualna

• Tajna – informacje o krytycznym znaczeniu, związane z organizacją i finansami

• Rekordy klientów – dane personalne klientów, (których dotyczą przepisy o ochronie danych osobowych) oraz informacje dotyczące dotychczasowych relacji z klientami

Dokonanie tego rodzaju klasyfikacji sprawia, że mechanizmy ochronne mogą zostać wprowadzone w całej firmie – niezależnie od tego, w pamięci jakich urządzeń przechowywane są dane.

- Wystarczy określić, jakiego rodzaju dane mogą być przechowywane w pamięci urządzeń przenośnych, a jakie nie i ograniczyć w odpowiedni sposób zdalny dostęp do sieci – wyjaśnia Pironti.

Ręka na pulsie

To wszystko nie zmienia oczywistego faktu: trzeba wciąż kontrolować, jakie urządzenia są wykorzystywane w przedsiębiorstwie.

- Nie można zidentyfikować słabych punktów, jeśli nie wie się, jakimi urządzeniami posługują się pracownicy, niezależnie od tego, czy urządzenia te są własnością firmy, czy też (co zdarza się nader często) pracowników – podkreśla Firstbrook.

Spróbujmy opracować przykładowy standard korporacyjny. Wiele firm kupuje urządzenia przenośne dla kadry zarządzającej. Jeśli przedsiębiorstwa nie stać na to, by wyposażyć w nie wszystkich pracowników, można uruchomić program, w ramach którego będą mogli kupić je sami po cenie znacznie niższej niż rynkowa. W ten sposób, korzyści odniosą zarówno pracownicy, jak i firma, a co najważniejsze przedsiębiorstwo wykreuje standard – gdy wszyscy w przedsiębiorstwie korzystają z takich samych urządzeń, zarządzanie i ochrona danych stają się łatwiejsze.

Następnie trzeba się upewnić, że pracownicy zdają sobie sprawę z zagrożeń, jakie niesie ze sobą używanie urządzeń przenośnych.

- Pracownicy w większości nie doceniają znaczenia danych – twierdzi Chartoff. – Nie rozumieją, że urządzenia, których używają mogą dać dostęp do sieci osobom niepowołanym, które z kolei mogą w ten sposób wejść w posiadanie informacji o nieocenionym znaczeniu.

Przygotowanie pracowników wymaga szkoleń.

- Tylko przedsiębiorstwa o naprawdę wysokim poziomie wewnętrznej komunikacji i najlepszych relacjach z pracownikami osiągną najwyższy poziom bezpieczeństwa – twierdzi Kirkpatrick. – Pracownicy muszą sobie zdawać sprawę, że przechowywanie danych na urządzeniach przenośnych jest równoznaczne z przyjęciem odpowiedzialności za ich bezpieczeństwo.