BYOD może być bezpieczne

BYOD może być bezpieczne materiały prasowe

Pozwalanie pracownikom na korzystanie w sieci korporacyjnej z prywatnych urządzeń poprawia ich produktywność i satysfakcję, jednocześnie obniżając koszty. BYOD stawia jednak pracodawców przed wyzwaniami.

Jednym z nich jest kwestia bezpieczeństwa, szczególnie ważna w przypadku instytucji finansowych przetwarzających wrażliwe dane klientów.

Jak zapewnić bezpieczeństwo w środowisku mobilnym, w którym pracownicy używają prywatnego sprzętu do celów służbowych? Jak strategicznie podejść do tego zagadnienia? To pytanie, na które warto poszukać odpowiedzi już teraz, aby być przygotowanym na wdrożenie BYOD w organizacji. Kwestię porusza wiele firm doradczych, miedzy innymi Gartner1.

Zdefiniuj politykę bezpieczeństwa

Zabezpieczając firmę przed niechcianymi skutkami BYOD, należy zacząć od stworzenia polityki bezpieczeństwa dla środowiska mobilnego. Definiując tę politykę warto posłużyć się siedmiopunktową analizą, proponowaną przez Gartnera, która zakłada zdefiniowanie zastosowania (use cases) urządzeń mobilnych i ich wymagań biznesowych, określenie wymagań dotyczących: sposobu zarządzania danymi na urządzeniach mobilnych, sposobu zarządzania samymi urządzeniami, kontroli tożsamości, architektury aplikacji, technologii bezprzewodowych i kontroli urządzeń końcowych. Choć wszystkie siedem punktów analizy jest niezbędnych do stworzenia odpowiedniej polityki bezpieczeństwa, to kluczowe jest przede wszystkim zdefiniowanie zastosowania (use cases) urządzeń mobilnych w firmie. Zdefiniowanie strategii w oparciu o realne zastosowanie danej technologii pozwoli na jej szybsze i skuteczniejsze wdrożenie. Poza tym, będzie ona odzwierciedlać potrzeby i rzeczywisty obraz organizacji.

Ograniczenie ryzyka ≠ wyeliminowanie

To, jak wykorzystywane są urządzenia mobilne w firmie i jakie dane są przez nie przetwarzane determinuje technologię i zabezpieczenia, z których należy korzystać. Prezentujemy dwa przykłady podejścia do zagadnienia bezpieczeństwa przetwarzania danych na urządzeniach mobilnych. Pierwsze podejście zakłada, że na urządzeniach mobilnych pracowników nie przechowuje się danych biznesowych i nie stosuje się rozwiązań, które dane przechowują. Takie rozwiązania bazują na zdalnym dostępie do aplikacji i infrastruktury użytkownika czyli na infrastrukturze pulpitu wirtualnego (Virtual Desktop Infrastructure), aplikacjach webowych (bez lokalnego przechowywania danych) oraz na natywnych aplikacjach mobilnych z danymi przechowywanymi zdalnie w data center. Brak danych biznesowych na urządzeniach mobilnych i zastosowanie zdalnego dostępu do aplikacji ogranicza ryzyko i poprawia bezpieczeństwo. Nie można jednak zapominać, że takie podejście ma też swoje wady – ogranicza produktywność pracowników. W przypadku, w którym dostęp do aplikacji czy danych wymaga ciągłego dostępu do sieci, jego brak, np. w samolocie, uniemożliwia pracownikowi wykonywanie pracy. Należy też pamiętać, że ograniczenie ryzyka nie eliminuje go. Ryzyko zawsze istnieje i trzeba nim umiejętnie zarządzać. Przykładem takiego ryzyka może być np. kradzież urządzenia mobilnego. Mimo że łatwiej jest ograniczyć dostęp do aplikacji webowej ze skradzionego urządzenia niż wyeliminować dostęp do danych przechowywanych na skradzionym urządzeniu, to i tak należy pamiętać o wdrożeniu procedury, której należy użyć w przypadku kradzieży urządzenia mobilnego.

Ryzyko pod kontrolą

Doświadczenie pokazuje, że firmy częściej wykorzystują podejście, w którym dane biznesowe przechowywane są na urządzeniu mobilnym pracownika. Mówiąc o danych, bierzemy pod uwagę zarówno dane przechowywane w aplikacji biznesowej, jak i w kliencie pocztowym, kalendarzu, kontaktach czy zbiorze dokumentów. W takiej sytuacji firma powinna zacząć od klasyfikacji danych, które można podzielić na trzy kategorie ryzyka: high risk (dane krytyczne), medium risk (dane średniokrytyczne) i low risk (dane niekrytyczne). Jeżeli dane sklasyfikowane są jako high risk, to należy sprawdzić, czy możliwa jest ich kontrola i zarządzanie urządzeniem mobilnym. W przypadku ograniczonych możliwości zarządzania zaleca się zastosowanie podejścia pierwszego, w którym krytyczne dane biznesowe nie są przechowywane na urządzeniu mobilnym tylko w bezpiecznym data center. Jeżeli dane sklasyfikowane są jako medium risk, warto wprowadzić podział danych i aplikacji biznesowych poprzez zastosowanie kontenerów, czyli technologii pozwalającej bezpiecznie odseparować aplikację od innych aplikacji zainstalowanych na urządzeniu. W przypadku danych o statusie low risk, kluczowe jest zdefiniowanie i wdrożenie polityki urządzeń mobilnych, czyli określenie co użytkownicy mogą robić na prywatnych urządzeniach mobilnych w zakresie firmowych aplikacji biznesowych.

Podobne artykuły:

Polecamy hybrydę

Na technologie mobilne, a w szczególności na politykę BYOD, warto spojrzeć nie tylko z perspektywy produktywności, ale również bezpieczeństwa. Warto pamiętać, że bezpieczeństwo to element architektury organizacji, a nie tylko zagadnienie, którym należy zająć się po wdrożeniu aplikacji. Wdrażając BYOD lub inną politykę urządzeń mobilnych, należy traktować bezpieczeństwo jako ich integralną część. Nie można przy tym zapominać, że podejście,
w którym żadne dane nie są przechowywane na urządzeniu mobilnym, ogranicza nie tylko ryzyko, ale też efektywność pracowników. Dlatego rekomendowanym podejściem dotyczącym bezpieczeństwa danych na urządzeniach mobilnych jest podejście hybrydowe, w którym dane krytyczne, którymi nie można zarządzać, są przechowywane poza urządzeniem mobilnym, dane średniokrytyczne są odseparowane od pozostałych, a dla danych niekrytycznych wdrożona jest polityka urządzeń mobilnych.

ComArch S.A. Adam Tymofiejewicz