Prywatny sprzęt w korporacyjnej sieci

Według prognoz z ostatniego raportu Cisco Visual Networking Index niezależnego instytutu badania rynku Vision Critical, w 2017 r. połowa ruchu w światowej sieci www będzie pochodziła z urządzeń mobilnych. Firmy muszą więc, jak twierdzą analitycy, w większym stopniu dostosować się do nowej rzeczywistości cyfrowej: wdrożyć odpowiednie procedury i tak zorganizować pracę, aby uwzględniała wynikające z tej ewolucji standardy.

Podstawowe są przy tym kwestie bezpieczeństwa: rosnący udział urządzeń przenośnych to także większe zagrożenia związane z ryzykiem zagubienia sprzętu, kradzieży urządzenia, znajdujących się w jego pamięci danych czy kluczy dostępu do firmowej sieci (haseł, PIN itp.). - Istotne jest znalezienie kompromisu między interesem firmy, która podejmuje ryzyko włączenia do swojej infrastruktury urządzenia mobilnego, a korzyściami związanymi z oszczędnością czasu i miejsca - mówi Artur Gajda, specjalista ds. IT w sektorze małych i średnich przedsiębiorstw.

Dzielenie pamięci

Kompromis ten wymaga zazwyczaj zorganizowania na nowo działu IT. Dotychczas standardem zakresu obowiązków w przedsiębiorstwach było bieżące zarządzanie przepływem informacji w ramach wewnętrznej sieci i nadzorowanie pracy poszczególnych PC. W erze urządzeń mobilnych dział IT musi zadbać także o sprzęt, który często nie jest własnością przedsiębiorstwa, i nadzorować pracę, która ma miejsce poza siedzibą firmy, w dniach wolnych od pracy i godzinach np. nocnych czy wieczornych.

W tym celu należy zatroszczyć się, aby wszystkie zgłoszone do profesjonalnego użytku urządzenia zostały odpowiednio oznakowane, nazwane i zarejestrowane. Dział IT powinien uzyskać zgody właścicieli do przynajmniej częściowej nad nimi kontroli. Trzeba pamiętać, że bez względu na to, czy w pracy zawodowej używane są urządzenia stacjonarne, czy mobilne, sieć korporacyjna i zasoby znajdujące się w jej obiegu stanowią własność przedsiębiorstwa. Informatycy mają więc prawo rejestrowania i monitorowania wykonywanych przez wszystkich użytkowników czynności, o ile, rzecz jasna, dotyczą one zasobów przedsiębiorstwa. Jako że stacje mobilne wykorzystywane są zazwyczaj także do użytku osobistego, dział IT może podzielić np. pamięć tabletu lub smartfonu na tzw. partycje logiczne, z których tylko jedna będzie wykorzystywana do celów zawodowych.

Trzeba jednak pamiętać, aby znajdujące się na urządzeniu prywatne dane, nie były przy okazji kopiowane. Stanowiłoby to bowiem naruszenie ustawy o ochronie danych osobowych, za której złamanie w ekstremalnych przypadkach grozi nawet odpowiedzialność karna. Pracownik, który użycza firmie urządzenia powinien, rzecz jasna, zachować prawo do zapisywania w jego pamięci zdjęć, kontaktów, kodów, szyfrów, pin-ów itp.

Cena bezpieczeństwa

Istotne znaczenie ma także systematyczne monitorowanie, jakie zasoby przechowywane są w firmowej sieci, i bieżące zarządzanie zewnętrznym dostępem do nich. Ważne jest np. zapewnienie blokad i zabezpieczeń w sieci oraz prowadzenie na bieżąco kontroli ruchu przychodzącego i wychodzącego z zewnętrznych urządzeń. Równie ważne jest również to, czy informacje zapisane na urządzeniu są dostępne w trybie online, czy będą buforowane do stałego użytkowania. Priorytetem jest wtedy zapewnienie możliwości zdalnego usunięcia danych w przypadku kradzieży bądź zgubienia sprzętu.

- Podniesienie poziomu bezpieczeństwa, niestety, zawsze wiąże się z ograniczeniem wolności - mówi Gajda. Wdrożenie odpowiednich procedur bezpieczeństwa wymaga monitoringu aktywności użytkowników, nadzorowania ruchu na korporacyjnych aplikacjach, a czasem także śledzenia samych urządzeń. Krytycznym obszarem jest także przechowywanie danych i sposób, w jaki jest uzyskiwany do nich dostęp.

Ale równie ważne jest także uzupełnianie wiedzy i świadomości pracowników, tak aby w sposób ostrożny i odpowiedzialny korzystali z zapisanych w pamięci firmowych serwerów danych, które nierzadko stanowią największy kapitał pracodawcy. Poziom wiedzy o zagrożeniach wynikających z BYOD (Bring on Your Device - z ang. praca na prywatnym sprzęcie) jest bowiem niewielki. Jak wynika z raportu Fortinet Internet Security Census 2013, prawie połowa przebadanych w Polsce pracowników wyraża gotowość złamania firmowych procedur ograniczających wykorzystanie prywatnych urządzeń mobilnych (wynik o 150 proc. wyższy niż w 2012 r.).

Prócz ustanowienia surowych procedur chroniących firmę przed takim działaniem (kary), pracownicy powinni więc dowiedzieć się, co to takiego APT (zaawansowane kierunkowe ataki o długotrwałym działaniu), botnet (sieci zainfekowanych złośliwym oprogramowaniem stacji roboczych rozsyłających niechciane wiadomości spam), DDoS (rozproszony atak typu "odmowa usługi"), czy pharming (kierowanie urządzenia na fałszywe strony www w celu przejęcia numerów kart kredytowych, haseł itp.). Bez tej wiedzy trudno zapewnić bezpieczeństwo danych znajdujących się w firmowej sieci wewnętrznej. - Niemające fachowej wiedzy osoby nie są w stanie rozpoznać, kiedy ich stacja pracuje w sposób prawidłowy, a kiedy stała się obiektem ataku, którego celem jest na przykład przejęcie danych - mówi Gajda.

Dane w chmurze

Kluczowe dane mogą znajdować się na serwerach zewnętrznych, w chmurze publicznej lub prywatnej (firmowej). W takim układzie kwestie bezpieczeństwa mają zasadnicze znaczenie, dział IT powinien zadbać o to, by pracownicy mieli zróżnicowany dostęp do danych (dział sprzedaży nie musi wiedzieć, jakie faktury wystawiła księgować, i znać siatki płac).

Dobrym sposobem jest także umieszczenie informatycznych zasobów firmy na zewnętrznych serwerach u dostawcy tego rodzaju usług - w firmie hostingowej. Modeli hostingu jest kilka, różnią się zarówno ceną, jak i zakresem oferowanej usługi (przede wszystkim ilością miejsca na serwerze). W każdym jednak modelu kluczowe jest przeniesienie odpowiedzialności z własnego, wewnętrznego zespołu IT na zewnętrzną strukturę kooperującego z firmą przedsiębiorstwa.

Takim novum w świecie biznesu stał się outsourcing mocy obliczeniowych - chmura, szczególnie w przypadku oferty typu infrastruktura jako usługa. Nabywca nie kupuje aplikacji, fizycznych dysków czy serwerów, które wymagają zabezpieczenia, ale odbiera zdalnie udostępnianą aplikację czy przestrzeń dyskową. Zarządzanie dostępem do tego środowiska jest przekazywane stronie zewnętrznej na mocy odpowiednio sformułowanej umowy. Procedury postępowania na wypadek zagrożeń są w pełni koordynowane przez dostawcę. Jedynym właściwie obszarem do samodzielnej decyzji zarządczej w ramach strategii postępowania z ryzykiem pozostaje jego transfer, a więc ubezpieczenie się od zagrożeń lub przeniesienie ryzyka na stronę trzecią

Nie jest to jedyny sposób, w jaki outsourcerzy chronią dane krytyczne. Oferują rozbudowaną platformę zarządzania archiwizacją i odzyskiwaniem danych po awarii. Takie rozwiązanie pozwala na zdalną archiwizację plików, baz danych, serwerów pocztowych. Blokowanie danych odbywa się także dzięki szyfrowaniu ich na dysku za pomocą profesjonalnych programów.

Na wypadek wystąpienia nieoczekiwanych zdarzeń bądź awarii, które mogłyby przerwać działalność operacyjną firmy, outsourcerzy wdrażają zapasowe centrum przetwarzania danych. Funkcjonalność tego rodzaju zabezpieczenia informacji polega na planowaniu i testowaniu procedur przywracania ciągłości biznesowej, odzyskiwaniu informacji oraz na przygotowaniu i utrzymaniu zapasowego centrum danych.

@RY1@i02/2014/106/i02.2014.106.13000020c.802.jpg@RY2@

Mobilne branże

Maria Kamila Puch

mf_dgp@infor.pl