Wyciek informacji ze zgubionych lub skradzionych komórek i netbooków, nieautoryzowany dostęp do zasobów firmy, przenoszenie się infekcji z przenośnych urządzeń na sieć przedsiębiorstwa… Obaw związanych z rewolucją mobilną jest coraz więcej. Nic dziwnego, że dla 41 proc. polskich firm ankietowanych przez Symantec rosnąca popularność smartfonów i tabletów to jedno z najważniejszych zagrożeń IT. Strach ma wielkie oczy?
Akurat w tym przypadku — niekoniecznie. Ponieważ urządzenia mobilne obsługują ważne procesy i dane biznesowe, koszt naruszenia bezpieczeństwa może być wysoki — w rodzimych firmach wynosi średnio 202 tys. dolarów rocznie. Chodzi m.in. o utratę informacji, pogorszenie wizerunku marki, spadek produktywności i zaufania klientów.
Technologie i procedury
— Firmy przeszły długą drogę — od odrzucania urządzeń przenośnych do aktywnego dystrybuowania i opracowywania aplikacji. To stwarza zupełnie nowe wyzwania dla personelu IT. Na szczęście większość decydentów w przedsiębiorstwach o bezpieczeństwie mobilnym nie myśli już tylko w prostych kategoriach zgubionych lub skradzionych telefonów — podkreśla CJ Desai, starszy wiceprezes departamentu mobilnego w Symantec.
Według analityków tej spółki, nie wolno ograniczać się do prostych zasad zarządzania hasłami, wymazywania treści i blokowania aplikacji. Trzeba skupić się na informacjach oraz na tym, gdzie są one przeglądane, przesyłane i przechowywane. Podobnie uważa Jarosław Samonek, dyrektor regionalny w spółce Trend Micro.
— Menedżerowie powinni popierać korzystanie przez podwładnych z urządzeń osobistych w pracy, ale pod warunkiem, że są na nich zainstalowane odpowiednie zabezpieczenia. Pogląd ten podziela aż 79 proc. szefów — mówi dyrektor Samonek.
— Niezbędne są odpowiednie aplikacje organizujące przepływ danych między urządzeniami mobilnymi a firmowymi serwerami. Umożliwiają one zarządzenie informacjami z dala od biurowego komputera. W całym procesie liczy się to, by dostęp do najaktualniejszych informacji, i to w czasie rzeczywistym, mieli wyłącznie wybrani pracownicy — uściśla Paweł Nowak, dyrektor działu produkcji systemów mobilnych i CRM w Asseco Business Solutions Korporacje raczej już umieją zabezpieczać swoje dane. Dużo gorzej radzą sobie z tym małe i średnie przedsiębiorstwa — głównie z powodu braku pieniędzy, ludzi i wiedzy. Cała nadzieja w stosowaniu systemów zintegrowanych. Instalowanie oddzielnych rozwiązań może być trudne dla instytucji ze skromnym zespołem IT. Preferuje się więc narzędzia kompletne, które wystarczy włączyć do sieci po prostym skonfigurowaniu. Zdaniem Pawła Nowaka, byłoby najlepiej, gdyby dostawca aplikacji zapewniał przechowywanie informacji we własnym centrum danych o wysokich standardach jakości i bezpieczeństwa, zarówno na poziomie organizacyjnym, jak i technicznym.
— Poziom organizacyjny wiąże się z przestrzeganiem określonych procedur, najlepszych praktyk i stosownych aktów prawnych. Zaś poziom techniczny to bezpieczeństwo definiowane w oparciu o takie parametry, jak ochrona fizyczna obiektu przed nieuprawnionym dostępem, warunki środowiskowe (gwarantowane zasilanie, temperatura wilgotność), telekomunikacja, system detekcji i ochrony przeciwpożarowej oraz oczywiście kadra zarządzająca całym procesem — tłumaczy Paweł Nowak.
Dodaje, że kluczowe jest również zabezpieczenie transmisji danych pomiędzy systemem centralnym a tzw. końcówką mobilną. No i oczywiście odpowiednia ochrona wszelakich informacji, które przechowywane są na urządzeniu mobilnym na wypadek jego zgubienia lub kradzieży.
Element ludzki
Niestety, nawet najlepsze rozwiązania technologiczne zawodzą, jeśli pracownicy nie zachowują się odpowiedzialnie.
— Zwykle źródłem problemów są sami użytkownicy. Bardzo częstą praktyką jest pobieranie aplikacji bez zwrócenia uwagi, jakich uprawnień i zezwoleń wymaga jej instalacja. Świadomość zagrożeń, jakie może to na firmę sprowadzić, jest zbyt niska i przegrywa z chęcią posiadania np. nowej gry. Oczywiście nie wszystkie tego typu działania prowadzą do ściągnięcia wirusów czy tzw. szpiegów, ale warto pomyśleć o takiej ewentualności przed pobraniem funkcji spoza pakietu — ostrzega Adam Duda, inżynier z Epicor Software Poland.
Dlatego tzw. konsumeryzacji IT powinno towarzyszyć edukowanie pracowników — zarówno w zakresie obsługi urządzeń mobilnych, jak i firmowych procedur bezpieczeństwa. Zdaniem Jerzego Oleksiewicza z Sofrecom Polska, problem jest brak świadomości zagrożeń nie tylko wśród użytkowników urządzeń, ale nieraz także w samym biznesie i u projektantów nowych rozwiązań. Na potwierdzenie tej tezy przytacza pomysł wprowadzenia nowej funkcjonalności systemu informatycznego — możliwości logowania się użytkownika do systemu bankowego przy pomocy Facebooka i smartfona.
— Z pozoru to funkcjonalność jak najbardziej potrzebna i na czasie. Pojawia się jednak pewne ale — bank, który wdrożyłby takie rozwiązanie, straciłby typowy mechanizm tzw. podwójnego uwierzytelnienia poprzez SMS, gdyż użytkownik dostawałby tego SMS-a na telefon, który przecież bardzo często jest automatycznie zalogowany do Facebooka. Taki negatywny przykład powinien zobrazować użytkownikom końcowym możliwe zagrożenia, zwłaszcza że chodzi też o osobisty rachunek bankowy. To chyba wystarczający impuls do poprawy edukacji w dziedzinie poufności danych i wymaganych zabezpieczeń — mówi Jerzy Oleksiewicz.