Aż 78 proc. firm pozwala pracownikom na używanie prywatnych urządzeń mobilnych do celów służbowych. Jednocześnie w prawie połowie tych przedsiębiorstw doszło do naruszenia bezpieczeństwa IT, w tym kradzieży danych. Co godne uwagi, niemal wszystkie przypadki utraty poufnych czy ważnych informacji wynikały z jednego: specjaliści i menedżerowie mieli dostęp do korporacyjnej sieci poprzez własne smartfony, tablety i laptopy. Takie wnioski przynosi raport „IT Executives and CEO Survey Final Report”, opracowany przez dostawcę rozwiązań informatycznych Pentacomp.
— Mobilność i konsumeryzacja IT to doskonały sposób na osiągnięcie przez przedsiębiorstwa korzyści. Z tego powodu firmy coraz chętniej wdrażają tego typu rozwiązania. Są to zarówno aplikacje SFA przeznaczone do pracy na urządzeniach przenośnych, jak i systemy klasy ERP, do których dostęp można uzyskać na sprzęcie mobilnym. Tyle że z szansami i możliwościami wiążą się duże zagrożenia — ostrzega Paweł Szember, p.o. dyrektor ds. centrów przetwarzania danych w Asseco Business Solutions.
W konsumeryzacji prym wiedzie sektor TMT (technologie, media, telekomunikacja), który z definicji jest najbardziej świadomy zagrożeń czyhających na biznes w cyberprzestrzeni. Niestety — według badania „2011 TMT Global Security Study” zrealizowanego przez Deloitte — połowa spółek z tej branży ponosi zbyt niskie wydatki na bezpieczeństwo informatyczne. Jak łatwo się domyślić, w innych gałęziach gospodarki jest z tym dużo gorzej.
Procedury i szkolenia
— Firmy powinny sporządzać listy urządzeń łączących się z biznesową siecią wraz z nazwiskami ich użytkowników i ich uprawnieniami dostępu do danych — podpowiada Grzegorz Misztalewski, główny projektant w spółce Pentacomp. Nie dość tego, należy spisać zasady przechowywania informacji i „wynoszenia” ich poza przedsiębiorstwo, a także procedury postępowania w razie kradzieży. Konieczne jest również określenie scenariusza aktualizacji systemu operacyjnego i sprecyzowanie wymagań co do stosowanych haseł.
— Pracodawca ma prawo wiedzieć o każdej próbie podłączenia nowego urządzenia do swojej sieci. Trzeba tak zorganizować prawa dostępu, by pracownik musiał go poinformować o wymianie sprzętu, z którego korzysta w pracy — tłumaczy Grzegorz Misztalewski.
Ale opracowanie polityki bezpieczeństwa to jedno, a rzeczywiste jej wdrożenie to coś zupełnie innego. — Łatwiej uzyskać pożądany efekt, rezygnując z długiej listy zasad, a koncentrując się tylko na tych procedurach i standardach, co do których przedsiębiorstwo ma pewność, że musi i może je wyegzekwować — przekonuje Adam Duda, inżynier w Epicor Software Poland. Pogodzenie twardych reguł korzystania z infrastruktury informatycznej z chęcią ściągnięcia nowej gry z AppStore czy Google Play staje się szczególnie trudne, gdy ponad jedna trzecia pracowników (36 proc.) nie darzy respektem działu IT — jak wynika z raportu „Cisco Connected World Technology Report”. Adam Duda uważa, że dużą część aplikacji (szczególnie darmowych) użytkownicy powinni odrzucić zwłaszcza z powodu zbyt szerokich wymagań co do uprawnień.
— Zanim ściągniemy plik, warto się zastanowić, czy żądania kierowane do nas przez system są adekwatne do obsługi prostej aplikacji. Oczywiście nie wszystkie tego typu działania prowadzą do instalacji wirusów czy tzw. szpiegów, ale lepiej przemyśleć decyzję o pobraniu funkcji spoza pakietu — uczula Adam Duda. Źródeł nieodpowiedzialnych zachowań należy doszukiwać się nie tylko w niesubordynacji personelu, ale też w braku świadomości. Stąd nigdy dość edukowania pracowników — zarówno w dziedzinie obsługi urządzeń mobilnych, jak i korporacyjnych procedur bezpieczeństwa. Przy czym — według analityków Cisco — długie seminaria i podręczniki są nieskuteczne. Za to zdają egzamin krótsze sesje i szkolenia just-in-time, czyli potrzebne dokładnie w danym czasie.
— Trenerem wcale nie musi być ekspert zewnętrzny, który oferuje ogólną wiedzę. W dzisiejszym środowisku pracy dobrze sprawdzają się szkolenia ukierunkowane, uwzględniające aktualne potrzeby firmy, przeprowadzane przez współpracowników — twierdzi David Evans, główny specjalista ds. prognoz w Cisco.
Ufać czy kontrolować
Do niedawna przedsiębiorstwa skupiały się na blokowaniu zagrożeń „wchodzących”. Konsumeryzacja odwróciła tę tendencję — dzisiaj działy IT monitorują głównie to, co jest wysyłane z firmy, a także przez kogo i do kogo. Jednak nawet wyrafinowane systemy technologiczne, drogie szkolenia czy drakońskie kary nie uchronią instytucji biznesowej przed utratą cennych danych, jeśli użytkownicy urządzeń mobilnych nie identyfikują się z pracodawcą.
— O bezpieczeństwie należy myśleć już na etapie rekrutacji, odsiewając ludzi nieuczciwych czy zwyczajnie nieodpowiedzialnych i beztroskich. Kandydatów trzeba pytać o referencje. Sprawdzać, jak zachowywali się w poprzednich miejscach pracy — wskazuje dr Marek Suchar, prezes firmy doradczej IPK.