Bezpečnosť tabletov a smartfónov

BYOD nemusí byť až taký cool

S pri­pá­ja­ním súk­rom­ných za­ria­de­ní do pod­ni­ko­vej sie­te sú spo­je­né nie­len vý­ho­dy, ale aj bez­peč­nos­tné, le­gis­la­tív­ne a fi­nan­čné ri­zi­ká.

K naj­väč­ším hroz­bám fi­rem­nej po­li­ti­ky Bring Your Own De­vi­ce (BYOD) pat­rí zvý­še­né ri­zi­ko úni­ku dát, či už zá­mer­né, ale­bo neú­my­sel­né. Súk­rom­né za­ria­de­nie mô­že byť in­filtro­va­né pa­to­lo­gic­kým sof­tvé­rom, kto­rý sa o to pos­ta­rá.

Kým ten­to ne­dos­ta­tok je všeo­bec­ne zná­my, už me­nej sa ho­vo­rí o tom, že za­mes­tna­nec pri­chá­dza aj o časť súk­ro­mia. Mu­sí to­tiž súh­la­siť s bez­peč­nos­tnou po­li­ti­kou za­mes­tná­va­te­ľa a umož­niť mu kon­tro­lu nad svo­jím súk­rom­ným za­ria­de­ním.

Ok­rem to­ho v mo­bil­ných te­le­fó­noch a tab­le­toch za­tiaľ ne­mož­no vždy jed­noz­nač­ne od­lí­šiť súk­rom­né dá­ta od pra­cov­ných - na roz­diel nap­rík­lad od no­te­boo­kov, pri kto­rých sa to dá do­cie­liť duál­nym boo­to­va­ním ale­bo cez sa­mos­tat­né par­tí­cie chrá­ne­né šif­ro­va­ním. Na­vy­še le­gis­la­tí­va za­tiaľ vô­bec ne­rie­ši prob­lé­mo­vé ob­las­ti, kto­ré pri­ná­ša BYOD. Poz­ri­me sa te­raz na niek­to­ré as­pek­ty bliž­šie.

Nič nie je sto­per­cen­tné

Ak to mys­lí­te s ochra­nou fi­rem­ných dát váž­ne, vždy by ste sa ma­li pý­tať, či mo­der­né bez­peč­nos­tné rie­še­nia do­ká­žu nao­zaj spo­ľah­li­vo eli­mi­no­vať hro­zia­ce ri­zi­ká. Bez­peč­nos­tné nás­tro­je mož­no roz­de­liť do dvoch sku­pín. Pr­vé pri­már­ne rie­šia sprá­vu súk­rom­ných aj fi­rem­ných mo­bil­ných za­ria­de­ní v pod­ni­ko­vej sie­ti, dru­hé sa za­me­ria­va­jú na eli­mi­ná­ciu hro­zieb po­mo­cou špe­cia­li­zo­va­ných nás­tro­jov, ako sú anti­mal­vé­ro­vé, anti­ví­ru­so­vé ale­bo anti­spa­mo­vé ap­li­ká­cie. Na­priek to­mu, že účin­nosť rie­še­ní sa neus­tá­le zvy­šu­je, o žiad­nom z nich by som si net­rú­fol po­ve­dať, že pos­ky­tu­je sto­per­cen­tnú ochra­nu.

Prá­vo sto­jí pro­ti prá­vu

Opus­ťme te­raz bez­peč­nos­tnú strán­ku prob­lé­mu a poz­ri­me sa na práv­ne as­pek­ty sú­vi­sia­ce s BYOD. Za­ria­de­nie je ma­jet­kom za­mes­tnan­ca, ale má na ňom ulo­že­né aj fi­rem­né dá­ta. Na jed­nej stra­ne má kaž­dý je­di­nec prá­vo na ochra­nu súk­ro­mia, na dru­hej aj or­ga­ni­zá­cia má prá­vo chrá­niť svo­je úda­je. Mô­že fir­ma nap­rík­lad od­ob­rať za­mes­tnan­co­vi mo­bil­ný te­le­fón v je­ho vlas­tníc­tve, keď zis­tí, že po­ru­šil bez­peč­nos­tnú po­li­ti­ku, a chce in­ci­dent vy­šet­riť? Po­kiaľ je mo­bil fi­rem­ný a za­mes­tna­nec ho dos­ta­ne s tým, že ho mô­že vy­uží­vať aj na súk­rom­né úče­ly, je si­tuácia úpl­ne od­liš­ná, ako keď si za­mes­tna­nec pri­ne­sie vlas­tné za­ria­de­nie, kto­ré si sám kú­pil.

Váž­ny zá­sah do súk­ro­mia za­mes­tnan­ca pred­sta­vu­jú aj geo­lo­kač­né služ­by. Or­ga­ni­zá­cie, kto­ré tú­to mož­nosť vy­uží­va­jú pri pod­ni­ka­ní, nap­rík­lad lo­gis­tic­ké či ku­riérske spo­loč­nos­ti, cez ne mô­žu mo­ni­to­ro­vať po­lo­hu za­mes­tnan­ca aj mi­mo pra­cov­né­ho ča­su. Le­gis­la­tív­ne vô­bec nie je up­ra­ve­né, či má, resp. ke­dy má za­mes­tna­nec prá­vo vy­pnúť geo­lo­kač­né služ­by, ak pou­ží­va súk­rom­né za­ria­de­nie.

Ďal­ší ne­vy­rie­še­ný práv­ny as­pekt, kto­rý však pre­sa­hu­je BYOD, ho­ci s ním sú­vi­sí, je spô­sob vy­uží­va­nia bez­peč­nos­tných rie­še­ní. Tie sa pos­ky­tu­jú aj for­mou clou­do­vých slu­žieb. Ako je to po­tom s ochra­nou úda­jov, keď nie je zná­me, kde sa na­chá­dza­jú? Keď k to­mu pri­dá­me eš­te ochra­nu osob­ných úda­jov, si­tuácia sa eš­te viac le­gis­la­tív­ne skom­pli­ku­je. To sú pri­tom len niek­to­ré as­pek­ty, kto­ré nie sú v prí­pa­de BYOD jed­noz­nač­ne práv­ne ošet­re­né.

BYOD nie je za­dar­mo

BYOD ne­mu­sí byť ani z fi­nan­čné­ho hľa­dis­ka ta­ký luk­ra­tív­ny, ako by sa na pr­vý poh­ľad moh­lo zdať. Pre kaž­dú or­ga­ni­zá­ciu je is­tot­ne lá­ka­vé, že ne­mu­sí in­ves­to­vať do ná­ku­pu kon­co­vých mo­bil­ných za­ria­de­ní pre svo­jich za­mes­tnan­cov, ale ako­si sa za­bú­da na to, že ich pou­ží­va­nie v pod­ni­ko­vom pros­tre­dí ne­vyh­nut­ne zvy­šu­je ná­ro­ky na sprá­vu a za­bez­pe­če­nie infra­štruk­tú­ry. Za­tiaľ som ne­čí­tal ana­lý­zu, kto­rá by po­rov­ná­va­la oba tie­to as­pek­ty. Stre­tol som sa len so štú­dia­mi, kto­ré ho­vo­ria o tom, koľ­ko pros­tried­kov mô­že fir­ma ušet­riť, no ne­na­šiel som žiad­nu, kto­rá by skú­ma­la, koľ­ko no­vých čin­nos­tí spo­je­ných s rie­še­ním bez­peč­nos­tných as­pek­tov BYOD vy­ge­ne­ru­je.

Tre­ba náj­sť rov­no­vá­hu

BYOD ur­či­te nie je vhod­ný pre všet­ky ty­py or­ga­ni­zá­cií, ale na dru­hej stra­ne sa náj­du aj ta­ké, kde má opod­stat­ne­nie. Ko­mu by som BYOD ur­či­te neod­po­rú­čal, sú fir­my, kto­ré pra­cu­jú s cit­li­vý­mi dá­ta­mi, nap­rík­lad ban­ky ale­bo pois­ťov­ne. Nao­pak, viem si pred­sta­viť, že mô­že byť pros­peš­ný pre men­šie fir­my pra­cu­jú­ce s me­nej cit­li­vý­mi dá­ta­mi, kto­ré mô­žu BYOD po­núk­nuť ako be­ne­fit svo­jim za­mes­tnan­com.

Na Slo­ven­sku je oko­lo BYOD po­mer­ne ču­lý ruch, aj keď asi ne­do­sa­hu­je až ta­ký boom ako v za­hra­ni­čí, ale aj tam už pos­tup­ne zá­ujem opa­dá. Or­ga­ni­zá­cie by vždy naj­prv ma­li zva­žo­vať, aké ri­zi­ká sa s BYOD spá­ja­jú. BYOD mô­že byť pre ne plus, ale po­tom mu­sia rie­šiť bez­peč­nosť na vy­ššej úrov­ni. Z mo­jich skú­se­nos­tí vy­plý­va, že ma­na­žé­ri nie­ke­dy o mno­hých ri­zi­kách vô­bec ne­ve­dia. Čas­to sa im roz­svie­ti kon­trol­ka až vte­dy, keď s ni­mi pri ob­chod­ných ro­ko­va­niach ro­zo­be­rá­me jed­not­li­vé as­pek­ty. Náj­sť vy­vá­že­nú mie­ru me­dzi plus­mi a mí­nus­mi nie je jed­no­du­ché, pre­to by sa mal kaž­dý prí­pad po­su­dzo­vať in­di­vi­duál­ne.

Ivan Mas­ný, CISM, CRISC
ALI­SON Slo­va­kia


Zdroj: IW 3/2013


Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

10 pra­vi­diel na ochra­nu mo­bil­ných za­ria­de­ní vo fir­mách
Každé zabezpečenie je len také dobré, aký dobrý je jeho najslabší článok. V rámci podnikovej informačnej architektúry tento fakt platí tak pre mobilné zariadenia vlastnené firmou, ako aj pre zariadenia vlastnené zamestnancami. čítať »
 
Ako ochrá­niť fi­rem­né dá­ta aj súk­rom­né úda­je v pra­cov­nom smar­tfó­ne?
Zvýšenie výpočtovej kapacity telefónov čoraz silnejšie láka používateľov, aby svoj telefón používali namiesto prenosných počítačov aj na prístup k firemným dátam. čítať »
 
Smar­tfó­ny vo veľ­kých kor­po­rá­ciách? Kto­ré a pre­čo?
Smartfón je dnes doslova zariadenie must-have pre podnikateľov, ale aj zamestnancov veľkých firiem, aby boli neustále v kontakte s pracovným prostredím. Aké sú však požiadavky na firemné telefóny v porovnaní s klasickým používateľom? čítať »
 
Prog­ra­mu­je­me GPU / 20. časť
V tomto článku uvedieme princíp fungovania nami naprogramovaného parallax shadera a takisto shadera simulujúceho pohyblivú vodnú hladinu. čítať »
 
Zdie­ľa­nie zdro­jov me­dzi OS Win­dows a OS Li­nux / 9. časť
V tejto a takisto v nasledujúcich dvoch častiach seriálu opíšeme špecifický spôsob pripojenia smartfónu k PC pomocou ad hoc siete Wi-Fi. Obsah týchto troch článkov bude určený najmä tým, ktorí radi experimentujú a chcú zo svojho smartfónu vyťažiť čo najviac. čítať »
 
Na­čí­ta­nie úda­jov z do­ku­men­tu
Aplikácie často potrebujú pracovať so všeobecnými formátmi dokumentov, ako sú napríklad obrázky či dokumenty v otvorených publikovaných formátoch. čítať »
 
DNS – zdro­jo­vé zá­zna­my
V predošlej časti sme vysvetlili, čo je to zónový súbor, aké zdrojové záznamy môže obsahovať, uviedli sme, aký formát majú, a spomenuli sme direktívy zónového súboru. Tentoraz objasníme význam a zápis jednotlivých zdrojových záznamov. čítať »
 
Kniž­né no­vin­ky
Vyskúšajte si, aké ľahké je vytvárať vlastné dokumenty, pracovať s typografickými efektmi, inteligentným formátovaním a ďalšími nástrojmi najnovšej verzie InDesignu. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter