Bezpečnosť tabletov a smartfónov

10 pravidiel na ochranu mobilných zariadení vo firmách

9222_Ampliada.jpg 1. Bez­peč­nos­tná po­li­ti­ka

Kaž­dé za­bez­pe­če­nie je len ta­ké dob­ré, aký dob­rý je je­ho naj­slab­ší člá­nok. V rám­ci pod­ni­ko­vej in­for­mač­nej ar­chi­tek­tú­ry ten­to fakt pla­tí tak pre mo­bil­né za­ria­de­nia vlas­tne­né fir­mou, ako aj pre za­ria­de­nia vlas­tne­né za­mes­tnan­ca­mi. Je te­da veľ­mi dô­le­ži­té sta­no­viť rá­mec pri pou­ží­va­ní mo­bil­ných za­ria­de­ní a de­fi­no­vať bez­peč­nos­tné pra­vid­lá, tzv. bez­peč­nos­tnú po­li­ti­ku. Ani naj­lep­šie pra­vid­lá však sa­my ose­be nes­ta­čia, ich dodr­žia­va­nie mu­sí byť prie­bež­ne kon­tro­lo­va­né, a to pa­sív­ne i ak­tív­ne.

2. Vzde­lá­va­nie

Všeo­bec­ne sa za veľ­mi vý­znam­né bez­peč­nos­tné ri­zi­ko po­va­žu­je ľud­ský fak­tor. Z toh­to dô­vo­du je ne­vyh­nut­né pra­vi­del­né vzde­lá­va­nie pou­ží­va­te­ľov v prob­le­ma­ti­ke bez­peč­nos­ti. Mu­sia po­cho­piť, že mo­bil­né za­ria­de­nia sí­ce nie sú kla­sic­ké osob­né po­čí­ta­če, ale aj in­te­li­gen­tným te­le­fó­nom hro­zí ve­ľa ne­bez­pe­čen­stiev - od podvr­hnu­té­ho kó­du až po zneu­ži­tie pla­te­ných SMS správ. Prie­bež­né vzde­lá­va­nie mu­sí ta­kis­to zba­viť pou­ží­va­te­ľov po­ci­tu fa­loš­nej is­to­ty, že prá­ve im sa bez­peč­nost­ný in­ci­dent ne­mô­že stať. Sa­moz­rej­má by ma­la byť edu­ká­cia v ob­las­ti zá­klad­ných pra­vi­diel (ne­pos­ky­to­vať ni­ko­mu bez­peč­nos­tné kó­dy, ne­ne­chá­vať mo­bil­né za­ria­de­nia bez do­zo­ru a pod.). Vy­ško­le­ný pou­ží­va­teľ na­vy­še ove­ľa viac chá­pe nut­nosť dodr­žia­vať sta­no­ve­né bez­peč­nos­tné po­li­ti­ky.

3. Ak­tua­li­zá­cia

Maximál­ne mož­né za­bez­pe­če­nie aké­ho­koľ­vek za­ria­de­nia veľ­mi úz­ko sú­vi­sí s je­ho pra­vi­del­nou ak­tua­li­zá­ciou. Ne­vyh­nut­né je udr­žia­vať v ak­tuál­nej po­do­be fir­mvér aj vy­uží­va­né ap­li­ká­cie, pri­ro­dze­ne, ok­rem prí­pa­dov, keď ak­tua­li­zá­cia nie je žia­du­ca. Vhod­né ta­kis­to je, ak má fi­rem­ná infra­štruk­tú­ra pros­tried­ky na vnú­te­né ak­tua­li­zá­cie bez ak­tív­ne­ho prís­tu­pu kon­krét­ne­ho kon­co­vé­ho pou­ží­va­te­ľa. Na­neš­ťas­tie niek­to­rí vý­rob­co­via a ko­mu­ni­kač­ní ope­rá­to­ri ak­tua­li­zá­ciu neu­mož­ňu­jú. V ta­kých­to prí­pa­doch je prob­le­ma­ti­ka ak­tua­li­zá­cie veľ­mi zá­vis­lá od mož­ných kom­pro­mi­sov a in­di­vi­duál­nych do­hôd.

4. Bez­peč­ný prís­tup

Mo­bil­né za­ria­de­nia sa pou­ží­va­jú na rôz­nych mies­tach a k inter­ne­tu oby­čaj­ne pris­tu­pu­jú cez bez­drô­to­vé sie­te. Len­že o kva­li­te za­bez­pe­če­nia voľ­ne prís­tup­ných sie­tí Wi-Fi (na le­tis­kách, v auto­bu­soch a pod.) si ne­mož­no ro­biť preh­na­né ilú­zie. Ak sa na prís­tup k fi­rem­nej infra­štruk­tú­re vy­uží­va ne­za­bez­pe­če­ná sieť, bez­peč­nost­ný in­ci­dent mô­že byť di­elom oka­mi­hu. Je pre­to veľ­mi žia­du­ce, aby prís­tup do fi­rem­nej sie­te pre­bie­hal pros­tred­níc­tvom za­bez­pe­če­ných ka­ná­lov, nap­rík­lad po­mo­cou VPN. Vy­uži­tie tých­to ka­ná­lov by ma­lo byť pre pou­ží­va­te­ľov mo­bil­ných za­ria­de­ní po­vin­né.

5. Dô­ve­ry­hod­né zdro­je

In­šta­lá­cia aké­ho­koľ­vek prog­ra­mo­vé­ho vy­ba­ve­nia by ma­la byť umož­ne­ná len z dô­ve­ry­hod­ných zdro­jov, v ideál­nom prí­pa­de z je­di­né­ho mies­ta. Vý­hod­né pre­to je, ak mô­že fir­ma pre­vádz­ko­vať vlast­ný in­šta­lač­ný zdroj ap­li­ká­cií. Ná­roč­nosť z poh­ľa­du sprá­vy je mno­ho­ná­sob­ne vy­vá­že­ná vý­znam­ným zní­že­ním bez­peč­nos­tných ri­zík sú­vi­sia­cich s in­šta­lá­ciou ne­dos­ta­toč­ne pre­ve­re­ných ap­li­ká­cií. Aj tá naj­zná­mej­šia ap­li­ká­cia, po­va­žo­va­ná za úpl­ne bez­peč­nú, mô­že byť v ne­dô­ve­ry­hod­ných in­šta­lač­ných zdro­joch kom­pro­mi­to­va­ná.

6. Ak­tív­na ochra­na

Dô­le­ži­tá sú­časť za­bez­pe­če­nia mo­bil­ných za­ria­de­ní je vy­uží­va­nie ak­tív­nych pr­vkov, naj­mä v po­do­be špe­cia­li­zo­va­ných, tzv. anti­mal­vé­ro­vých ap­li­ká­cií. Spo­lu s tým, ako ras­tie zá­ujem o mo­bil­né plat­for­my, nap­rík­lad o sys­tém An­droid, sa roz­ši­ru­je aj vý­skyt škod­li­vé­ho sof­tvé­ru pre tie­to za­ria­de­nia. Ak­tív­na ochra­na však bu­de účin­ná len vo chví­li, ak bu­de aj tá po­dlie­hať na­ria­de­niam o pra­vi­del­nej ak­tua­li­zá­cii a pou­ží­va­te­lia si bu­dú uve­do­mo­vať sú­vi­sia­ce ri­zi­ká. Opäť veľ­ká vý­ho­da je, ak sú pros­tried­ky ak­tív­nej ochra­ny vy­nú­ti­teľ­né z fi­rem­nej in­for­mač­nej ar­chi­tek­tú­ry.

7. Žiad­ny jailbrea­king

Množ­stvo mo­bil­ných za­ria­de­ní má za­ká­za­né fun­kcie ope­rač­né­ho sys­té­mu, kto­ré by moh­li byť zdro­jom bez­peč­nos­tné­ho ri­zi­ka. Ide nap­rík­lad o zne­mož­ne­nie in­šta­lá­cie nep­re­ve­re­ných ap­li­ká­cií či pria­me­ho prís­tu­pu k úlož­né­mu za­ria­de­niu. Tie­to ob­me­dzenia sa da­jú obísť špe­ciál­nou úp­ra­vou za­ria­de­nia, tzv. jailbrea­kin­gom. Ta­kú­to úp­ra­vu tre­ba v rám­ci bez­peč­nos­tných po­li­tík strik­tne za­ká­zať.

8. Šif­ro­va­nie

Kaž­dé mo­bil­né za­ria­de­nie mož­no stra­tiť, kaž­dé sa dá uk­rad­núť. Vplyv ta­kej­to stra­ty mô­že byť ne­do­zer­ný vo chví­li, keď dô­le­ži­té dá­ta nie sú za­šif­ro­va­né a prís­tup k nim nie je dos­ta­toč­ne za­bez­pe­če­ný. V eš­te hor­šej si­tuá­cii mô­že no­vý ma­ji­teľ zís­kať prís­tup aj do ďal­ších sys­té­mov - od prís­tu­pu k fi­rem­nej poš­te až po ban­ko­vý účet. Pou­ží­va­te­lia by si pre­to ma­li dá­ta v mo­bil­ných za­ria­de­niach šif­ro­vať a prís­tup k za­ria­de­niu chrá­niť sil­ným hes­lom. K dis­po­zí­cii sú na­vy­še ap­li­ká­cie, kto­ré umož­ňu­jú za­ria­de­nia v prí­pa­de stra­ty či krá­de­že ov­lá­dať na di­aľ­ku, nap­rík­lad po­mo­cou SMS sprá­vy. Kom­plet­né zma­za­nie dát po­tom mož­no vy­ko­nať aj vte­dy, keď už vlas­tník ne­má za­ria­de­nie fy­zic­ky pri se­be.

9. Clou­dy - áno či nie?

Al­ter­na­tí­vu k ulo­že­niu dát v mo­bil­nom za­ria­de­ní pred­sta­vu­je ulo­že­nie v pros­tre­dí clou­du. No je dô­le­ži­té, aký cloud sa vy­uží­va. Cit­li­vé dá­ta by ma­li byť v ideál­nom prí­pa­de ulo­že­né v ove­re­nom či eš­te lep­šie v pri­vát­nom clou­de. Ve­rej­né clou­dy sí­ce ne­mu­sia byť ne­dô­ve­ry­hod­né, ale ri­zi­ko prí­pad­né­ho bez­peč­nos­tné­ho in­ci­den­tu v po­do­be kom­pro­mi­tá­cie dát je pri tom­to ty­pe clou­du vy­ššie. Pou­ží­va­te­lia by pre­to ma­li byť dos­ta­toč­ne oboz­ná­me­ní s roz­diel­mi me­dzi jed­not­li­vý­mi typ­mi clou­dov.

10. Neus­tu­po­vať

Pos­led­né, ale ne­me­nej dô­le­ži­té pra­vid­lo je neus­tu­po­vať. Nik­dy by ne­ma­li de­fi­no­va­né bez­peč­nos­tné pra­vid­lá us­tú­piť slo­bo­de pou­ží­va­te­ľov. Za­bez­pe­če­nie mo­bil­ných za­ria­de­ní mu­sí byť v rám­ci pod­ni­ko­vej in­for­mač­nej ar­chi­tek­tú­ry ria­de­ný a jas­ne de­fi­no­va­ný pr­vok. Ak ne­ja­ké za­ria­de­nie ale­bo pou­ží­va­teľ sa nech­ce tým­to pra­vid­lám po­dria­diť, je ove­ľa lep­šie ho do fi­rem­né­ho pros­tre­dia vô­bec ne­pus­tiť.

Thomas Lippert .jpg Tho­mas Lip­pert
Se­nior Pro­duct Ma­na­ger,
Sop­hos

Zdroj: IW 3/2013



Ohodnoťte článok:
 
 
 

24 hodín

týždeň

mesiac

Najnovšie články

In­for­mač­ná bez­peč­nosť: Geog­ra­fic­ky dis­tri­buo­va­ná ochra­na dát
Ako minimalizovať výpadok IT služieb a stratu dát v dôsledku nepriaznivých udalostí. Zatiaľ čo v predošlej dekáde stačilo chrániť pred výpadkom niektoré aplikácie.  čítať »
 
Pla­te­ná rek­la­ma vs. op­ti­ma­li­zá­cia SEO – vý­ho­dy, ne­ga­tí­va, mož­nos­ti
Špecialisti na SEO tvrdia, že správnou optimalizáciou webu máte šancu získať oveľa viac ako platenou reklamou. Naproti tomu experti na platenú reklamu argumentujú dosahovaním rýchlych a merateľných výsledkov. čítať »
 
Ar­chi­tekt vs Pro­jek­to­vý ma­na­žér - spo­jen­ci, či ne­pria­te­lia?
Tieto roly existujú v každom väčšom projekte, ale napriek tomu ich spolupráca často neprebieha tak hladko ako by sa očakávalo. Je dôvod v samotných rolách, alebo leží úplne inde? čítať »
 
Ap­pli­ca­tion De­li­ve­ry – efek­tív­na ochra­na pro­ti hac­ke­rom a op­ti­ma­li­zá­cia vý­ko­nu slu­žieb
Sú vaše webové služby chránené proti hackerom? Programátori často urobia chyby, ktoré dokážu útočníci zneužiť.   čítať »
 
Cloud com­pu­ting: Oča­ká­va­nia a reali­ta, preh­ľad pos­ky­to­va­te­ľov (Ama­zon, Goog­le, IBM, Mic­ro­soft)
Cloud computing, technológia predstavujúca model zdieľania hardvérových zdrojov pomocou virtualizácie a automatizácie, v súčasnosti naberá rýchlosť pri globálnom rozširovaní sa do celého spektra sektorov poskytujúcich obrovské množstvo služieb. čítať »
 
Dá­ta nie sú len ved­ľaj­ším pro­duk­tom pre­vádz­ky IS
Na otázku, ako stručne hodnotíte informačný systém vašej organizácie, by sme dostali mnoho rôznych odpovedí. čítať »
 
BYOD pod­po­ru­je ino­vač­né ini­cia­tí­vy ta­len­to­va­ných za­mes­tnan­cov
Jeden z charakteristických atribútov trendu BYOD je možnosť vynútenia technologického pokroku v IT podpore biznisu „zdola", najčastejšie zo strany mladších používateľov. čítať »
 
Li­cen­čnú čis­to­tu je ťaž­ké us­trá­žiť
Pre licenčného manažéra je znalosť aktuálnych licenčných podmienok od dvoch až troch výrobcov softvéru na všetok využívaný softvér v spoločnosti nedosiahnuteľná méta. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter