CyberbezpieczeństwoExecutive ViewPointPolecane tematy
Fizyczne bezpieczeństwo urządzeń mobilnych nie wystarczy
Executive Viewpoint
Z Tomaszem Mańka, Presales Team Managerem w Innergo Systems, rozmawiamy o zarządzaniu flotą urządzeń mobilnych w modelu Enterprise Mobility Management (EMM), a więc kontrolowaniu nie tylko fizycznego bezpieczeństwa smartfonów i tabletów, lecz także aplikacji oraz kwestii związanych z zapobieganiem wyciekom danych (DLP), czy też tego, jakie urządzenia – i pod jakimi warunkami – mają mieć dostęp do zasobów firmowych.
Nie możemy ograniczać się wyłącznie do bezpieczeństwa fizycznego, czyli blokowania dostępu do niego kodem lub szyfrowania zapisanych na nim danych. Musimy dziś kontrolować również to, kto ma dostęp do urządzenia, z jakich aplikacji korzysta, a także w jaki sposób stosowane smartfony i tablety łączą się z siecią firmową, do jakich zasobów mają dostęp. Staje się to tym istotniejsze, że coraz częściej użytkownicy mają dostęp do aplikacji i danych w chmurze, znajdujących się całkowicie poza kontrolą wewnętrznego działu IT.
Na czym powinno polegać dziś bezpieczeństwo urządzeń mobilnych?
Nie możemy ograniczać się wyłącznie do bezpieczeństwa fizycznego, czyli blokowania dostępu do niego kodem lub szyfrowania zapisanych na nim danych. Musimy dziś kontrolować również to, kto ma dostęp do urządzenia, z jakich aplikacji korzysta, a także w jaki sposób stosowane smartfony i tablety łączą się z siecią firmową, do jakich zasobów mają dostęp. Staje się to tym istotniejsze, że coraz częściej użytkownicy mają dostęp do aplikacji i danych w chmurze, znajdujących się całkowicie poza kontrolą wewnętrznego działu IT. Nie da się przekierować całego ruchu do i z chmury przez sieć firmową. Konieczne staje się zainstalowanie agenta systemu MDM (Mobile Device Management) lub EMM (Enterprise Mobility Management) na urządzeniu mobilnym. Dzięki temu możliwe jest zapewnienie dostępu do aplikacji i danych w sposób zgodny z polityką bezpieczeństwa firmy.
Jaka dokładnie jest rola agenta MDM/EMM?
To jeden z elementów systemu bezpieczeństwa urządzeń mobilnych. Trzeba jednak pamiętać, że nie służy on tylko do tego, aby mieć kontrolę nad ich fizycznym bezpieczeństwem czy do zdalnej konfiguracji. Może być również pośrednikiem do uwierzytelniania z usługą chmurową, pozwalając – lub nie – na dostęp do niej. Agent systemu MDM/EMM ma też wiedzę o stanie urządzenia. Dotyczy to informacji o: aktualnej wersji systemu operacyjnego, czy nie został on „złamany”, zainstalowanych aplikacjach, a także czy są one zgodne z polityką bezpieczeństwa organizacji. Pozwala to agentowi zbudować swego rodzaju kontekst, na podstawie którego ocenia, czy urządzenie spełnia warunki, aby mieć dostęp do zasobów firmowych, czy nie.
Jakie są kolejne elementy kompleksowego systemu bezpieczeństwa urządzeń mobilnych?
To przede wszystkim ochrona aplikacji, z których korzystamy. Musi ona jednak uwzględniać to, czego dziś potrzebują użytkownicy. Dotyczy to m.in. możliwości skorzystania z urządzeń firmowych do celów prywatnych lub używania w pracy własnych smartfonów i tabletów w tzw. modelu BYOD (bring your own device). IT nie może więc blokować ich funkcjonalności. Nie może też zabronić korzystania z dostępnych publicznie aplikacji, w tym oferowanych w modelu cloud computing. Musi mieć jednak kontrolę nad bezpieczeństwem danych firmowych i dostępem do firmowej sieci. Dlatego powstała koncepcja konteneryzacji, czyli wydzielenia na urządzeniach mobilnych dwóch partycji: prywatnej i służbowej. Separacja ta przeprowadzana jest na różne sposoby. Nie jest to jednak zbyt wygodne rozwiązanie dla użytkownika.
Alternatywną koncepcją jest podział aplikacji na prywatne i te zarządzane przez dział IT. Tego typu podział pozwala lepiej chronić wewnętrzne zasoby firmy. Dział IT może bowiem wybrać, które z aplikacji na urządzeniu mobilnym mogą korzystać z połączenia za pośrednictwem VPN z siecią firmową. Można też budować profile, przydzielając każdej aplikacji dostęp do konkretnych zasobów, np. serwera poczty elektronicznej. Podział aplikacji na prywatne i zarządzane zapobiega również wymianie danych pomiędzy częścią prywatną i służbową. Jednocześnie użytkownik może płynnie „przerzucać” się między funkcjonalnościami smartfona lub tabletu wykorzystywanymi w pracy, a tymi, z których korzysta prywatnie.
W jaki sposób chronione są dane firmowe na urządzeniach mobilnych?
Mechanizmów jest bardzo dużo. Podstawowy ogranicza możliwość dzielenia się danymi tylko do aplikacji zarządzanych. Ograniczamy w ten sposób możliwość przekazywania zapisanych informacji, np. dołączania plików służbowych w prywatnych aplikacjach. Dzieje się to w sposób płynny i nieuciążliwy dla użytkowników. Dodatkowe zabezpieczenie to szyfrowanie danych, np. załączników do poczty elektronicznej. Nawet jeśli użytkownik prześle je do osoby nieupoważnionej, to nie będzie ona mogła go otworzyć bez stosownego certyfikatu. Tego zaś już przekazać nie można, bo dział IT ma kontrolę nad ich wydawaniem i zarządzaniem nimi.
Rozumiem, że w przypadku systemów MDM/EMM nie ma znaczenia, czy są one prywatne, czy też pracownicy otrzymali je od pracodawcy?
Dajemy klientom możliwość korzystania z systemów MDM/EMM w środowisku mieszanym. Nie ma więc znaczenia, czy to urządzenia służbowe, czy prywatne. Warto jednak podkreślić, że w każdym przypadku część prywatna pozostanie nienaruszona. W rozwiązaniach MDM/EMM stosowane są jasne reguły. Dzięki temu użytkownicy urządzeń mobilnych nie mają obaw co do naruszenia swojej prywatności. Można dokonać nawet rozdziału między zdjęciami, które wykonywane są wbudowanym w urządzenie mobilne aparatem, a tymi robionymi dedykowaną aplikacją zarządzaną, stosowaną np. do inwentaryzacji.
Czy systemy Enterprise Mobility Management mogą chronić tylko smartfony i tablety, czy także notebooki?
Ochroną można objąć wszystkie komputery przenośne działające pod kontrolą systemów Windows 10 i Mac OS. Zarządzać nimi – podobnie jak smart fonami i tabletami – można za pośrednictwem jednej konsoli. Dzięki temu można je zablokować, a nawet usunąć z nich zdalnie dane firmowe. Jest to o tyle ważne, że notebooki stają się standardem, zastępując komputery stacjonarne, a w związku z tym często są wynoszone przez pracowników poza siedzibę firmy. W kontekście Rozporządzenia o Ochronie Danych Osobowych muszą więc być chronione, podobnie jak i przechowywane na nich dane.
Tym, co jest ważne w przypadku funkcjonalności systemów MDM/EMM, jest możliwość integracji ich z innymi rozwiązaniami stosowanymi w firmie, np. zarządzającymi prawami dostępu do sieci. Pozwala to dużo łatwiej przyznawać je poszczególnym użytkownikom i należącym do nich urządzeniom mobilnym. Można również zablokować im dostęp do sieci, gdy nie spełniają wymogów polityki bezpieczeństwa organizacji, mając nieaktualną wersję systemu operacyjnego lub oprogramowania antywirusowego. Dziać się tak może np. gdy pracownicy zbyt długo przebywali poza siedzibą firmy.
Jaka jest różnica między systemami Mobile Device Management, a Enterprise Mobility Management?
Systemy klasy MDM mają podstawowe, typowo statyczne funkcje. Dużo pełniejszą ochronę – w tym gwarancję bezpieczeństwa aplikacji – oferują rozwiązania klasy EMM. Można przyjąć, że systemy MDM, służące do zarządzania urządzeniami mobilnymi w przedsiębiorstwie, są częścią bardziej kompleksowych systemów EMM do zarządzania całą mobilnością firmy. Świetnym przykładem może być produkt VMware o nazwie Workspace ONE, który obejmuje zarządzanie flotą mobilną, aplikacjami, dokumentami, czy nawet pocztą elektroniczną. Wdrażając i integrując te rozwiązania u naszych klientów, widzę, jak precyzyjnie możemy odpowiadać na potrzeby przedsiębiorstw, które słusznie traktują bezpieczeństwo, jako integralną część rozwoju biznesu.
Czy systemy MDM/EMM można wynająć?
Oczywiście, mamy w ofercie tego typu usługę. W jej ramach dostarczamy konsolę do zarządzania urządzeniami mobilnymi. Pomagamy także ją skonfigurować, ustawić odpowiednie profile dla konkretnych grup urządzeń lub użytkowników. Nasza rola w tym zakresie nie jest jedynie wykonawcza, ale też doradcza! W końcu dopasowanie rozwiązania do potrzeb i możliwości firmy jest kluczowe. Klient nie musi utrzymywać tego typu rozwiązań u siebie. Nie musi dbać o ich aktualizację czy testy – dokonywanych bardzo często w środowiskach mobilnych – zmian. Tymczasem każda z nich wymaga przygotowań, testów wewnętrznych, okna serwisowego itp. W modelu usługowym możemy dostarczyć nie tylko system MDM/EMM, lecz także urządzenia mobilne.