Jaká rizika přináší použití soukromých počítačů zaměstnanců?

Pokud by všichni uživatelé používali v práci vlastní počítače, znásobily by se problémy se zabezpečením.


Máme zde nový aspekt zabezpečení – používání počítačů své vlastní volby. Protože se připravujeme znovu projednat naše kontrakty na PC, vidí náš nový ředitel IT právě v této oblasti šanci na snížení nákladů. Zavolal mi a zeptal se mě na můj názor ohledně používání vlastních počítačů zaměstnanců a na možnost nasadit takové počítače, které by si zaměstnanci vybrali.

Každých pár let vydáváme mnoho prostředků na nákup nových PC pro naše pracovníky a většina z nich by zatím zřejmě raději využívala ty, které si vybírají sami pro sebe. Proč jim tedy nedovolit přinést si ty soukromé do práce, uvažoval náš CIO. Mohli bychom ušetřit spoustu peněz v oblasti nákladů na podporu a zaměstnanci by byli při používání počítačů a operačních systémů, které mají rádi, produktivnější.

Chtěl vědět, jestli k tomu mám z hlediska perspektivy zabezpečení nějaké připomínky. Ano, mám, a to dokonce desítky. Začal jsem vysvětlovat složitosti ohledně ochrany informací včetně podpory, utajení a problémů s legislativou.

Předně bylo neuvěřitelné uvažovat o nepřeberné různorodosti počítačů, které by se v naší síti začaly vyskytovat – potenciálně všechny, počínaje netbooky až po čtyřjádrové počítače v provedení tower s duálním napájecím zdrojem a chlazením kapalinou. Primárně využíváme prostředí Windows XP, ale užívání vlastních počítačů zaměstnanců by zaplavilo naši síť stroji se systémem Windows 7, několika verzemi systému Mac OS a snad všemi variacemi systémů Linux a Unix.

A skutečně bychom nemohli upřednostňovat tyto počítače? Pokud bychom se o to pokusili, náklady na podporu by pravděpodobně namísto poklesu rostly. Personál naší linky technické podpory by musel výrazně rozšířit své znalosti operačních systémů nebo bychom jinak museli otevřít své dveře přívalu externích servisních techniků.

Dále jsem poznamenal, že naše snaha chránit korporátní duševní vlastnictví někdy končí soudním vyšetřováním. Měli bychom právo kontrolovat soukromé počítače zaměstnanců? Stejný problém by nastával při odchodu zaměstnanců z firmy, kteří by si samozřejmě své počítače odnesli domů. Bylo by nám dovoleno zkontrolovat takový počítač, abychom zajistili, že v něm nezůstaly dokumenty nesoucí nějaké firemní intelektuální hodnoty?

A nakonec zde máme úkol udržovat bezpečnostní záplaty a aktualizovaný antivirový software, což je těžké i v našem prostředí Windows XP.

Pro případ…
Nejsem si jist, co se s touto myšlenkou do budoucna stane, ale začal jsem sepisovat své požadavky. První a nejdůležitější je použití centrálně spravovaného virtuálního desktopu. Nedovolí to žádnému počítači připojit se do naší sítě bez určité kontroly. Ale i s virtuálním desktopem si musím být jist, že operační systém a aplikace budou zabezpečeny.

Záplaty musí být aktuální a musí být nainstalován a udržován antivirový software. Pokud by oddělení IT nechtělo tento úkol plnit, doporučoval bych nasazení předběžné autorizace NAC (řízení přístupu k síti), která by donutila zařízení projít kontrolou vlastností a stavu předtím, než by došlo k jejich vpuštění do podnikové sítě.

Pro všechna zařízení, která by nesplňovala naše zásady ohledně záplatování, používání antivirové ochrany a další bezpečnostní pravidla, bychom měli vytvořenou takzvanou karanténní síť. Tam by se uživatelské počítače mohly pokoušet o uvedení do požadovaného stavu, aby v případě kladného výsledku poté mohly být připojeny do korporátní infrastruktury.

Také bychom museli požádat právní oddělení, aby nechalo všechny zaměstnance podepsat dokument, který by nás opravňoval k vyšetřování a provádění forenzních úkonů s počítači patřícími odcházejícím zaměstnancům a u uživatelů, u nichž bychom se domnívali, že může docházet k nedovoleným činnostem, jako je například krádež duševního vlastnictví.

Samozřejmě že bychom chtěli zachovat všechny původní technologie monitorování a filtrování. Pokud by zaměstnanci používali své vlastní počítače, bylo by pokušení věnovat se během pracovní doby něčemu osobnímu větší než kdykoli předtím – s implementovanými funkcemi dozoru bychom mohli kontrolovat veškeré aktivity probíhající v korporátní síti.
Budu o tom ještě dále hovořit s ředitelem IT a s kolegy z oboru a očekávám, že můj seznam obav se bude rozrůstat.

Vyšlo v Computerworldu 5/2011
Časopis lze koupit se slevou 20 %










Komentáře