Devět bezpečnostních tipů pro ochranu mobilních uživatelů

29. 11. 2011

Sdílet

 Autor: © Yuri Arcurs - Fotolia.com
Moderní profesionál je vždy připojen a jeho pracovištěm je stále častěji libovolné místo v terénu -- může to být letiště nebo třeba jeho bydliště. S novou flexibilitou však firmám hrozí i nová rizika zabezpečení IT.

Základní ochrana jako antivirus je důležitá, ale pro ochranu korporátních dat před stále vynalézavějšími hackery není dostatečná.

Jak mohou mobilní uživatelé lépe chránit informace, když jsou mimo firemní kancelář? Ochrana korporátních a osobních dat vyžaduje, aby byli zaměstnanci na stráži. Přinášíme devět tipů pro zabezpečení uživatelů a korporátních dat v terénu. Jejich použití pomůže uniknout největším hrozbám na cestách.

Tip 1: Používejte šifrování disku notebooku
Jednou z prvních obranných linií je zabezpečit data uložená na pevném disku notebooku tak, aby bylo pro útočníky nemožné získat je ze zařízení, které se dostane mimo kontrolu jeho uživatele.

Se vzrůstajícím počtem notebooků v pracovním ekosystému se zvýšila důležitost šifrování. Bez jeho řádné implementace je pro útočníka heslo pouze zdvořilou prosbou, aby nepřistupoval k datům.

Tip 2: V notebooku nastavte v systému BIOS hesla a pořadí pro spuštění systému
Většina lidí má uzamčeny své účty v systému Windows, ale co systém BIOS? První věcí, co zkušený útočník zkusí provést, je spustit systém odjinud než z pevného disku (z USB zařízení, CD atd.) a už může slídit.

Existuje několik postupů, které to mohou ztížit. Jedním z nich je nastavit pevný disk v seznamu spouštění systému BIOS na první místo a poté ochránit systém BIOS heslem, aby toto nastavení nikdo nemohl změnit.

Pokud útočník notebook ukradl, stále může použít účinnější postupy, jako je vyjmutí pevného disku (ale ten je, doufejme, šifrovaný – viz „Tip 1“ výše). Změna pořadí pro zavádění systému ztíží situaci útočníkovi, který má k počítači jen krátkodobý přístup.

Tip 3: Zkontrolujte způsob resetování hesel a vyškolte zaměstnance
Model používání biografických informací pro reset hesla je zcela špatný. Jméno oblíbeného domácího mazlíčka zaměstnance, povolání otce nebo matčino jméno za svobodna jsou nyní mnohem snáze zjistitelné než dříve: útočníci mohou informace vydolovat ze sociálních sítí a z veřejných záznamů dostupných na internetu.

Pro zaměstnance je velmi důležité školení, aby viděli, že reset hesla na jejich korporátních a osobních účtech může způsobit ztrátu ochrany. Představte si, že zapomněli všechna hesla k e-mailu, notebooku atd. Jak provedou jejich reset? Jaké otázky jim budou položeny? Mohl by někdo zjistit odpovědi někde na internetu?

Pokud ano, je čas změnit tyto otázky a odpovědi. Pokud účet jen zašle reset hesla e-mailem, potom se zeptejte: jak by pro někoho bylo těžké provést reset e-mailového hesla?

Tip 4: Vzdělávejte zaměstnance v oblasti rizik ve veřejných sítích Wi-Fi
Bezplatné nástroje překypují funkcemi pro odposlouchávání veřejných sítí Wi-Fi. Zaměstnanci by toto měli mít na paměti a používat preventivní opatření během práce s citlivými informacemi – přístup k e-mailu, vyhledávání atd.

Mobilní uživatelé by vždy měli zajistit, že je e-mail odesílán a přijímán prostřednictvím šifrovaného kanálu (VPN, webový e-mail přes SSL atd.). Pro korporátní e-mail by to měla být jediná možná cesta pro přijímání zpráv.

Realitou však je, že někdy jsou zásady obcházeny ve jménu produktivity. Jedním z běžných příkladů je zasílání korporátních dokumentů na osobní e-mailové účty, takže k nim je snadnější přístup a lze s nimi snáze pracovat mimo firmu. Pokud akceptujete, že činnosti související s prací mohou být prováděny bez připojení prostřednictvím VPN či mimo schválená zařízení, je důležité vzdělávat zaměstnance o rizicích a pomoci jim volit bezpečnější postupy.

Tip 5: Zapněte automatickou instalaci oprav
Máte možná zapnutou automatickou aktualizaci systému Windows a sady Office, ale co zbytek softwaru ve vašem počítači? Útočníci diverzifikují své strategie pro nakažení počítačů, takže je důležité udržovat aktuálnost všech oprav pro veškerý software.

V minulosti riziko automaticky instalované vadné opravy (takové, která by způsobila selhání počítače) převážilo nad rizikem ponechání nechráněného systému do doby, než byla oprava důkladně otestována. U mobilních uživatelů je nutno tento kompromis přehodnotit u klíčových aplikací.

Tip 6: Chraňte vizuální soukromí
Citlivá data mohou být případně zobrazena na displeji notebooku, ale chrání je přitom mobilní uživatelé nějakým způsobem? Se vzrůstající kvalitou fotoaparátů chytrých telefonů je nyní pro zloděje dat a konkurenty snadnější získat čitelné fotografie zobrazených dat na dálku, a to zvyšuje důležitost ochrany vizuálního soukromí.

Natočení obrazovky mimo výhled veřejnosti a případně používání filtrů na displeje pro zajištění soukromí mohou pomoci riziko snížit, ale profesionálové musí mít neustále na zřeteli prostředí, kde přistupují k informacím, které by mohly mít hodnotu pro někoho jiného. To je obzvláště důležité na konferencích a seminářích, kde lidé ze stejného oboru bývají vzájemně velmi blízko.

Tip 7: Dávejte pozor na únik informací přes sociální sítě
Během cestování je snadné odhalit až příliš mnoho informací. Nejběžnější chybou zaměstnanců je, že odhalují informace o své geografické poloze. Zmínka, že jste v Mladé Boleslavi na schůzce, nevypadá jako velký problém, ale konkurent může snadno usoudit, že vaše společnost začíná vztah se Škodou, která je jednou z mála tamních významných firem.

Tento typ dat může být odhalen přímo – například prostřednictvím aktualizace stavu na Facebooku či Twitteru – nebo může být odhalen nepřímo pomocí nástrojů pro aktualizaci Facebooku, Twitteru či sítě LinkedIn.

Kromě polohy musí také zaměstnanci vědět, že změny ve firemních vztazích na síti LinkedIn mohou vyzradit zajímavé a velmi důvěrné informace o firmě. Pokud někdo v oddělení fúzí a akvizic najednou přidá pět lidí jako kontakty z malé společnosti prostřednictvím sítě LinkedIn, mohlo by to naznačovat budoucí vztah.

Zaměstnanci by také měli vědět, že cokoli veřejně sdělí, může být použito proti nim k získání důvěryhodnosti phishingového e-mailu. Rostoucí personalizace těchto útoků ztěžuje odlišitelnost skutečné zprávy od podvrhu. Zaměstnanci potřebují být vzděláváni o rizicích a měli by být výjimečně opatrní u e-mailů, které je žádají o zaslání citlivých informací na adresy mimo firmu.

Tip 8: Nainstalujte nástroj pro vzdálené vymazání mobilních zařízení
Co se stane, když zaměstnanec nahlásí ztrátu mobilního zařízení? Ve většině případů jsou data obsažená v zařízení mnohem důležitější a cennější než řešení samotné, zejména pokud se jedná o korporátní informace.

Většina chytrých telefonů podporuje vzdálené nevratné vymazání. Instalací vzdáleného nevratného vymazání v korporátních zařízeních (a je-li to možné v zařízeních vlastněných zaměstnanci, která mají oprávnění pro přístup do korporátního e-mailu) vytvoříte pojistku pro případ krádeže či ztráty. Mají-li útočníci neomezený přístup k zařízení, mohou však být schopni stáhnout data anebo dokonce zakázat vzdálené vymazání. To souvisí s tipem 9.

Tip 9: Zamykejte mobilní zařízení
V bitvě pohodlí versus zabezpečení často vítězí pohodlí. Když zaměstnanci používají mobilní zařízení pro přístup ke korporátním datům, je důležité je vzdělávat o důležitosti zamykání jejich zařízení. Zamknutí přístrojů je zpožďovací mechanizmus pro případ ztráty či krádeže. Trvá určitý čas vzdáleně vymazat zařízení poté, co je nahlášeno jako chybějící, nebo provést komplikovanější pokus o jeho nalezení prostřednictvím GPS.

Mnoho přístrojů lze také nastavit tak, aby se samy nevratně vymazaly po nastaveném počtu nepodařených pokusů o přihlášení. I když je zařízení nakonfigurováno pro vzdálené nevratné vymazání, jeho ponechání v nezamčeném stavu umožní zlodějům vypnout tato nastavení dříve, než budete mít šanci provést příkaz k vymazání.