Používej své vlastní zařízení (BYOD) – oddělené zóny pro firemní a osobní data

18. 11. 2013

Sdílet

 Autor: © mhristov - Fotolia.com
Organizace vidí v neomezeném přístupu k informacím nové příležitosti, ale mají problémy jej efektivně zabezpečit. Při kontrole mobilního přístupu je důležité, aby bylo zachováno soukromí uživatelů a jejich osobních data.

(PR článek)

Co dříve bývalo ve světě firemního zabezpečení poměrně uzavřeným prostorem – s možností nasadit účinnou kontrolu na kritických vstupních bodech fyzického a online přístupu – je nyní explodující, stále se zvětšující úkol. Mnoho firem a vládních organizací dnes čelí novým problémům spojeným s používáním mobilních zařízení. Jejich zaměstnanci, partneři a zákazníci chtějí přistupovat k různým zdrojům organizace odkudkoli a kdykoli pomocí nejnovějších mobilních zařízení, která mají po ruce a která využívají při své činnosti. Zatímco organizace vidí v neomezeném přístupu k informacím nové příležitosti a také možnosti k růstu produktivity, mají problémy jej efektivně zavést a zabezpečit.

V této nové éře mobilního podnikání je nejdůležitější praktičnost – která však nesmí jít na úkor bezpečnosti. Mobilní zařízení a tablety, pomocí kterých lidé přistupují k firemním zdrojům a cloudovým aplikacím, se mohou stát velmi atraktivními cíli. Současně s rostoucím množstvím mobilního malwaru, hrozeb Advanced Persistent Threats (APT)  a vysoce motivovaných, sofistikovaných útočníků, je pro firmy a úřady veřejné správy nezbytné, aby dokázaly zajistit bezpečný přístup z mobilních zařízení – tyto se nesmí stát slabým článkem. Při kontrole mobilního přístupu je však zároveň důležité, aby bylo zachováno soukromí uživatelů a jejich osobních data.

Možným řešením může být vytvoření oddělených bezpečnostních oblastí nebo zón pro osobní a pracovní data. Koncepce oddělených zón založených na klasifikaci dat umožňuje organizacím zabezpečit firemní aktiva uložená v osobních mobilních zařízeních. Nejdříve si se souhlasem uživatele vytvoří vzdáleně spravovanou zónu uvnitř zařízení, která bude zašifrovaná a následně mohou na základě vlastní politiky omezit interakci mezi zónou obsahující firemní data a zbytkem zařízení. Všechny aplikace a přístupové identifikátory jsou pro osobní a firemní použití zcela odděleny. Řešení lze obvykle doplnit o dodatečnou vrstvu zabezpečení, která využívá dvoustupňovou či dvoufaktorovou autentizaci pro přístup k aplikacím a datům uloženým v dané oddělené korporátní  zóně.

Díky izolaci firemních dat používaných zaměstnanci v zašifrované zóně se přehledně a bezpečně oddělí osobní informace od firemních. Společnost  vymezí jaká data budou dostupná a předem stanoví přístupová práva uživatelů s ohledem na provozní potřeby. Na základě toho budou moci účinně kontrolovat a spravovat data v těchto mobilních zařízeních a  mohou si být jisté, že data se budou zobrazovat pouze určeným osobám. Tvůrci politiky mohou navíc zpřísnit  nebo zmírnit parametry této zóny podle chování každého uživatele porovnáním s údaji v databázi identit a vytvořit tím  konzistentnější a bezpečnější pocit uživatele. Zaměstnanec má také záruku, že jeho osobní údaje jsou chráněny a nebudou po jeho odchodu z organizace smazány.

Nedávný průzkum společnosti Forrester prokázal, že 60 procent incidentů spojených s únikem firemních dat způsobují zaměstnanci nevědomky, ať už se jedná o „neúmyslné zneužití‟, ztrátu nebo krádež zdrojů. Díky politice oddělení dat a aplikačních zón společně s vícevrstvým zabezpečením přístupu a autentizací se organizacím nabízí skutečně komplexní „end-to-end“ mobilní zabezpečení a prevence rizik spojených s únikem dat. Organizace již nebudou mít své zdroje uloženy za tradičním bezpečnostním firewallem a budou tedy rovnocenně přistupovat k osobám, majetku a prostředkům, což jim v důsledku umožní koordinovaněji spravovat identity uživatelů a přístupová práva v rámci pracovního prostředí. Samozřejmě že kvůli rozmanitosti uživatelů a různorodosti zařízení používaných k přístupu k obchodním datům není jednotný přístup k zabezpečení dat vždy možný ani praktický. Účinná bezpečnostní politika se proto musí vytvořit na základě přesného určení, kdo přistupuje k informacím a zda má oprávnění tak učinit.

Z hlediska mobilních zařízení lze společně s vytvořením oddělených zón pro firemní data využít tři možné prvky ověření identity. První je autentizace samotného zařízení – kdy uživatel například zapne svůj telefon a naťuká PIN, kterým jej aktivuje. Druhým je autentizace přístupu ke zdrojům, které jsou v mobilním zařízení nebo přístupné pomocí daného zařízení. A třetím prvkem by mohla být autentizace do firemní aplikace nebo datové zóny. Dle osvědčených postupů by měla být v tomto případě použita dvoustupňová či dvoufaktorová autentizace. Dvoufaktorovou autentizaci, která obvykle byla spojována pouze s fyzickými tokeny pro generování jednorázových hesel (OTP), lze nyní zajistit pomocí „softwarových tokenů‟ instalovaných přímo v mobilních zařízeních. V zájmu snadnějšího přístupu k informacím prostřednictvím jednoho zařízení lze tyto identifikátory propojit s dalšími bezpečnostními vrstvami – například s autentizací založenou na chování (způsobu zadávání dat) nebo autentizací přiložením stávajících bezkontaktních vstupních karet na mobilech nebo tabletech podporujících technologii NFC.

Na pozadí moderních bezpečnostních hrozeb - od trendů rizik neoprávněného přístupu jako BYOD (používání vlastních zařízení) po neúnavnou aktivitu externích hackerů - je přijetí praktického řešení, jako je vytváření oddělených zón pro firemní data a aplikace, zásadní pro bezpečnost podniku jako celku. Aniž by vícestupňové zabezpečení a „zónování dat‟ zdržovalo  koncové uživatele při přístupu do systémů a k informacím, snižuje riziko krádeže identity, naplňuje očekávání uživatelů a nabízí firmám praktickou cestu pro balancování mezi potřebou zajištění přístupu s bezpečností a zákonnými požadavky.

Jaroslav Bartoň, HID GlobalJaroslav Bartoň

bitcoin školení listopad 24

ředitel pro prodej IAM řešení pro střední a východní Evropu ve společnosti HID Global