Jak zabezpečit mobilní zařízení ve firmách

Mobilní zařízení se stávají běžnou součástí firemní infrastruktury. Nabízíme deset pravidel, které vám pomohou je zabezpečit, ať už u sebe nebo u vašeho zákazníka.

Jak zabezpečit mobilní zařízení ve firmách



*Článek byl vytvořen zástupce výrobce a prošel redakční úpravou ChannelWorldu, aby neobsahoval propagaci produktů. Upozorňujeme čtenáře, že obsah pravděpodobně zastává postoje výrobce IT softwaru.


Mobilní technologie jsou již nedílnou součástí našich životů a různorodá mobilní zařízení využíváme nejen pro splnění svých soukromých potřeb, ale stále častěji také v souvislosti s plněním pracovních povinností. Je tedy zcela samozřejmé, že se mobilní zařízení stávají terčem bezpečnostních útoků, obvykle prostřednictvím malwaru.

Při udržení rozumných nároků na zdroje (od lidských až po finanční) bohužel není stoprocentní zabezpečení vždy dosažitelné. Nicméně podívejme se na deset pravidel, která pomohou mobilní zařízení využívaná ve firemním prostředí dostatečně zabezpečit a rizika bezpečnostních incidentů minimalizovat.

1. Bezpečnostní politiky

Každé zabezpečení čehokoli je pouze tak dobré, jak je dobrý jeho nejslabší článek. V rámci podnikové informační architektury tento fakt platí jak pro mobilní zařízení vlastněná firmou, tak pro zařízení vlastněná zaměstnanci. Je tedy velmi důležité stanovit rámec pro používání mobilních zařízení a definovat bezpečnostní pravidla, tzv. bezpečnostní politiky.

Sebelepší pravidla nicméně sama o sobě nestačí, jejich dodržování musí být pasivně i aktivně průběžně kontrolováno. Příklad bezpečnostních politik pro koncová zařízení vlastněná zaměstnanci je možné stáhnout (v angličtině) na adrese http://bit.ly/SampleBYOD.

2. Vzdělávání

Za velmi významné bezpečnostní riziko je obecně považován lidský faktor. Z tohoto důvodu je nezbytné v problematice bezpečnosti uživatele pravidelně vzdělávat. Uživatelé musí pochopit, že mobilní zařízení sice nejsou klasické osobní počítače, nicméně i chytrým telefonům hrozí řada nebezpečí od podvrženého kódu až po zneužití placených sms zpráv.

Průběžné vzdělávání musí také zbavit uživatele pocitu falešné jistoty, že zrovna jim se bezpečnostní incident stát nemůže. Samozřejmostí by měla být edukace v oblasti základních pravidel – nesdělovat nikomu bezpečnostní kódy, nenechávat mobilní zařízení bez dozoru apod. Proškolený uživatel navíc mnohem více chápe nutnost dodržování stanovených bezpečnostních politik.

3. Aktualizace

Maximální možné zabezpečení jakéhokoli zařízení velmi úzce souvisí s jeho pravidelnou aktualizací. Je nezbytné udržovat v aktuální podobě firmware i využívané aplikace, vyjma případů, kdy aktualizace není žádoucí. Vhodné také je, aby firemní infrastruktura měla prostředky pro vynucení aktualizací bez aktivního přístupu konkrétního koncového uživatele.

Bohužel někteří výrobci a komunikační operátoři aktualizace neumožňují. V takových případech je problematika aktualizací velmi závislá na možných kompromisech a individuálních dohodách.

4. Bezpečný přístup

Mobilní zařízení jsou používána na mnoha různých místech a pro přístup k internetu jsou obvykle využívány bezdrátové sítě. Nicméně o kvalitě zabezpečení volně přístupných Wi-Fi (na letištích, v autobusech apod.) si nelze dělat žádné iluze. Je-li využívána nezabezpečená síť pro přístup k firemní infrastruktuře, může být bezpečnostní incident dílem okamžiku. Je proto velmi žádoucí, aby přístup do firemní sítě probíhal prostřednictvím zabezpečených kanálů, například pomocí VPN. Využití těchto kanálů by mělo být pro uživatele mobilních zařízení povinné.

5. Důvěryhodné zdroje

Instalace jakéhokoli programového vybavení by měla možná pouze z důvěryhodných zdrojů, v ideálním případě z jednoho jediného místa. V tom případě se hodí, pokud firma může provozovat svůj vlastní instalační zdroj aplikací.

Náročnost z pohledu správy je mnohonásobně vyvážena významným snížením bezpečnostních rizik souvisejících s instalací nedostatečně prověřených aplikací. I ta nejznámější a za zcela bezpečnou považovaná aplikace může být v nedůvěryhodných instalačních zdrojích kompromitována.

6. Aktivní ochrana

Důležitou součástí zabezpečení mobilních zařízení je využívání aktivních prvků, zejména pak v podobě specializovaných aplikací – tzv. antimalware. Spolu s tím, jak roste zájem o mobilní platformy, například o systém Android, roste i výskyt škodlivého softwaru pro tato zařízení.

Aktivní ochrana bude ovšem účinná pouze ve chvíli, bude-li i ona podléhat nařízením o pravidelné aktualizaci a uživatelé si budou uvědomovat související rizika. Opět velkou výhodou je, pokud jsou prostředky aktivní ochrany vynutitelné z firemní informační architektury.

7. Žádný jailbreaking

Řada mobilních zařízení má zakázané funkce operačního systému, které by mohly být zdrojem bezpečnostního rizika. Jde například o znemožnění instalace neprověřených aplikací či přímého přístupu k úložnému zařízení. Tato omezení se dají obejít pomocí speciální úpravy zařízení, tzv. Jailbreakingu. Tato úprava musí být v rámci bezpečnostních politik striktně zakázána.

8. Šifrování

Každé mobilní zařízení může být ztraceno nebo ukradeno. Dopad takové ztráty může být nedozírný ve chvíli, kdy firma důležitá data nešifruje a přístup k nim dostatečně nezabezpečuje. Ještě horší může být situace, kdy nový majitel získá přístup i do dalších systémů – od firemní pošty až třeba po bankovní účet. Uživatelé by si proto měli data v mobilních zařízeních šifrovat a přístup k zařízení chránit silným heslem.

K dispozici jsou navíc aplikace, které umožňují zařízení v případě ztráty či krádeže ovládat na dálku, například pomocí sms zprávy. Kompletní smazání dat pak lze provést i v případě, kdy už zařízení nemá vlastník fyzicky u sebe.

9. Cloudy ano či ne?

Alternativu k uložení dat v mobilním zařízení představuje uložení v prostředí cloudu. Nicméně záleží, jaký cloud je využíván. Citlivá data by měla být v ideálním případě uložena v ověřeném či ještě lépe v privátním cloudu.

Veřejné cloudy sice nemusí být nedůvěryhodné, nicméně riziko případného bezpečnostního incidentu v podobě kompromitace dat je u tohoto typu cloudu vyšší. Uživatelé by proto měli být dostatečně seznámeni s rozdíly mezi jednotlivými typy cloudů.

10. Neustupovat

Poslední, ale neméně důležité pravidlo je neustupovat. Nikdy by neměla definovaná bezpečnostní pravidla ustoupit svobodě uživatelů. Zabezpečení mobilních zařízení by mělo být v rámci podnikové informační architektury řízeným a jasně definovaným prvkem. Není-li nějaké zařízení či uživatel schopen nebo ochoten se těmto pravidlům podřídit, je mnohem lepší jej do firemního prostředí vůbec nepustit.

Problematika zabezpečení mobilních zařízení je velmi širokou a komplikovanou oblastí. Uvedená pravidla nelze chápat jako dogma, ale spíše jako průřezový návod na dosažení dostatečného a efektivního zabezpečení.

Jednotlivá pravidla by navíc měla procházet procesem úprav v návaznosti na změny okolních podmínek i zabezpečených systémů, měla by reagovat na nové hrozby a zdokonalovat se na základě předchozích bezpečnostních incidentů. Jen tehdy nebudou mobilní zařízení neřízenou střelou schopnou vážně narušit zabezpečení podnikové informační architektury.


Autor je senior product managerem ve společnosti Sophos.








Úvodní foto: © babimu - Fotolia.com

Komentáře