Coraz bardziej mobilni, coraz bardziej zagrożeni
-
- 02.06.2014
KNOX 2.0 oferuje szereg usprawnień w dziedzinie bezpieczeństwa jądra systemu, dla zapewnienia pełnego komfortu użytkowania i skuteczniejszej ochrony rozwiązań mobilnych – od architektury jądra aż po aplikacje. KNOX 2.0 udoskonalił funkcje kontenera, m.in. obsługę większości aplikacji dostępnych dla systemu Android w Sklepie Google Play, co pozwala uniknąć konieczności zapewnienia dodatkowej ochrony dla aplikacji innych producentów. Obsługuje też konfigurację rozwiązań SE Android w kontenerach innych producentów, m.in. w bezpiecznym kontenerze Good, Fixmo SafeZone czy MobileIron AppConnect, aby zapewnić im poziom ochrony sprzętowej porównywalny z zabezpieczeniami kontenera KNOX. Dzięki współpracy z Microsoft, KNOX pozwala użytkownikom korzystać z prywatnych urządzeń w celu łączenia się z firmowymi zasobami i usługami poprzez Microsoft Workplace Join. Z kolei współpraca z takimi operatorami jak 3 Hong Kong Telecommunications zaowocowała nową funkcją podziału opłat (split billing), umożliwiającą oddzielne rozliczenie opłat za korzystanie z aplikacji prywatnych i służbowych.
Niektóre przedsiębiorstwa decydują się ze względu bezpieczeństwa zastąpić model BYOD modelem CYOD (Choose Your Own Device). Ten ostatni, choć zmniejsza satysfakcję pracowników, pozawala działom IT zapanować nad światem mobilnych urządzeń w firmie. W schemacie CYOD menedżerowie IT wspierają ograniczoną liczbę urządzeń i nie czują się przeciążeni obsługą modeli, jakie personel firmy może wybrać z ogromnej oferty rynkowej. Limitowana liczba urządzeń powoduje, ze łatwiej jest znaleźć rozwiązania do zarządzania nimi i ochrony danych.
Zobacz również:
- 9 cech wielkich liderów IT
- CIO "bumerangi": liderzy IT awansują, powracając
- 6 znaków ostrzegawczych, na które CIO powinni zwrócić uwagę w 2024 roku
Według IDC w 2014 roku CYOD ma szansę zastąpić BYOD w strategii mobilnej przedsiębiorstw, łączy bowiem lukę pomiędzy wygodą pracowników a potrzebą IT związaną z zarządzaniem bezpieczeństwem organizacji.
Edukacja – istotny element w strategii walki z zagrożeniami
Ważnym elementem ochrony są szkolenia uświadamiające pracownikom zagrożenia. Niestety, według CmopTIA niewiele firm je przeprowadza. Jedynie co trzecie przedsiębiorstwo prowadzi szkolenia z zakresu bezpieczeństwa dla personelu. Co więcej, tylko 10% firm planuje przeprowadzenie w najbliższych miesiącach szkoleń z zakresu bezpiecznego korzystania z urządzeń mobilnych, mimo że 90% przedsiębiorstw, które wprowadziły takie szkolenia, odnotowało wyraźny spadek incydentów związanych z bezpieczeństwem.
Spójna polityka bezpieczeństwa
Poziom kontroli i bezpieczeństwa, który był udziałem tradycyjnej infrastruktury korporacyjnej opartej na desktopach, jest nie do osiągnięcia w przypadku rozwiązań mobilnych. Firmy muszą zapanować nad ogromną ilością danych, połączeń generowanych z różnych urządzeń, nad bezpiecznym użytkowaniem aplikacji i ochroną informacji. Wszystko to wymaga przebudowy polityki zarządzania bezpieczeństwem. W październiku 2013 r. RSA, dział zabezpieczeń firmy EMC Corporation, opublikował raport specjalny Security for Business Innovation Council (SBIC), w którym przedstawiono zasady tworzenia przyszłościowego programu bezpieczeństwa, począwszy od powołania nowoczesnego zespołu ds. bezpieczeństwa informacji, aż po zarządzanie cyklem życia cyberzagrożeń. Według raportu „Transforming Information Security: Designing a State-of-the Art Extended Team” zespoły ds. bezpieczeństwa informacji muszą się rozwijać i zdobywać kwalifikacje, które w dziedzinie zapewniania bezpieczeństwa nie były im wcześniej potrzebne, takie jak umiejętność zarządzania ryzykiem biznesowym oraz wiedza z zakresu prawa, marketingu, matematyki i zakupów. W zespołach ds. bezpieczeństwa występują braki w wielu kompetencjach technicznych i biznesowych niezbędnych do realizowania rozszerzonego zakresu obowiązków spoczywających na tych zespołach. Konieczne więc będzie opracowanie nowych strategii zdobywania i pogłębiania kompetencji we własnym zakresie, a także korzystania z wiedzy specjalistów zewnętrznych. System zapewnienia bezpieczeństwa informacji musi obejmować model wspólnej odpowiedzialności działów IT oraz menedżerów i dyrektorów działów biznesowych przedsiębiorstwa.
Ponowne zdefiniowanie i rozwój podstawowych kompetencji – zespół główny powinien poszerzać kwalifikacje w czterech dziedzinach: analizy zagrożeń z cyberprzestrzeni; zarządzania danymi nt. bezpieczeństwa; doradztwa w zakresie ryzyka oraz projektowania i wdrażania mechanizmów kontroli.
Delegowanie czynności rutynowych – należy powierzać wykonywanie powtarzalnych, sprawdzonych procesów z zakresu bezpieczeństwa działowi informatyki, jednostkom biznesowym i/lub usługodawcom zewnętrznym.
Wypożyczanie lub wynajmowanie ekspertów – trzeba uzupełniać główny zespół ekspertami wewnętrznymi i zewnętrznymi.
Kierowanie właścicielami ryzyka w zakresie zarządzania ryzykiem – należy współpracować z jednostkami biznesowymi w zakresie zarządzania ryzykiem zagrażającym bezpieczeństwu i koordynować wypracowywanie spójnego podejścia.
Wynajmowanie specjalistów ds. optymalizacji procesów – w skład zespołu powinni wejść specjaliści z doświadczeniem i certyfikatami w zakresie zarządzania jakością, projektami, optymalizacji procesów i świadczenia usług.
Budowanie kluczowych relacji – konieczne jest zdobywanie zaufania kluczowych podmiotów. Do podmiotów takich należą właściciele kluczowych procesów, kierownictwo średniego szczebla oraz usługodawcy zatrudniani na zasadzie outsourcingu.
Dbałość o rozwijanie kwalifikacji pracowników z myślą o przyszłych potrzebach – z uwagi na brak potrzebnych specjalistów przyszłościowym rozwiązaniem jest rozwój kwalifikacji pracowników w takich dziedzinach, jak: tworzenie oprogramowania, analiza biznesowa, zarządzanie finansami, prawo, ochrona danych osobowych, analityka danych oraz złożona analiza statystyczna.
Źródło: RSA – Security for Business Innovation Council (SBIC)
