Mobilní zařízení se dnes stala nedílnou součástí každodenního života mnoha lidí, jak v osobním, tak profesním životě. Telefony a tablety se stávají součástí životního stylu, jsou ukazatelem společenského postavení i vyjádřením osobnosti uživatelů – personifikované kryty, tapety na ploše, vyzváněcí melodie, a především pak funkce a aplikace, které uživatel používá. To vše každého v jistém ohledu vymezuje vůči ostatním. Osobní zařízení splňují naše nároky na vzhled, výkon, uživatelskou přívětivost a způsob práce. Právě z těchto důvodů uživatelé volají po rychlé adopci BYOD.

Mnoho firem (přesněji IT či bezpečnostních manažerů) přistupuje k možnosti používat zařízení svých zaměstnanců pro práci s firemními daty velmi nedůvěřivě. Jistá míra nedůvěry je při zavádění nových přístupů vždy na místě. Drtivá většina obav nicméně pramení z nedostatku zkušeností a špatného stanovení cílů. Je to dáno tím, že uživatelé zahrnou IT svými požadavky, které často nemají pro firmu žádný přínos ani opodstatnění (příkladem může být umožnění vkládání velkého objemu dat do ERP systému z mobilního telefonu).

Jednotná strategie pro mobilní zařízení

Stejně jako u ostatních projektů i zde platí, že implementace BYOD by měla zapadat a podpořit celkovou obchodní a IT strategii firmy. Mobilní technologie musí být brány jako prostředek pro dosažení firemních cílů, ne jako cíl samotný. Stanovení požadavků a cílů pro využití mobilních zařízení napomáhá předcházet nereálným očekáváním, umožňuje implementovat cenově a funkčně vyvážená řešení a pomáhá dalšímu rozvoji firmy. V případě BYOD je zcela klíčové identifikovat:

• business procesy podporované mobilními technologiemi,
• data a aplikace přístupné přes mobilní technologie,
• skupiny uživatelů, které budou k datům přistupovat,
• způsob práce s daty a aplikacemi.

Je dobré připomenout, že ne vždy je nutné data přenášet a ukládat na mobilní zařízení. Často je jednodušší a efektivnější využít existující virtuální prostředí a k datům přistupovat vzdáleně (například přes aplikace typu Citrix receiver). Nezapomínejme také, že ne všechna data je vhodné ukládat na nefiremní zařízení. Klíčovou úlohu zde hraje správná klasifikace dat. Zatímco nefiremní zařízení jsou vhodná pro přístup k e-mailu, ke kalendáři nebo intranetu, zpřístupnění a uchovávání kritických dat by mělo být umožněno pouze z firmou vlastněných zařízení splňující vyšší nároky na bezpečnost.

Výběr podporovaných mobilních platforem

Slovní spojení bring your own device také často evokuje představu, že by uživatelům mělo být umožněno přinést jakékoli mobilní zařízení s libovolným operačním systémem. Výběr podporovaných platforem, modelů a typů mobilních zařízení je fundamentální součástí úspěšné implementace BYOD. Více podporovaných platforem představuje navýšení nákladů na správu a bezpečnost. Bezpečnostní aspekty jednotlivých platforem a verzí operačních systémů se diametrálně odlišují. Odlišná je i možnost správy a schopnost vynucení a monitoringu bezpečnostních politik. Zde je nutné dobře zvážit kompromis mezi spokojeností uživatelů, bezpečností a náklady na podporu a správu většího množství platforem. Firma by se vždy měla seznámit s riziky a benefity spojenými s jednotlivými platformami a měla by též provést sken zařízení používaných svými zaměstnanci.

Výběr softwaru pro správu mobilních zařízení

Výběr mobilních platforem podporovaných ve firmě by měl být prováděn společně s výběrem softwaru pro správu mobilních zařízení – tzv. MDM (mobile device management). V současné době je na trhu přibližně třicet různých MDM řešení. Dynamický rozvoj mobilních platforem ve firemním prostředí má za následek i rychlý vývoj a velké změny na poli MDM řešení, což potvrzují i zprávy společnosti Gartner vydané v dubnu 2011 a červnu 2012. Porovnání obou zpráv ukazuje výrazný vývoj MDM a změny nejen na předních příčkách MDM řešení, které odráží komerční úspěch těchto produktů.

Pro BYOD patří mezi hlavní kritéria při výběru MDM zajištění bezpečného/šifrovaného úložiště, bezpečného spojení do firemní sítě, vynucení bezpečnostních politik, schopnosti monitorovat a efektivně spravovat mobilní zařízení včetně schopnosti oddělit soukromá a firemní data. Je dobré mít na paměti, že v tomto případě nestačí oddělit a zabezpečit pouze úložiště dat, ale i aplikace, které s daty pracují. Na mobilních platformách jsou kopie dat ukládány v kontejneru aplikace, jež s těmito daty pracuje. Dalším důležitým aspektem je enrollment proces pro mobilní zařízení. Pokud proces spoléhá pouze na doménové jméno a heslo, vystavuje společnost riziku úniku těchto dat a následně neoprávněného přístupu do firemní sítě. Počet mobilních zařízení není často monitorován, což přináší další rizika úniku dat. Uživatel, jehož přihlašovací údaje byly vyzrazeny, nemůže zjistit, že je jeho účet zneužíván.

Firmy, pro které je bezpečnost mobilních platforem životně důležitá, by měly provádět vlastní nezávislé penetrační testy MDM řešení pro všechny platformy, které ve svém prostředí podporují. Přestože by se to mohlo zdát zbytečné, společnost Deloitte odhalila při testování některých MDM řešení závažné nedostatky, které mohou výrazně snížit celkovou úroveň bezpečnosti. Odcizená mobilní zařízení mohou sloužit jako vstupní brána do firemní sítě a ohrozit tak i systémy, které nejsou přímo přes mobilní zařízení dostupné.

Pomocí MDM řešení je možné vynutit pouze ta nastavení, které cílová verze operačního systému podporuje. V současné době je obecně množství těchto nastavení dost omezené a je zde obvykle velký rozdíl mezi jednotlivými verzemi operačních systémů. Tento problém se týká především operačních systémů Android a Windows Mobile. Pokud má být na všech platformách vynucena podobná úroveň bezpečnosti, je nezbytné, aby uživatelé pravidelně aktualizovali operační systémy na svých mobilních zařízeních. Klíčovou roli zde hraje komunikace s koncovými uživateli.

Povědomí koncových uživatelů

Jedním z nejdůležitějších aspektů, který bývá často podceňován a opomíjen, je bezpečnostní školení uživatelů (tzv. awareness program). V době, kdy možnosti MDM řešení jsou stále omezené, je chování koncových uživatelů jednou z nejlepších bezpečnostních kontrol. Správná komunikace, podpora managementu, vysvětlení problému a praktické ukázky zneužití jsou hlavní pilíře úspěšného awareness programu. Příkladem dalšího zjednodušení práce koncových uživatelů a celkového snížení nákladů na provoz helpdeskových systémů je umístění stránek nápovědy a stránek s často kladenými otázkami (FAQ) na firemní intranet. Jsou tu ještě další nástrahy?

Ano. Příkladem může být závislost již existujících procesů (business continuity management) na mobilních zařízeních. Pokud budou veškerá mobilní zařízení převedena do BYOD programu a uživatel figurující v procesu business continuity o svoje mobilní zařízení přijde (odcizení, defekt), nemusí být dostupný v případě havárie a společnost může následně utrpět velké ztráty. V případě zařízení vlastněného firmou by mohl tento zaměstnanec po dobu opravy používat náhradní zařízení a ke ztrátám by nemuselo dojít.

Závěrem bych rád zmínil také výhody implementace BYOD. Přestože je úspora nákladů často zpochybňována, patří k hlavním přínosům těchto projektů. Úspory nemusí být vždy nutně spojeny pouze s celkovými náklady na mobilní zařízení, tzv. TCO (total cost of ownership), které budou patrné zejména u velkých společností, ale například i s úsporou vzniklou omezením nebo zrušením tisku či zjednodušením interních procesů. Největší výhodou spojenou s adopcí BYOD je však nárůst spokojenosti uživatelů a navýšení pracovní efektivity.

Zbyněk Skála
Autor je držitelem certifikace CISA a působí jako technický manažer Security & Privacy ve společnosti Deloitte Advisory.