Trend je to natolik významný, že si získal i své speciální jméno, respektive zkratku BYOD (bring your own device). Firmy zde stojí před nelehkou volbou. BYOD totiž s sebou kromě zjevných rizik přináší i nesporné výhody. Lidé pracující svým preferovaným způsobem totiž budou zřejmě efektivnější, možnost výběru zvýší jejich spokojenost v zaměstnání.

Představy některých zaměstnanců o vlastních „právech“ pracovat si dle svého jsou však mnohdy až extrémní. Společnost Fortinet v této souvislosti provedla průzkum mezi zaměstnanci mezi 20 a 29 lety. Ti vesměs přicházejí ke svému zaměstnavateli s představou, že si mohou dělat, co chtějí. Pokud by jim v tom zaměstnavatel chtěl bránit, budou mnozí z nich příslušná nařízení ignorovat a obcházet. V rámci průzkumu například třetina respondentů uvedla, že pokud by firemní bezpečnostní politika používání soukromých zařízení pro pracovní účely zakazovala, pak by předpisy svého zaměstnavatele porušovali.

Právo na výběr zařízení i aplikace

Podle zmiňovaného průzkumu používá na pracovišti nebo pro pracovní účely svá osobní mobilní zařízení až 74 procent respondentů. Zajímavé přitom je, že více jak polovina z nich vnímá tuto možnost spíše jako své právo než výsadu. Z pohledu uživatelů je hlavní motivací tohoto chování požadavek mít neustálý přístup ke svým oblíbeným aplikacím. Závislost na osobní elektronické komunikaci je velmi silná – 35 procent respondentů si nedokáže představit den bez přístupu k sociálním sítím, 47 procent bez psaní SMS zpráv.

Mladí zaměstnanci přitom často chápou, že BYOD může pro jejich organizaci představovat bezpečnostní riziko: 42 procent z nich uznává, že výsledkem může být únik dat a vystavení firemního IT systému dalším hrozbám. I přesto ale více než třetina respondentů připouští, že porušují, nebo by byli ochotni porušovat firemní zákaz používat osobní zařízení pro pracovní účely. Třicet procent dotazovaných pak uvádí, že by nebyli ochotni dodržovat ani firemní zákaz používat neschválené aplikace. Toto riziko roste, protože uživatelé si mnohdy představují, že by měli mít možnost si pro pracovní potřeby sami vybírat nejen zařízení, ale i aplikaci. Dokonce i pro tento trend se již objevilo speciální označení: BYOA (bring your own application).

Ještě horší se z pohledu zabezpečení zdá, že zaměstnanci mnohdy nesouhlasí s možnosti, že by jim firmy měly na jejich soukromá zařízení instalovat bezpečnostní software. Dvě třetiny respondentů si myslí, že zabezpečení zařízení je jejich vlastní věc, a to i když ho používají pro pracovní účely. Odpovědnost zaměstnavatele zde uznává pouze necelá čtvrtina dotazovaných.

Bez politiky to nejde

Maximalizovat přínosy a minimalizovat rizika trendu BYOD, eventuálně i BYOA, vyžaduje vypracovat adekvátní firemní politiku. V rámci managementu je zatím přístup přinejlepším konzervativní. Podle nezávislého průzkumu, který byl loni proveden mezi třemi stovkami IT specialistů s rozhodovací pravomocí v evropských středních a velkých firmách, se až šedesát procent respondentů trendu BYOD obává. V prostředí IT, které „řídí uživatelé“, nedokáží administrátoři zajistit adekvátní ochranu podnikových dat. Dvě třetiny dotazovaných uvedlo, že povolují pouze firemní mobilní přístroje, kde lze přímo vynutit bezpečnostní politiku. Naopak 21 procent firem přenechává odpovědnost za zabezpečení koncových bodů vlastníkům a uživatelům těchto zařízení – to je ovšem velmi riskantní přístup.

Nechuť firem k trendu BYOD je pochopitelná, protože zařízení v rukou zaměstnanců často postrádají základní bezpečnostní prvky, jako je antivirus nebo ochrana přístupu heslem. K tomu je třeba dodat, že i kritické obchodní aplikace bývají dnes již běžně přístupné vzdáleně z mobilních zařízení a brzy se bude jednat o standard. Na zařízeních je pak uložena celá řada citlivých firemních dat a kompromitace koncového bodu může mít pro firmu velmi bolestivé důsledky. Firemním IT oddělením lze doporučit následující opatření:

Implementace politiky vztažené k mobilním zařízením

Stejně jako u obecné IT politiky je zde třeba vycházet z hlavních cílů a souvisejících hrozeb. IT oddělení musí určit, kdo a pomocí jaké aplikace může přistupovat k firemním datům. Je potřeba nastavit co nejmenší úroveň přístupu – pouze k datům a aplikacím, které lidé opravdu potřebují ke své práci. Bezpečnostní politika navíc nesmí zůstat jen na papíře, ale je třeba ji prosadit.

Software pro vzdálenou správu

Je důležité, aby na všech zařízeních pracujících s firemními daty byly k dispozici základní bezpečnostní funkce, jako je antivirus nebo software pro vzdálené smazání dat. Tento typ softwaru umožňuje také automatické aktualizace zařízení, což omezuje riziko zneužití bezpečnostních zranitelností. Firmy by také měly implementovat systémy, které umožňují zařízení centrálně lokalizovat a sledovat, vzdáleně zamykat, mazat, provádět zálohování i obnovu systému.

Blokování zařízení nesplňujících standardy

Prosadit tuto politiku je uměním kompromisu. Výše uvedené výsledky naznačují, že zaměstnanci chtějí používat svá zařízení pro práci, ale zdráhají se instalovat dodatečný software. Firmy ale mohou trvat na tom, že pro přístup k podnikovým datům je zařízení způsobilé pouze tehdy, pokud si sem nechají nainstalovat aplikace vyžadované bezpečnostní politikou organizace. Druhou možností je vyžadovat, aby soukromá zařízení byla rozdělena na dvě logické části – osobní a pracovní, přičemž nad pracovní částí by mělo plnou kontrolu firemní IT oddělení.

Důraz na síť namísto koncových bodů

Organizace si musejí uvědomit, že pro zajištění firemní infrastruktury před riziky spojenými s mobilními zařízeními je třeba zabezpečení postavit spíše na úrovni sítě a aplikací než koncových bodů. Jednotlivé smartphony a tablety lze pomocí softwarových agentů zabezpečit jen obtížně. Efektivním řešením je proto zajistit ochranu kritické části podnikové sítě bez ohledu na to, zda se k ní přistupuje z interních nebo externích zařízení. Nutností je klasifikace aplikací, behaviorální analýza a propojení určitého chování s konkrétním koncovým uživatelem. Na co nejpodrobnější úrovni je třeba řídit také webové aplikace, a to včetně kontroly toho, zda je provoz šifrován – a to bez ohledu na použitý port a protokol.

Je jasné, že firmy budou muset vyvinout určité úsilí, aby změnily některé své stávající postupy a dokázaly zajistit podporu zaměstnanců i v nové situaci, ale alternativa neexistuje. Trend BYOD je realitou a čím dříve na něj IT oddělení zareagují, tím lépe pro jejich firmu.

Vladimír Brož
Autor působí jako territory manager pro ČR, SR a Maďarsko ve společnosti Fortinet.