facebook LinkedIN LinkedIN - follow
Tematické sekce
 
Branžové sekce
Přehledy
 
Tematické seriály
 

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 
Partneři webu
Compas automatizace
IT SYSTEMS 7-8/2012 , HRM/HCM - Řízení lidských zdrojů , IT Security

Soukromá zařízení na pracovišti

Očekávání zaměstnanců vs. zabezpečení firemních dat



Fortinet To, že si lidé do práce nosí vlastní smartphony, tablety a notebooky, je již dávno samozřejmostí. Připojují je do firemní sítě, odnášejí si na nich citlivá data. Jsou ochotni pracovat doma, na druhou stranu stále více trvají na tom, aby i na pracovišti mohli řešit své soukromé záležitosti, například včetně přístupu k sociálním sítím. Bezpečnostní rizika, která z těchto jevů vyplývají, jsou nasnadě, a firmy si tak mohou jen těžko dovolit tento trend ignorovat.


Trend je to natolik významný, že si získal i své speciální jméno, respektive zkratku BYOD (bring your own device). Firmy zde stojí před nelehkou volbou. BYOD totiž s sebou kromě zjevných rizik přináší i nesporné výhody. Lidé pracující svým preferovaným způsobem totiž budou zřejmě efektivnější, možnost výběru zvýší jejich spokojenost v zaměstnání.

Představy některých zaměstnanců o vlastních „právech“ pracovat si dle svého jsou však mnohdy až extrémní. Společnost Fortinet v této souvislosti provedla průzkum mezi zaměstnanci mezi 20 a 29 lety. Ti vesměs přicházejí ke svému zaměstnavateli s představou, že si mohou dělat, co chtějí. Pokud by jim v tom zaměstnavatel chtěl bránit, budou mnozí z nich příslušná nařízení ignorovat a obcházet. V rámci průzkumu například třetina respondentů uvedla, že pokud by firemní bezpečnostní politika používání soukromých zařízení pro pracovní účely zakazovala, pak by předpisy svého zaměstnavatele porušovali.

Právo na výběr zařízení i aplikace

Podle zmiňovaného průzkumu používá na pracovišti nebo pro pracovní účely svá osobní mobilní zařízení až 74 procent respondentů. Zajímavé přitom je, že více jak polovina z nich vnímá tuto možnost spíše jako své právo než výsadu. Z pohledu uživatelů je hlavní motivací tohoto chování požadavek mít neustálý přístup ke svým oblíbeným aplikacím. Závislost na osobní elektronické komunikaci je velmi silná – 35 procent respondentů si nedokáže představit den bez přístupu k sociálním sítím, 47 procent bez psaní SMS zpráv.

Mladí zaměstnanci přitom často chápou, že BYOD může pro jejich organizaci představovat bezpečnostní riziko: 42 procent z nich uznává, že výsledkem může být únik dat a vystavení firemního IT systému dalším hrozbám. I přesto ale více než třetina respondentů připouští, že porušují, nebo by byli ochotni porušovat firemní zákaz používat osobní zařízení pro pracovní účely. Třicet procent dotazovaných pak uvádí, že by nebyli ochotni dodržovat ani firemní zákaz používat neschválené aplikace. Toto riziko roste, protože uživatelé si mnohdy představují, že by měli mít možnost si pro pracovní potřeby sami vybírat nejen zařízení, ale i aplikaci. Dokonce i pro tento trend se již objevilo speciální označení: BYOA (bring your own application).

Ještě horší se z pohledu zabezpečení zdá, že zaměstnanci mnohdy nesouhlasí s možnosti, že by jim firmy měly na jejich soukromá zařízení instalovat bezpečnostní software. Dvě třetiny respondentů si myslí, že zabezpečení zařízení je jejich vlastní věc, a to i když ho používají pro pracovní účely. Odpovědnost zaměstnavatele zde uznává pouze necelá čtvrtina dotazovaných.

Graf

 

Bez politiky to nejde

Maximalizovat přínosy a minimalizovat rizika trendu BYOD, eventuálně i BYOA, vyžaduje vypracovat adekvátní firemní politiku. V rámci managementu je zatím přístup přinejlepším konzervativní. Podle nezávislého průzkumu, který byl loni proveden mezi třemi stovkami IT specialistů s rozhodovací pravomocí v evropských středních a velkých firmách, se až šedesát procent respondentů trendu BYOD obává. V prostředí IT, které „řídí uživatelé“, nedokáží administrátoři zajistit adekvátní ochranu podnikových dat. Dvě třetiny dotazovaných uvedlo, že povolují pouze firemní mobilní přístroje, kde lze přímo vynutit bezpečnostní politiku. Naopak 21 procent firem přenechává odpovědnost za zabezpečení koncových bodů vlastníkům a uživatelům těchto zařízení – to je ovšem velmi riskantní přístup.

Nechuť firem k trendu BYOD je pochopitelná, protože zařízení v rukou zaměstnanců často postrádají základní bezpečnostní prvky, jako je antivirus nebo ochrana přístupu heslem. K tomu je třeba dodat, že i kritické obchodní aplikace bývají dnes již běžně přístupné vzdáleně z mobilních zařízení a brzy se bude jednat o standard. Na zařízeních je pak uložena celá řada citlivých firemních dat a kompromitace koncového bodu může mít pro firmu velmi bolestivé důsledky. Firemním IT oddělením lze doporučit následující opatření:

Implementace politiky vztažené k mobilním zařízením

Stejně jako u obecné IT politiky je zde třeba vycházet z hlavních cílů a souvisejících hrozeb. IT oddělení musí určit, kdo a pomocí jaké aplikace může přistupovat k firemním datům. Je potřeba nastavit co nejmenší úroveň přístupu – pouze k datům a aplikacím, které lidé opravdu potřebují ke své práci. Bezpečnostní politika navíc nesmí zůstat jen na papíře, ale je třeba ji prosadit.

Software pro vzdálenou správu

Je důležité, aby na všech zařízeních pracujících s firemními daty byly k dispozici základní bezpečnostní funkce, jako je antivirus nebo software pro vzdálené smazání dat. Tento typ softwaru umožňuje také automatické aktualizace zařízení, což omezuje riziko zneužití bezpečnostních zranitelností. Firmy by také měly implementovat systémy, které umožňují zařízení centrálně lokalizovat a sledovat, vzdáleně zamykat, mazat, provádět zálohování i obnovu systému.

Blokování zařízení nesplňujících standardy

Prosadit tuto politiku je uměním kompromisu. Výše uvedené výsledky naznačují, že zaměstnanci chtějí používat svá zařízení pro práci, ale zdráhají se instalovat dodatečný software. Firmy ale mohou trvat na tom, že pro přístup k podnikovým datům je zařízení způsobilé pouze tehdy, pokud si sem nechají nainstalovat aplikace vyžadované bezpečnostní politikou organizace. Druhou možností je vyžadovat, aby soukromá zařízení byla rozdělena na dvě logické části – osobní a pracovní, přičemž nad pracovní částí by mělo plnou kontrolu firemní IT oddělení.

Důraz na síť namísto koncových bodů

Organizace si musejí uvědomit, že pro zajištění firemní infrastruktury před riziky spojenými s mobilními zařízeními je třeba zabezpečení postavit spíše na úrovni sítě a aplikací než koncových bodů. Jednotlivé smartphony a tablety lze pomocí softwarových agentů zabezpečit jen obtížně. Efektivním řešením je proto zajistit ochranu kritické části podnikové sítě bez ohledu na to, zda se k ní přistupuje z interních nebo externích zařízení. Nutností je klasifikace aplikací, behaviorální analýza a propojení určitého chování s konkrétním koncovým uživatelem. Na co nejpodrobnější úrovni je třeba řídit také webové aplikace, a to včetně kontroly toho, zda je provoz šifrován – a to bez ohledu na použitý port a protokol.

Je jasné, že firmy budou muset vyvinout určité úsilí, aby změnily některé své stávající postupy a dokázaly zajistit podporu zaměstnanců i v nové situaci, ale alternativa neexistuje. Trend BYOD je realitou a čím dříve na něj IT oddělení zareagují, tím lépe pro jejich firmu.

Vladimír Brož
Autor působí jako territory manager pro ČR, SR a Maďarsko ve společnosti Fortinet.

Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Žádný systém sám o sobě nic nevyřeší

IT Systems 4/2021V aktuálním vydání IT Systems opět najdete spoustu novinek ze světa informačních technologií a inspirace, jak je využít pro rozvoj vaší firmy nebo organizace. Mapujeme aktuální trendy v digitalizaci stavebnictví, vybavení pro kontaktní centra a service desky. Věnujeme se řízení práce na dálku a onboardingu zaměstnanců v době covidu, řízení projektů a hybridnímu cloudu. Významným tématem je jako vždy zajištění kybernetické bezpečnosti – konkrétně zabezpečení ICS, důsledky kauzy Exchange, DDoS útoky a bezpečnost mobilních zařízení.

Helios
- inzerce -