Pojawienie się urządzeń mobilnych w firmowym środowisku IT przyniosło wiele nowych wyzwań związanych z bezpieczeństwem. Wykorzystując nowoczesne rozwiązania, można jednak stworzyć użytkownikom mobilnym bezpieczne środowisko pracy, ale do tego nie wystarczy wyłącznie system typu MDM.
Gdy kilka lat temu okazało się, że pracownicy coraz chętniej pracują na własnych urządzeniach, zaczęto akceptować to zjawisko i firmy zaczęły wdrażać koncepcję BYOD (Bring Your Own Device). Dostrzeżono jednak, że oprócz korzyści, z BYOD wiążą się również zagrożenia. Aby dać pracownikom swobodę, a jednocześnie zachować przez działy IT większą kontrolę nad urządzeniami, opracowano takie idee, jak CYOD (Choose Your Own Device) oraz COPE (Corporate-Owned, Personally-Enabled). Fakty jednak są takie, że wiele osób przynosi i korzysta z własnych urządzeń do pracy, nawet jeśli nie jest to formalnie usankcjonowane. Bez spójnej, kompleksowej strategii BYOD, CYOD lub COPE firmy wystawiają się więc na poważne zagrożenia związane z cyberwłamaniami czy brakiem zgodności z przepisami.
Z perspektywy technologicznej kluczowe pytanie to, jak użytkownicy będą uzyskiwali dostęp do firmowych zasobów ze swoich urządzeń mobilnych. Proste instalowanie aplikacji w urządzeniu to poważne zagrożenie dla bezpieczeństwa, prywatności i zgodności z przepisami, a także wyzwania związane ze wsparciem technicznym i zarządzaniem licencjami. Firmowy dział IT musi również zabezpieczyć własne zasoby przed potencjalnymi zagrożeniami, jakie stwarzają prywatne aplikacje użytkownika. Sztandarowym przykładem są konsumenckie narzędzia do współdzielenia i synchronizacji plików. Zagrożenie stanowią również wirusy, które mogą pojawić się w urządzeniu, np. przy okazji instalowania gier.
Z tych względów wprowadzeniu programów BYOD, CYOD czy COPE musi towarzyszyć wdrożenie technologii, które umożliwią stworzenie w urządzeniach mobilnych w pełni odizolowanego środowiska, przeznaczonego do pracy zawodowej. Do tego potrzebne są takie rozwiązania, jak EMM (Enterprise Mobility Management), firmowy sklep z aplikacjami, izolacja i wirtualizacja aplikacji, bezpieczne współdzielenie plików oraz narzędzia do zdalnego wsparcia przez dział IT. Idąc tą drogą, można dać użytkownikom maksimum swobody, a jednocześnie zapewnić odpowiednie bezpieczeństwo i kontrolę nad firmowymi zasobami.
W takiej sytuacji pracownicy otrzymują szybki i wygodny dostęp do potrzebnych aplikacji Windows, aplikacji mobilnych czy usług SaaS poprzez jeden firmowy sklep z aplikacjami (rodzaj witryny z potrzebnymi programami). Co istotne, jest to możliwe z dowolnego urządzenia i lokalizacji, a uwierzytelnianie, które zapewnia odpowiednie bezpieczeństwo odbywa się z wykorzystaniem technologii typu SSO (Single Sign-On).
Z kolei dział IT może z jednego miejsca dostarczać i kontrolować aplikacje, a także przydzielać i odbierać dostęp do zasobów. Najczęściej informacje biznesowe pozostają bezpieczne w centrum danych. W przypadku, kiedy muszą zostać zapisane w urządzeniu końcowym, są chronione szyfrowaniem i przechowywane w odizolowanym kontenerze. Ponadto można je zdalnie wykasować.
Rozwiązania EMM to zintegrowane systemy, które obejmują, oprócz mechanizmów MDM (Mobile Device Management), również funkcje zarządzania aplikacjami w urządzeniach mobilnych (MAM, Mobile Application Management) oraz bezpiecznego udostępniania danych (EFSS, Enterprise File Synchronization and Sharing). Takie połączenie daje dodatkowo możliwość zapewnienia bezpieczeństwa na poziomie poszczególnych aplikacji, czy danych, obok zabezpieczeń działających na poziomie urządzenia. Funkcje zarządzania danymi i aplikacjami umożliwiają ochronę informacji, a jednocześnie zwalniają działy IT z konieczności obejmowania zarządzaniem urządzeń należących do użytkowników – np. w programie BYOD. Aplikacje mogą być dostarczane na podstawie weryfikacji tożsamości użytkownika. W przypadku, gdy dojdzie do kradzieży urządzenia, wybrane aplikacje i dane mogą być zdalnie usunięte, a gdy konto użytkownika staje się zbędne, może zostać automatycznie wykasowane, bez usuwania prywatnych danych użytkownika.
Reguły obowiązujące w ramach programów BYOD, CYOD czy COPE mogą się znacznie różnić w zależności od polityki firmy. Na ich kształt wpływają priorytety i obawy związane z bezpieczeństwem i efektywnością pracy. Warto je skonsultować z działem kadr, finansowym, prawnikami oraz ekspertami ds. bezpieczeństwa. Różnice między BYOD, CYOD oraz COPE dotyczą również kosztów. W przypadku BYOD to użytkownik płaci za swój sprzęt i ponosi inne koszty z nim związane, np. za dostęp do Internetu. Czasami te koszty w części lub w całości pokrywa pracodawca. W pozostałych dwóch przypadkach pracodawca ponosi koszt zakupu urządzenia i dostępu do Internetu. Poza tym BYOD może wymagać dodatkowych regulacji, np. dotyczących wynagrodzenia za wykonywanie na urządzeniu mobilnym zadań służbowych poza godzinami pracy.
Najlepsze praktyki
Jeśli wprowadzenie BYOD, CYOD lub COPE ma zakończyć się powodzeniem, konieczne jest połączenie łatwości korzystania z danego modelu przez użytkowników z możliwościami zabezpieczenia, kontrolowania i zarządzania przez dział IT. O ile silną po stronie IT może okazać się pokusa, aby opracować szczegółowe reguły dla każdego możliwego scenariusza zdarzeń, praktyka pokazuje, że większość sytuacji można uwzględnić wprowadzając kilka prostych, spójnych zasad.
Kluczowym wymaganiem jest stosowanie takich sposobów ochrony danych, które nie mają negatywnego wpływu na komfort pracy użytkowników. Jeżeli firma pozwala pracownikom na instalowanie własnych aplikacji w urządzeniu, rozwiązania MAM i EFSS umożliwi odseparowanie firmowych zasobów (aplikacji i danych) od prywatnych.
Jeżeli jednak uważamy, że instalacja firmowych aplikacji w urządzeniu należącym do użytkownika jest ryzykowna z pomocą przychodzą narzędzia do wirtualizacji aplikacji i desktopów, które eliminują taką sytuację. Wszystkie zasoby biznesowe pozostają bezpieczne w centrum danych. Dodatkowo, aby zapobiec wyciekowi danych, IT może wprowadzić regułę uniemożliwiającą wykonywanie określonych czynności jak np drukowanie z urządzenia mobilnego czy też blokującą dostępu do kart SD czy też złącza USB.
W urządzeniu dostęp do aplikacji i danych może być kontrolowany według kilku kryteriów: właściciela konkretnych zasobów, ich statusu czy lokalizacji. IT może zarządzać dowolnym urządzeniem, wykrywać tzw. jailbreak czy zdalnie kasować pliki i aplikacje, jeśli te stanowią naruszenia regulacji prawnych. Bezpieczeństwo aplikacji zapewniają tunele microVPN, czarne i białe listy oraz reguły uwzględniające kontekst.
Aby chronić firmową sieć, można stosować mechanizm NAC (Network Access Control), który uwierzytelnia użytkowników łączących się z siecią i weryfikuje, czy w ich urządzeniach jest zainstalowany aktualny antywirus oraz najnowsze łatki bezpieczeństwa. Jeśli urządzenie znajduje się poza zaporą sieciową, wirtualizacja i szyfrowanie niwelują zagrożenia związane z komunikacją w sieciach Wi-Fi, 3G/4G i innych dróg komunikacji, dostępnych dla użytkowników prywatnych. Jeśli pracownik rozwiązuje umowę z pracodawcą lub dojdzie do kradzieży urządzenia, IT powinno mieć możliwość natychmiastowego zablokowania dostępu do aplikacji i danych, w tym także do kont umożliwiających korzystanie z usług SaaS.
Bezpieczna mobilność w praktyce
Citrix oferuje całe portfolio rozwiązań, które umożliwiają bezpieczne wdrożenie BYOD, CYOD lub COPE. Obejmują one zarządzanie, wirtualizację desktopów i aplikacji Windows, bezpieczne współdzielenie plików oraz funkcje zdalnego wsparcia technicznego. Poszczególne funkcje realizują różne produkty.
Citrix XenMobile obejmuje trzy obszary: MDM, MAM i EFSS, umożliwiając dostarczanie danych i aplikacji do urządzeń a także zarządzanie mobilnym środowiskiem. Ponadto oferuje zabezpieczenia i funkcje kontroli, dzięki którym można zapewnić bezpieczeństwo danych i aplikacji, z których korzystają użytkownicy urządzeń mobilnych.
Wirtualizację aplikacji i desktopów umożliwiają Citrix XenDesktop lub Citrix XenApp. Dzięki tym rozwiązaniom jest możliwe dostarczanie aplikacji lub kompletnego środowiska pracy do dowolnego urządzenia. Ponieważ dane i aplikacje pozostają w centrum danych, działa IT może stosować scentralizowane mechanizmy ochrony, kontroli dostępu i zarządzania kontami użytkowników. Użytkownicy mogą korzystać z urządzeń pracujących pod kontrolą różnych systemów operacyjnych, m.in. Windows, Linux, Mac OS, iOS, Android czy WindowsPhone. Dostęp z tych urządzeń do firmowego sklepu z aplikacjami, zawierającego zaufane aplikacje mobilne, webowe i Windows zapewnia z kolei Citrix Receiver.
Kolejny komponent to Citrix NetScaler Access Gateway, który zapewnia bezpieczny dostęp sieciowy do aplikacji, wirtualnych desktopów i usług. Jednocześnie umożliwia IT kontrolowanie, kto korzysta z praw dostępu.
Z kolei Citrix ShareFile to rozwiązanie skierowane do firm, które pozwala na bezpieczne współdzielenie i synchronizowanie plików pomiędzy pracownikami, ale także osobami spoza firmy. Działom IT daje możliwość stosowania reguł kontroli dostępu, audytu, raportowania, a także zdalnego kasowania plików z urządzeń mobilnych. Ostatnim elementem jest Citrix GoToAssist i Consierge służący do zdalnego wsparcia urządzeń mobilnych.
