Nie można być w pełni mobilnym, wykorzystując standardy obowiązujące w środowisku komputerów stacjonarnych — a wiele działów IT popełnia właśnie ten błąd.
Najczęściej stosowane zasady zarządzania aplikacjami mobilnymi, takie jak dwuczynnikowe uwierzytelnianie i selektywny dostęp oparty na domenie Active Directory, to pozostałości po środowisku PC. Środki te bywają przydatne w tradycyjnych środowiskach komputerowych, ale często okazują się niewystarczające w firmowym środowisku mobilnym, gdyż często nie uwzględniają urządzeń po jailbreaku, wykorzystywania urządzeń osobistych do celów zawodowych (BYOD), pracy w niezaufanych sieciach publicznych czy w trybie offline.
By mobilność była bezpieczna i produktywna, należy wprowadzić nowe zasady, opracowane specjalnie pod kątem tego, jak pracują użytkownicy mobilni. Nie chodzi tylko o wprowadzanie ograniczeń i barier – warto również zadbać o to, aby praca na aplikacjach i urządzeniach mobilnych była na tym samym poziomie, co w przypadku tradycyjnego środowiska.
Jednak zanim przejdziemy do listy pięciu zasad dotyczących aplikacji mobilnych, zastanówmy się, dlaczego w ogóle mówimy o takich zasadach. Jeszcze kilkanaście miesięcy temu wiele organizacji uważało, że zarządzanie urządzeniami mobilnymi (MDM) w pełni wystarczy do zabezpieczenia mobilności. Ponieważ jednak organizacje zatrudniają różnorodne osoby: zarówno pracowników pełno- i niepełnoetatowych, podwykonawców czy pracowników tymczasowych — szybko okazało się, że potrzebne będzie bardziej zaawansowane podejście do kwestii bezpieczeństwa. Nie można bowiem zarządzać urządzeniem, które należy do tzw. ‘wolnego strzelca’ lub firmy partnerskiej, a i sami pracownicy z reguły nie życzą sobie, by dział IT wprowadzał im firmowe regulacje na ich urządzeniach osobistych (BYOD). Tego typu dywersyfikacja pokazała, że istotne jest przede wszystkim zarządzanie aplikacjami (MAM).
Podstawą właściwego zarzadzania aplikacjami mobilnymi jest elastyczność i przejrzystość — możliwość określania różnych zasad dla poszczególnych aplikacji, typu użytkowników i scenariuszy mobilnych. Prawidłowo dobrane zasady są dobrym punktem wyjścia do skutecznej strategii bezpieczeństwa firmowej mobilności. Oto pięć zasad, o których warto pamiętać.
1. Blokuj dostęp do aplikacji urządzeniom po jailbreaku i roocie.
Wielokrotnie zdarza się, że pracownicy korzystający z urządzeń mobilnych nawet nie zdają sobie sprawy, że ich urządzenia są zainfekowane złośliwym oprogramowaniem. Oto typowa historia: po powrocie do domu pracownik zostawia tablet na kuchennym blacie, a jego nastoletni syn bierze go, by sobie pograć. Wkrótce robi jailbreaka, żeby zainstalować nową grę na Androida, o której mówią wszyscy jego przyjaciele — taką, którą można dostać tylko w prywatnym sklepie z aplikacjami. Tym sposobem wraz z jej instalacją, instaluje również złośliwe oprogramowanie. Od tego momentu wszystko, co później pracownik zrobi na tym urządzeniu, jest narażone na śledzenie lokalizacji, wykradanie danych i inne zagrożenia. Urządzenie może nawet zostać „zrootowane”, co pozwala na szeroki dostęp do wielu funkcji i ustawień Androida. Aby chronić swoją firmę, należy zadbać o to, aby zablokować urządzeniom po jailbreaku dostęp do firmowych aplikacji i sieci.
2. Selektywnie zezwalaj na kopiowanie i wklejanie.
Czasem można zezwolić użytkownikom na kopiowanie i wklejanie treści między mobilnymi aplikacjami, chociażby wtedy, gdy prawnik korzysta z zabezpieczonej poczty mobilnej, by wysłać klientowi fragment umowy z systemu zarządzania dokumentami w swojej firmie. Nie jest jednak wskazane by fragment ten trafił do jego osobistej poczty.Kluczem jest przejrzyste podejście do ochrony przeciwko wyciekom danych, czyli pozwolenie niektórym aplikacjom na współdzielenie treści — na przykład między zabezpieczoną aplikacją do udostępniania dokumentów i zabezpieczoną aplikacją do zarządzania biznesową pocztą e-mail — i jednocześnie uniemożliwienie tego w odniesieniu do innych aplikacji. Jednym ze sposobów jest stworzenie prywatnego schowka, który jest tylko wykorzystywany przez zabezpieczone, odpowiednio zarządzane aplikacje, a niedostępny dla natywnych aplikacji konsumenckich zainstalowanych w urządzeniu. Umożliwia to wydajną pracę bez narażania danych
na ryzyko.
3. Zdefiniuj dostęp do aplikacji według lokalizacji lub typu sieci.
Ludzie cenią możliwość pracy w dowolnym miejscu. Jednak dla wielu organizacji tego rodzaju ‘bezpłatne Wi-Fi’ może wiązać się z wysokim kosztami. Może się bowiem okazać, że sieć ta jest monitorowana, by przechwytywać hasła, firmowe dane czy też inne poufne informacje. Nie należy jednak całkowicie blokować sieci publicznych. Jest bowiem wiele zadań, które nie wymagają korzystania z poufnych informacji. Są jednak aplikacje, których użycie powinno być dozwolone wyłącznie w zabezpieczonych sieciach. Mowa tu o aplikacjach, które uzyskują dostęp do danych obłożonych określonymi regulacjami, tajemnicami handlowymi czy umów prawnych. Można też zezwolić na dostęp do niektórych aplikacji tylko przez określone identyfikatory SSID — na przykład na dostęp do elektronicznych danych medycznych (electronic medical records, EMR) tylko przez wewnętrzną szpitalną sieć WLAN.
4. Kontroluj użycie aplikacji w zależności od dostępu do sieci.
Niektóre aplikacje wymagają monitorowania, gdzie i jak długo z nich korzystano oraz jakich czynności za ich pośrednictwem dokonywano — na przykład w aplikacjach stosowanych w opiece zdrowotnej czy branży prawniczej, gdzie w grę wchodzą choćby takie elementy, jak ścieżka audytu. Może to dotyczyć zarówno pracowników firmy, jak i osób pracujących dla organizacji partnerskich.Aby uwzględnić te wymogi, można wprowadzić zasadę, która umożliwia działanie aplikacji tylko wtedy, gdy urządzenie jest online, albo wyznaczyć maksymalny czas korzystania z niej w trybie offline.
5. Zadbaj o to, aby dane podążały za użytkownikiem pomiędzy platformami
Jedną z największych zalet mobilności jest możliwość wyboru odpowiedniego do sytuacji urządzenia — laptopa na dłuższy wyjazd służbowy czy tabletu na jednodniową delegację albo wizytę u klienta. Oczywiście, jest to użyteczne tylko wtedy, gdy pracownik ma dostęp do potrzebnych dokumentów na każdym urządzeniu, którego akurat używa. Część osób nadal stosuje metodę wysyłania dokumentów pocztą e-mail do samego siebie. Jest to jednak nie tylko uciążliwe, ale także powoduje problemy ze zdesynchronizowanymi wersjami dokumentów. Dane ‘podążające za użytkownikiem’ pozwalają na wydajną pracę, niezależnie od urządzenia. Można zapisać potrzebne dokumenty w wyznaczonym folderze udostępniania, (takim jak np. ShareFile), a automatycznie pojawią się one w odpowiednim folderze na wszystkich innych urządzeniach. Wszystkie zmiany są aktualizowane w czasie rzeczywistym między platformami natomiast modyfikacje dokonane w trybie offline są synchronizowane po ponownym nawiązaniu połączenia z siecią.
Firmowa mobilność oznacza nowy model pracy, a nie stary scenariusz desktopowy w nowym opakowaniu. Zasady zarządzania mobilnymi aplikacjami muszą odzwierciedlać odmienne modele własności, użytkowania oraz dostępu do sieci i wykraczać poza ograniczanie użytkowników, by umożliwić im wykorzystanie jej pełnego spectrum. Najnowsze, dojrzałe rozwiązania do zarządzania mobilnością cechują się elastycznością, która pozwala zdefiniować własne standardy bez naruszania bezpieczeństwa.
Sebastian Kisiel, Lead System Engineer, Citrix Systems Poland.
