Horváth Csaba, PwC Magyarország, vállalati kockázatkezelési és tanácsadási szolgáltatások

Napjainkban már a felnőtt lakosság 80 százaléka rendelkezik valamilyen mobil eszközzel, míg egy felmérés szerint az alkalmazottak 61 százaléka használja munkahelyén saját személyi informatikai eszközeit. Közülük 54 százalék használ okostelefont olyan alapvető tevékenységre, mint például az elektronikus levelek olvasása, online dokumentumok elérése vagy naptári meghívók kiküldése – állítja az eWeek egy felmérésére hivatkozva. A felmérésében a válaszadók harmada nyilatkozott úgy, hogy tabletet használ az alapvető munkán belüli feladatokra, míg ugyancsak egyharmad már a bonyolultabb feladatokat (CRM – ügyfélkapcsolat management, projekt menedzsment és adatelemzés) is azzal látja el. Ezen fejlődések eredményeként alakult ki a BYOD is, amely alatt a saját technológiai eszközök – laptopok, okostelefonok, tabletek és akár asztali PC-k – céges hálózatok, alkalmazások és adatok elérésére való felhasználását értjük.

A BYOD-trend kezdeményezése sokszor a felhasználó felől történik, például azzal, hogy a senior vezetők elkezdenek iPhone készülékeket vásárolni, használni – és ahhoz természetszerűleg támogatást kell kérniük az IT részlegtől. A BYOD-szabályzatok és -eljárások létrehozását követően ez a tendencia csak tovább erősödik, amikor a kérések már a vállalat szinte minden dolgozójától érkeznek. Ez a trend nem csak egy-egy vállalatra érvényes- Amerika-szerte a BYOD folyamatos kihívások elé állítja a tradicionális biztonsági menedzsmentben és a mobileszköz-menedzsmentben (Mobile Device Management – MDM) kialakított gyakorlatokat a különböző iparágakban (termelés, egészségügy, kormányzat, high-tech, ügyvédi irodák stb.) – állapítja meg Ellen Messmer, a NetworkWorld egy múlt év szeptemberi számában írt cikkében (Not that BYOD is the new normal IT races to adjust, NetworkWorld 2012. szept. 10.).

A tendenciát a Janco Associates felmérése is megerősítette. A felmérés szerint az észak-amerikai közepes- és nagyvállalatok esetében 2011-ben már a dolgozók 31 százaléka élt a BYOD nyújtotta előnyökkel, mely az előrejelzések szerint idén elérheti az 50 százalékot is. A kutatás adatai alapján 2012-ben az alkalmazottak 17 százaléka használt valamilyen tabletet, mely idén várhatóan elérheti a 25 százalékot. A Janco Assiciates szerint idén már a vállalatok 90 százaléka engedélyezheti a BYOD-t.

A külföldi trendeknek megfelelően a hazai piacon is egyre inkább előtérbe kerülnek a BYOD-ben rejlő lehetőségek, azonban az elterjedtsége még eléggé gyerekcipőben jár. Ennek ellenére bizonyos, első sorban multinacionális, vállalatok (köztük a PwC, Lexmark és T-Systems) már megkezdték előnyeinek kiaknázását.

Hozd a saját eszközödet, jó lesz! ■ A BYOD fő előnyei, és ezáltal terjedésének fő okozói, a növekvő alkalmazotti mobilitás, rugalmasság és hatékonyság. Ezek úgy érhetőek el, hogy lehetővé válik a vállalati hálózat távoli elérése bármely a munkavállalók által már jól ismert eszközről, mely segítségével képesek hozzáférni az információkhoz, kommunikálni a fogyasztókkal és kollaborálni saját munkatársaikkal. Ezenfelül a vállalatok működési költségmegtakarítást érhetnek el, azáltal, hogy nem szükséges alkalmazottaik számára biztosítani a mobil eszközöket.

Az alkalmazottak saját eszközeinek használatának lehetővé tétele és az ahhoz kapcsolódó támogatás biztosítása lényegesen olcsóbb, mint a jelenleg elterjedt vállalati eszközök és szolgáltatások biztosítása. A támogatás a korábbi saját eszközök használatának büntetésénél is költséghatékonyabb, és ezzel egyben megelőzhetőek a reputációs sérülések, melyet a nem megfelelően használt eszközök okozhatnak. Az előbbiekből is jól látszódik, hogy a megelőzés olcsóbb, mint a felderítés és ezért is fontos a megfelelő biztonsági kontrollok alkalmazása.

A BYOD egyéb előnyei közé tartozik az üzleti folyamatok (az IT-menedzsment, eladás és marketing, HR és vásárlói szolgáltatások területén) újratervezésének szükségessége. A már előrehaladottan megvalósult eljárások, szabályzatok és üzleti folyamatok mára már mérhető hatással bírnak a nyereségességre, termékfejlesztésekre és nem utolsósorban az alkalmazotti elégedettségre.

Ne hozd a saját eszközödet! Veszélyes! ■ A korábbi előnyök elérése azonban nem magától értetődő. A BYOD-t hátráltató egyik fő tényező az üzleti és informatikai vezetők közötti érdekellentét. Ennek az ellentétnek a hátterében az áll, hogy a mobileszközök és a saját fogyasztói technológiák vállalatokon belüli elterjedése jelentősen hátráltathatja a vállalati biztonságot. E tény ellenére a mobil eszközöknek csupán fele rendelkezik a megfelelő alap biztonsági beállításokkal, azaz a vállalatok könnyen érezhetik úgy, hogy az előnyöket messze felülmúlják ezek a biztonsági kihívások.

 

Az egyik fő kihívás, hogy az alkalmazottak olyan eszközöket használnak a vállalati adatok elérésére, melyet többé már nem az IT-részleg menedzsel – az eszközmenedzsment része ugyanis, hogy megelőző biztonsági lépéseket tesznek az adatkiszivárgás, adatlopás megelőzésére, valamint a szabályozásoknak való megfelelésre. A cégen kívül menedzselt eszközöknél a vállalat kezében kisebb az ellenőrzési lehetőség, az eszközökön zajló folyamatokra a rálátás, és korlátozottabbak a csillapítási (mitigációs) tényezők, mint a vállalaton belül menedzselt eszközök esetén. Így saját eszközök használata jelentősen növeli a vállalati adatok terén a biztonsági kockázatokat.

Ennek oka egyszerű: a saját mobileszközök sokkal inkább ki vannak téve a keylogger-eknek, malware-knek és más kibertámadások veszélyének. Egy rosszhiszemű alkalmazott is könnyen képessé válik a vállalati titkok, szabadalmak vagy érzékeny vásárlói információk eltulajdonítására, ezért szükséges a kontrollkörnyezet erősítésével a mobil eszközökön használt adatok védelme, az azokra történő továbbítást követően is. Így akadályozható meg a véletlen, szándékosan hanyag vagy éppenséggel rosszindulatú használat eredményeként létrejövő károkozás.

De van még egy aggály a BYOD-val kapcsolatban, melyről ritkábban esik szó: a jogi problémákról. Ezekre sokszor nehezebb választ adni, mint a technológiaiakra. Ha a vállalati adatokkal kapcsolatok kockázatok nagyok, vagy ha a menedzsment úgy véli, hogy a felhasználók személyiségi jogai sérülhetnek, akár el is utasíthatják a BYOD lehetőségét. Ez még akkor is bekövetkezhet, ha a cég bevet minden, fentebb említett kockázatkezelő módszert. Pénzügyi, személyes vagy orvosi adatokat kezelő vállalkozások esetén ugyanis azokat is kevésnek találhatja a menedzsment a jogi aggályok ellensúlyozására.

Andy Kellett szerint az új eszközök bevezetése azért problémás, mert új technológiáról lévén szó a hozzá tartozó biztonsági infrastruktúra még igen csak kiforratlan. Továbbá bizonyos esetekben úgy kerülnek új eszközök a BYOD rendszerbe, hogy előtte nem konzultálnak az IT-részleggel és sokszor még a mainstream biztonsági cégek mobileszközökre szakosodott integrált ellenőrző rendszerei is kezdeti stádiumban járnak.

Új szemléletmódot az IT-részlegen! ■ Ha a vállalati IT-részlegek különböző korlátozásokat vezetnek be az alkalmazotti eszközhozzáférésben és -használatban, a BYOD könnyen épp a benne rejlő produktivitást eredményező képességét és egyben a hozzáadott értékét veszítheti el. Ez csak az IT-részleg szemléletváltásával kerülhető el. Ahelyett ugyanis, hogy korlátoznák a hozzáféréseket különböző biztonsági indokokkal, az alkalmazottak szabad választását kell prioritással kezelniük. Ahogy az okostelefonok és cloud computing egyre inkább előtérbe hozza a BYOD igényét, az IT-részlegeknek meg kell találnia a helyét ebben az új, szolgáltatásorientált világban. Ehhez teljes mértékben meg kell értenie az alkalmazottak preferenciáit, és biztosítania kell számukra egy biztonságos, de nem korlátozó megoldást.

Kétségtelen, hogy ez a magas használhatósági szintet megkívánó váltás az elején többlet erőforrásokat – időt és pénz – kívánhat az IT részéről, de a befektetés hosszú távon megtérülhet a támogatás óráinak csökkenésével. Az sem elhanyagolható tényező, hogy azok a cégek, melyek gyorsan képesek megszerezni a szükséges tudást és szakértelmet a mobilitásban rejlő lehetőségek maximális kiaknázásához, azzal versenyelőnyt szerezhetnek, azaz a vállalat a termelékenység egy új szintjét érheti el.

Ezenfelül az IT-részlegek számára az ún. nulladik napi („zero-day” – melyek ellen még nem létezik védekezés) fenyegetettségek és a nem vállalati eszközök menedzseléséhez szükséges szakértelem hiánya is felvet aggályokat. A BYOD mindemellett az ismeretlenség egy új szintjét hozza sokszor magával (vírusok, malware-ek, botnetek és egyéb a vállalatot veszélyeztető biztonsági fenyegetések), melyre válaszként az IT-részlegeknek a biztonsági legjobb gyakorlatokkal, oktatással és biztonsági értékelésekkel kell azonosítania vagy javítania a biztonsági kockázatokat.

Vannak biztonsági kockázatok, de kezelhetők ■ A vállalati erőforrásokhoz való mobil hozzáférést két technológiával lehet biztosítani az autentikációval és a hálózathoz való hozzáférés ellenőrzésével. Az autentikációnál az eszközök nagy előnye, hogy önmagukban is autentikációs mechanizmussá válhatnak az egyszeri jelszavakat tartalmazó szöveges üzenetekkel, vagy a biztonságos tokeneket tartalmazó alkalmazásokkal.

A hálózati hozzáférések ellenőrzését (access control) végző rendszerek fontos elemei a törvényi és szabályozási megfelelősségnek, melyek tartalmazzák az audit trail lehetőségét is mely integrálhatóvá válik a GRC (Governance, Risk and Compliance – kormányzás, kockázat menedzsment és törvényi és egyéb szabályozásoknak való megfelelőség) vagy logmenedzsment rendszerekkel. Ráadásul nyomon követhetőek a hozzáférések földrajzi pontjai is. Az access control segítségével egységes hozzáférési szabályzat és eljárás alakítható ki, de az önmagában nem képes teljes mértékben kiváltani az alkalmazottak (például kellően erős jelszavak) és az IT-döntéshozók (csak megfelelő titkosítást támogató eszközök engedélyezése) felelősségét.

Ezért is szükséges egy valós és mindenre kiterjedő BYOD kormányzási szabályzat, amely alapján elérhető, hogy az előnyök felülmúlják a BYOD-vel kapcsolatos hátrányokat. Ennek a kialakítására számos iparági jó gyakorlat létezik, melyek alkalmazásához célszerű a szakértők segítségét kérni. Az általános BYOD problémákra többféle megoldás létezik: a felhő, a mobile device management (MDM) és a virtualizáció személyében.

Segít a felhő? ■ A felhő segítségével a biztonság az applikációs szinten valósítható meg és ez egyben azt is jelenti, hogy többé már nem szükséges a VPN-hozzáférés (Virtual Private Network), így az adatok és alkalmazások felhőben való tárolásával az adatvesztés kockázata is jelentősen csökken.

Az MDM programok segítségével többek között ellenőrizhető, hogy be van-e kapcsolva az eszközökön a titkosítás. Ha nincs, távolról bekapcsolható, sőt akár az eszköz memóriája is kiüríthető rossz kézbe kerülés esetén. Ezek a programok emellett képesek meghatározni az eszközök operációs rendszereit (verziófrissítés), ellenőrizni a javítások (patch) telepítését, az anti-malware programok meglétét és beállításait, a hozzáférés szintjét, valamint hogy feltörték-e az eszközt vagy sem.

A fejlettebb MDM programok integrálhatók az Active Directoryval és egyéb technológiákkal, melyekkel egyszerűsíthető a mobileszközökhöz tartozó jogosultságkezelés. Sőt az MDM programok képesek arra is, hogy a hálózat-hozzáférés engedélyezése esetén kikényszerítsék önmaguk telepítését. Ezután automatikusan a vállalati applikációs boltokhoz irányítják a felhasználókat, ahonnan a szükséges frissítéseket a felhasználók telepíthetik, mielőtt a tényleges kapcsolat létrejönne. Ezek az automatizmusok sok terhet levesznek az IT-részleg válláról. Az MDM segítségével szétválaszthatók a saját készüléken a személyes és céges adatok, így a készülék elvesztése esetén csak a vállalati részt kell törölni központilag.

Bár még nem minden eszköz támogatja ezt a megoldást, bizonyos MDM rendszerek segítségével minden eszköznél meg lehet határozni a kiürítés szintjét, és megoldható, hogy bizonyos alkalmazásokat távolról lehessen törölni vagy letiltani. Persze ez utóbbival célszerű óvatosan bánni, mert a rosszul megválasztott alkalmazások letiltásával a BYOD előnyei teljes mértékben semlegesíthetőek.

Tehát az IT feladata, hogy – a BYOD lényegének megfelelően – felmérje a felhasználók szokásait, és az azt lehető legjobban támogató és leginkább biztonságos megoldást válassza. Az MDM alkalmazások kiválasztásakor mérlegelni kell a termékenként eltérő előnyöket és hátrányokat. Például a Tangoe képes a telefonhasználat költségeit irányítani és az alkalmazások életciklusát felügyelni. A LanDesk kiváló Windows-alapú menedzsment konzollal rendelkezik, míg az SAP/Afaria rendkívül jó opcionális elemzéssel és a belső Sybase-alapú adatbázis-infrastruktúrájával tűnik ki a versenytársak közül. A SOTI MobiAssist segítségével egy PC/mobil helpdesk központot kapunk, amely képes a rendkívül gyors távoli eszközmenedzsmentre. Végül, de nem utolsó sorban a Webroot a vírus és malware észlelő rendszerével hívja fel magára a figyelmet. (A legelterjedtebb MDM eszközökről ad összefoglalást a Networkworld egy tavaly novemberi cikke.)

A virtualizáció mint védelmi eszköz ■ Utolsó megoldásként a virtualizáció szintén képes az adatvesztés problematikáját kiiktatni azáltal, hogy maga az adat sosem hagyja el a vállalatot. A virtualizációs megoldást kínáló szolgáltatók – zömében VMware és Citrix alapokon – mára már támogatják a mobil eszközöket. Ezekben a rendszerekben a mobil felhasználókat ugyanúgy azonosítják, mint a hagyományos eszközöket használókat, így nincs szükség mobilspecifikus technológiák alkalmazására. Itt is több jó céleszköz közül lehet választani, melyeknek persze szintén vannak előnyei és hátrányai is. Például a Nivio a kezdeti egyszerű konfigurációjával, míg a DinCloud az erős és gyors teljesítményével, a DeskTone pedig a magas szintű konfigurációs képességével kíván kitűnni a versenyben. Az ICC Global Hosting az erős vertikális applikáció kinézetével, végül pedig a Applications2U a független szoftverforgalmazókra és azokra az alkalmazásszolgáltatókra fókuszál, akiknek a desktop alkalmazás vonzóbb, mint a web-alapú. A termékekről az alábbi linken olvashatnak egy alapos összevetést.

A virtualizáció mint védelmi eszköz egyik hátránya, hogy megfelelő működése elsősorban a szervezettől, illetve annak alkalmazottaitól függ. Eltérő platformok esetén akár az is előfordulhat, hogy a virtualizációval elvész az eszközökben rejlő előny (például virtuális asztal iPad-en). A virtualizáció csak megfelelő minőségű internetkapcsolat mellett működik hatékonyan, de más esetben is felmerülhetnek teljesítményproblémákat, hiszen sokszor egy második erőforrás-igényes program fut az operációs rendszer mellett.

Egy másik problémaforrás lehet a környezetet kijátszó megoldások, mellyel újra előtérbe kerülhet az adatvesztés problémája. Éppen ezért célszerű megfontolni a dokumentum szintű titkosítást. Zárásként elmondható, hogy sokszor egy hibrid megoldás a legmegfelelőbb.

 

A PwC által készített Global State of Information Security Survey-ből jól látható, hogy a vállalatok többsége különböző módokon, de foglalkozik a mobil eszközök biztonságával. Ezzel együtt a felmérés szerint a BYOD-t tiltó vállalatok száma Európán belül még mindig meglepően magas, 35,3 százalék.

Tehát legyen vagy sem BYOD? ■ A BYOD-nak számtalan előnye van. Éppen ezért a cégeknek, szervezeteknek érdemes törekedniük arra, hogy megfelelő elővigyázatossággal, hangsúlyozottan törekedve a biztonságra, egy cég vagy szervezet kiaknázza a benne rejlő lehetőségeket. Az óvatosság már csak azért is indokolt, mert a szükséges megfontolások nélkül könnyen teherré válhat, ráadásul megvalósítása törvényi megfelelőségbe vagy egyéb vállalati felelősségbe ütközhet.

Ami a BYOD biztonsági oldalát illeti, csupán egy dolog biztos: mint az a biztonság bármely aspektusánál megszokhattuk, a BYOD sem lesz soha 100 százalékig biztonságos. Mivel a mobil eszközök többségét végfelhasználói – és nem céges! – használatra tervezték, hozzák magukkal a vállalati rendszerbe is az ebből eredő kockázatokat. A BYOD bevezetése előtt mindenképpen célszerű szakértőt bevonni, hogy segítsenek felmérni a BYOD-ben rejlő, az adott vállalatra szabott kockázatokat. A szakértő külső nézőpontja, tapasztalata akkor is hasznos lehet, amikor a megvalósításhoz szükséges szabályzatokat, eljárásokat és technológiai infrastruktúrát kell megtervezni és elkészíteni. Így gyorsabban biztosítható, hogy a kiépülő rendszer minden tekintetben megfelel a törvényi szabályozásoknak, és ezáltal csökkenti a kockázatokat.