BYOD w praktyce, czyli wolę mój prywatny komputer i co teraz?

April 13, 2021, 08:41

Każdy z nas ma wyrobine w sobie określone nawyki i przyzwyczajenia, według których funkcjonuje, zarówno w życiu codziennym jak i biznesowym. Pracodawcy coraz częściej doceniają nasze przyzwyczajenia i dopuszczają możliwość korzystania z komputerów osobistych oraz smartfonów w celach służbowych. Naukowcy twierdzą, że taka sytuacja zwiększa nasz komfort (nie ukrywajmy, jest to też bardzo wygodne), dlatego zjawisko BYOD (Bring Your Own Device) występuje już w prawie każdej firmie. Pracownicy często korzystają z sieci firmowej, aby zalogować się i pobrać dane firmowe na własny komputer lub smartfon, który prawie zawsze jest zabierany do potem do domu lub w podróż. 

W takiej sytuacji powinniśmy jednak zadać bardzo ważne pytania – czy przetwarzane w taki sposób dane firmowe oraz dane naszych klientów są wciąż bezpieczne? 

Każda organizacja, która korzysta z BYOD musi wdrożyć odpowiednie procedury bezpieczeństwa, a pracownik ceniący swoją wygodę musi się do nich dostosować. Nie możemy dopuścić do sytuacji, kiedy korzysta on ze sprzętu prywatnego w celach służbowych, który nie jest zabezpieczony przez oprogramowanie szyfrujące, antywirusowe oraz anty-malware. Należy pamiętać, że nie mówimy tutaj tylko o procedurach wewnętrznych. Wymogi prawne wymuszają również na poszczególnych organizacjach odpowiednie zabezpieczenia oraz przeprowadzenie prawidłowej analizy ryzyka takich wdrożonych rozwiązań. 

Podstawowym zabezpieczeniem jest kontrola dostępu do sieci. Musimy wiedzieć kto i kiedy ma dostęp do poufnych informacji firmy, a także przetwarzanych danych osobowych. Istnieje bowiem ogromne ryzyko, że wpuścimy do naszej sieci niezabezpieczony komputer lub taki, który posiada jakieś luki w bezpieczeństwie. Takie luki może posiadać zarówno komputer jak i urządzenia mobilne. Część złośliwego oprogramowania może znajdować się np. w grach lub aplikacjach, które zostały specjalnie przygotowane przez cyberprzestępców w celu penetracji środowiska sieciowego firmy, a następnie kradzieży danych, a znajdują się one na naszych komputerach i telefonach. Dlatego tak ważne jest, aby każda organizacja wdrożyła odpowiednie mechanizmy zabezpieczające dane firmy przed takim ryzykiem. 

Jednym z najpopularniejszych zabezpieczeń jest szyfrowanie danych poprzez VPN lub wykorzystanie oprogramowania MDM dla urządzeń mobilnych. MDMy są świetne do zarządzania urządzeniami mobilnymi, blokują możliwość instalowania, aktualizowania czy pobierania aplikacji z nieznanych stron lub z niezabezpieczonych połączeń pochodzących z sieci. Dlatego bardzo istotne jest zabezpieczenie urządzeń prywatnych, które są wykorzystywane w celach służbowych.

Wyobraźmy sobie jednak inną sytuację – co jeśli pracownik pracuje na zabezpieczonym sprzęcie firmowym, ale znając hasło do WIFI podłącza do sieci prywatny telefon. Jeden taki niezabezpieczony telefon może posłużyć jako punkt zapalny, który może narazić całą organizację na konsekwencję zarówno finansowe jak i wizerunkowe. 

W jaki jeszcze sposób organizacja powinna się bronić przed taką sytuacją? Z pomocą przychodzą nam systemy klasy NAC (Network Access Control). Dzięki systemowi NAC możemy weryfikować dostęp do zasobów i usług sieciowych opierając się na informacji o logującym – jego tożsamości, urządzenia, czas oraz stan zabezpieczeń urządzenia. Analizując powyższe parametry, system NAC decyduje o możliwości dostępu do sieci firmowej, blokuje dostęp lub przekierowuje urządzenie do osobnej podsieci, ograniczając dostęp do zasobów. Dzięki takiemu podejściu możemy bezpiecznie wdrożyć w organizacji podejście BYOD bez obawy przed zewnętrznymi zagrożeniami. Będziemy mogli wtedy centralnie zarządzać i definiować poszczególne polityki bezpieczeństwa, dzięki czemu mamy pewność, że nasze polityki bezpieczeństwa są przestrzegane przez wszystkich pracowników. 

Więcej o systemach klasy NAC i ich działaniu pisaliśmy tutaj:

Fosa bez krokodyli i wody, czyli dlaczego brak systemu typu NAC (Network Access Control) naraża Twój kapitał


KW