Leckdo si už ani nedovede představit, že by své e-maily a data neměl k dispozici kdykoliv a kdekoliv. A řada firem je v tom ve jménu vyšší produktivity či zrychlení procesů podporuje. Ruku v ruce s tím však vyvstávají také otázky spojené s bezpečností.

 

Patrick Müller

Channel Account Executive společnosti Sophos

Mobilní přístup k firemním aplikacím, třeba k e-mailu, je dnes samozřejmostí. Běžně k tomu zaměstnanci navíc využívají vlastní přístroj... Jaká rizika z toho mohou vyplynout, pokud IT oddělení podcení aspekty bezpečnosti?

Pokud zaměstnanci přistupují k firemnímu e-mailu přes telefon, případně si na zařízení ukládají firemní dokumenty, je riziko nasnadě. Na rozdíl od počítačů, které bývají zpravidla chráněné heslem a podléhají přísnější kontrole, nebývá u mobilů zavedena jednotná bezpečnostní politika.

O míře zabezpečení telefonu tak rozhodují uživatelé, ale případný únik dat dopadne na celou firmu. Firmy tedy hledají technologická řešení, která by jim umožnila vynutit používání silných hesel na zařízeních svých zaměstnanců, a v případě ztráty tato zařízení lokalizovat, vypnout či rovnou vymazat.

 

Můžete zmínit nějaký konkrétní příklad z praxe?

Incidenty souvisejícími se ztrátou dat se firmy nechlubí a neexistují ani žádné statistiky, takže lze vycházet z průzkumů analytických agentur. Např. IDG Research v roce 2013 zveřejnila průzkum, podle nějž se přes tři miliony Američanů staly obětí krádeže chytrého telefonu. Každý desátý poškozený uvedl, že v souvislosti se ztrátou mohlo dojít i k úniku citlivých firemních dat.

Stále ještě platí, že telefony jsou cílem krádeží převážně kvůli zařízení jako takovému. Útočníci, kteří jdou po firemních datech, se soustředí spíše na USB disky a notebooky. Vzhledem k neustávajícímu nárůstu využívání chytrých telefonů pro přístup k firemním datům se však tento trend pomalu obrací.

 

Jaké bezpečnostní problémy související s mobilními technologiemi řeší firmy v ČR? Jak si stojí ve srovnání s vyspělou Evropou?

Český a slovenský trh obecně v zabezpečení IT za západní Evropou zaostává a ochrana mobilních zařízení není výjimkou. Mnohde si administrátoři uvědomují, že nekontrolované propojení soukromých telefonů a firemních dat znamená riziko, ale přiřazují této problematice nižší prioritu, než například ochraně dat zálohováním.

Obecně se dá říci, že prevencí úniku dat se vážně zabývají hlavně ti, kteří se již stali obětí takového incidentu. Pokud odhlédneme od rizika ztráty dat, setkáváme se často se zájmem o MDM technologie i z důvodů usnadnění správy: vzdálené nastavení e-mailových účtů, podpora přes vzdálené sdílení obrazovky, sledování stavu zařízení, provolaných minut a podobně.

 

IT oddělení dnes mohou volit mezi zmíněným systémem pro správu mobilních zařízení (MDM - Mobile Device Management) nebo systémem pro správu mobilních aplikací (MAM - Mobile Application Management). Můžete vysvětlit, jak se od sebe liší? Za jakých okolností je vhodné MDM a kdy naopak má firma volit MAM?

MDM je historicky nejstarší přístup k ochraně mobilních zařízení, který zajišťuje základní bezpečnostní funkce: vynucení hesel a jejich vzdálenou obnovu, vzdálenou lokalizaci, zamčení a smazání, třídění zařízení do skupin, monitoring stavu zařízení a podobně.

Naopak MAM se objevil později jako reakce na potřebu firem mít pod kontrolou aplikace používané zaměstnanci. MAM bývá součástí sofistikovanějších řešení spolu s dalšími kategoriemi, jako je Mobile Content Management (distribuce, správa a ochrana citlivých firemních dokumentů), Mobile Email Management (správa a konfigurace e-mailových účtů) a Mobile Security (antivirus, filtrování webu, zabezpečení mobilních plateb, případně šifrování zařízení).

Samotný MDM tedy vnímáme jako základní ochranu a správu, zatímco pokročilejší výše uvedené funkce se slučují pod zkratku EMM (Enterprise Mobility Management), kterou již rozeznává i Gartner.

Volba úrovně zabezpečení je vždy dána investicí, kterou je ochotna ta která firma do bezpečnosti vložit, procesy, jež je odhodlána zavést a mírou restrikcí, kterou jsou její zaměstnanci schopni unést.

 

Rozhovor byl publikován v magazínu ICT revue.