Österreich
Secure Your Business
 

BYOD – BEZPEČNÉ POUŽÍVÁNÍ SOUKROMÝCH ZAŘÍZENÍ V PODNIKU

Komentář univerzitní asistentky a auditorky CIS Dr. techn. Margareth Stollové

 

Společnost Gartner provádějící průzkumy trhu očekává, že "Bring Your Own Device" (BYOD) změní client-computing ve firmě stejně tak revolučním způsobem, jako zavedení osobních počítačů. Jak lze přesto zaručit vysokou bezpečnostní úroveň pomocí řízení bezpečnosti informací podle ISO 27001, to osvětluje Margareth Stollová v tomto příspěvku.

 

(Pros. 2012) - Zatímco podniky své náklady na IT sledují stále kritičtěji, investují soukromí uživatelé ve stále větší míře do chytrých telefonů, tabletů a notebooků. Jimi si přes aplikace a sociální sítě vyměňují informace, přes cloud služby mají přístup ke svým datům a vyřizují emaily 24 hodin denně. Stejně tak samozřejmě chtějí snadno a efektivně pracovat ve svém povolání zejména manažeři a mladí zaměstnanci. Podle studie „British Telecommunications“ plní 42% dotazovaných zaměstnanců své profesní úkoly svými soukromými přístroji produktivněji. Externí pracovníci zadávají informace přímo na místě a využívají efektivně dobu strávenou na cestách. Jestliže pohotovostní služba provádí zásahy z domu, odpadají cesty a problémy se řeší rychleji. Podle společnosti Gartner tak již 90% firem přiděluje svým zaměstnancům chytré telefony. 86% totéž plánuje pro tablety. To s sebou ale přináší větší bezpečnostní obavy.

 

Zakázat nebo regulovat pomocí předpisů?
Mají firmy používání soukromých přístrojů, resp. používání mobilních firemních přístrojů pro soukromé účely striktně zakázat? Schovávají tak manažeři informační bezpečnosti pouze hlavu do písku? Myslíme třeba na USB flash disky? I přes zákaz se používaly, aby bylo možné doma včas vyřídit naléhavé činnosti. Poté, co podle vědeckých studií efektivnost velmi podstatně ovlivňuje dodržování zákazů, bude tlak na IT a bezpečnost informací dále stoupat.

 

Využívat jako přidanou hodnotu
Jak mohou podniky tyto změny proaktivně využít jako přidanou hodnotu? Samozřejmě, že musí chránit důvěrná data a duševní majetek a zabezpečit disponibilitu a integritu běžných obchodních činností. Na co je třeba dbát, aby se podporovala efektivní, flexibilní práce při dostatečné bezpečnosti? K tomu patří technické výzvy jako rozmanitost koncových zařízení a operačních systémů, aktuálnost bezpečnostních updatů, směšování firemních a soukromých dat, potřebná virtualizace, sjednocení, zašifrování, přizpůsobení bezpečnostní architektury a aplikací aj. Rovněž je nutné vyjasnit organizační otázky, jako řízení informací, klasifikace dat, optimalizace procesů, flexibilní modely práce, distribuce a údržba mobilních přístrojů, péče o uživatele a další. Dále je nutné zohlednit právní, regulatorní, daňové a ekonomické aspekty. Používání mobilních/soukromých přístrojů navíc vyžaduje vyšší povědomí zaměstnanců o bezpečnosti, technické odbornosti a vedení zaměstnanců založené na důvěře a orientované na výsledky.

 

Řízení bezpečnosti informací pomocí normy ISO 27001
Je tedy potřebný komplexní přístup, jak jej doporučuje norma pro řízení bezpečnosti informací ISO 27001. V souladu s bezpečnostními zásadami stanovenými v podniku se určí obchodní, smluvní a právní/regulační bezpečnostní požadavky na příslušná data. Následně se provede analýza rizik. Na základě těchto požadavků a potenciálních hrozeb podniky zjistí možná rizika a potenciál pro vznik škod. Při tom se zohlední i uplatňovaná preventivní opatření. Na základě těchto informací se rozhodne, pro která data a aplikace bude použití mobilních/soukromých přístrojů přípustné a za dodržení jakých bezpečnostních opatřeních. K tomu se definují možné výpadky a nouzové situace. K jejich zabránění nebo omezení se vypracují vhodné postupy.

 

Strategická role bezpečnosti informací
Kromě uvedeného by mohla bezpečnost informací a IT ve větší míře plnit svou strategickou roli k zajištění trvalého úspěchu podniku. Klady a zápory použití mobilních přístrojů na podporu rozvoje podniku by se měly rozvážně a systematicky analyzovat při zohlednění všech aspektů. Z toho by se měly odvodit a uplatňovat jasné strategie a směrnice, které je nutné pravidelně prověřovat z hlediska jejich aktuálnosti. Optimální rovnováha mezi flexibilitou a efektivitou, a náklady a bezpečností je základem pro maximální profit.

 

Dr.techn. Margareth Stollová je poradkyně v oblasti bezpečnosti informací a řízení IT služeb, a asistentka nadace QE LaB na Univerzitě Innsbruck (podporované Tyrolskou regionální agenturou). Kromě toho působí jako auditorka CIS pro ISO 27001 a ISO 20000.

 
 
CIS - Certification & Information Security Services, s.r.o. T +420 284 007 503 office.cz@cis-cert.com Imprint

T&C