Bezpečnost a správa mobilních zařízení



Ano, klidně můžete nechat své uživatele mobilních zařízení jejich osudu. Nestarat se o to, jaká firemní data mají na svých smartphonech a tabletech, jak na nich pracují, ani co si do nich instalují. Vážně neříkáme, že to tak nejde. Ale zpravidla to nebude dobrý nápad, stejně jako většinou není dobrý nápad nechat zaměstnancům naprostou volnost v používání pracovního počítače. Pojďme se tedy společně podívat na možnosti správy mobilních zařízení. Na funkce podporované samotnými zařízeními i na balíky typu MDM (Mobile Device Management).

Koncová zařízení: Apple vs. Google

U koncových zařízení se budeme věnovat především produktům s operačnímiPro správu a zabezpečení mobilních zařízení je k dispozici řada nástrojů.
Pro správu a zabezpečení mobilních zařízení je k dispozici řada nástrojů.
systémy iOS od Apple a Android od Google, protože právě ony jsou aktuálně na trhu nejpopulárnější. Lze samozřejmě namítnout, že na firemní uživatele daleko dříve mířily přístroje Blackberry, že druhá pozice na trhu chytrých telefonů podle posledních výsledků (druhé čtvrtletí 2011) patří Symbianu, nebo že zajímavý jednou bude i Windows Phone 7 (v Nokiích), ale vzhledem k aktuálnímu stavu trhu dáme přednost prvním dvěma zmíněným systémům. Nicméně řada údajů v následujícím textu platí obecně pro všechny platformy.

Jak operační systém iOS od Apple, tak Android od Google, udělaly od svého vstupu na trh velký pokrok z hlediska možností centrální správy. U Androidu je ovšem nepříjemnou komplikací skutečnost, že jsou aktuálně na trhu k dispozici zařízení se značně odlišnými verzemi tohoto operačního systému, takže nabízejí různé schopnosti.

Samotný systém iOS disponuje nástroji, které dávají IT oddělením možnost poměrně snadno mobilní telefony a tablety od Apple vzdáleně konfigurovat, sledovat shodu jejich chování s firemními bezpečnostními pravidly a v případě potřeby zařízení zamknout nebo kompletně vymazat. V iOS je možno provést širokou škálu nastavení, je možné mimo jiné zakázat používání vestavěného fotoaparátu nebo pořizování screenshotů, nepovolit instalaci nových aplikací nebo provádění nákupů z aplikací již nainstalovaných, případně zakázat používání vybraných aplikací.

Tipy na používání mobilních zařízení ve firmě

  • Definujte firemní pravidla pro používání soukromých mobilních zařízení k pracovním záležitostem. Povolíte-li ho, seznamte jejich majitele s omezeními, která to pro ně bude při používání jejich přístrojů znamenat.
  • Zveřejněte pravidla správného používání mobilních zařízení tak, aby každý zaměstnanec znal pravidla hry. Ta by měla mimo jiné zahrnovat pravidla pro fyzickou bezpečnost (např. kde lze zařízení uchovat, není-li zrovna používáno) i pravidla pro používání hesel, pro přístup k firemním systémům nebo pro používání aplikací třetích stran.
  • Přidělte každému přístroji identifikační číslo, abyste jej mohli snáze spravovat a případně sledovat, kdo jej má právě v užívání.
  • Zajistěte, aby ani v případě ztráty nebo krádeže zařízení neunikla ven citlivá firemní data.
  • Zajistěte pravidelné zálohování dat ze zařízení. Případně upozorněte uživatele soukromých zařízení, že soukromou část dat si musejí zálohovat sami.
  • Zajistěte bezpečnost přístupu z mobilních zařízení k firemním systémům, např. prostřednictvím VPN.
  • Zahrňte mobilní zařízení do svého softwarového auditu a nezapomeňte na updaty a záplatování mobilních operačních systémů a aplikací.
  • Zvažte potřebu instalace antimalwarového softwaru na mobilní zařízení a pokud usoudíte, že je s ohledem na nastavení pravidel potřebný, zajistěte jeho instalaci a správu.
  • Provádějte pravidelnou revizi vydaných pravidel.

Android přinesl rozšířené možnosti správy v rámci firemní infrastruktury s příchodem své verze 2.2. Také u něj mohou administrátoři na dálku smazat všechna data ze ztraceného nebo ukradeného zařízení, zamknout přístup k zařízení po určité době nečinnosti, případně vyžadovat používání hesla na každém zařízení a nastavit jeho minimální požadovanou délku (případně si vynutit, aby heslo obsahovalo jak znaky, tak číslice). Tyto možnosti jsou k dispozici, pokud je na zařízení nainstalována aplikace Google Apps Device Policy od Google, která je zdarma ke stažení na Android Marketu. Nutno ovšem říci, že výše uvedeným výčtem možnosti vzdálené správy v podstatě končí (a ve srovnání s většinou ostatních platforem, včetně iOS, jsou tak podle analytiků výrazně chudší).

V této souvislosti stojí ještě za zmínku pravidla pro způsob odemykání smartphonu. Použití nějaké formy gesta namísto zadání alfanumerického hesla v sobě skrývá nebezpečí, že možný nálezce nebo zloděj telefonu odhalí kód ze šmouh na displeji. Nabízí se tedy vynucení zadání alfanumerického hesla, ale má to své „ale“. Ne vše, co zajistí vyšší bezpečnost, je oblíbeno u uživatelů. Třeba z komentářů uživatelů smartphonu HTC Sense na internetu zjistíte, že s radostí používají aplikaci LockPicker, která je povinného alfanumerického hesla zbaví.

Antimalware pro smartphony

Společnost AVG, známý výrobce bezpečnostních řešení mj. i pro mobilní zařízení, varuje, že počet útoků – především na zařízení s operačním systémem Android – strmě roste. Pokud tedy nechcete spoléhat jen na zodpovědné chování uživatelů těchto zařízení, bude pro vás zřejmě dávat instalace některého z antimalwarových produktů dobrý smysl.

Již zmíněná společnost AVG nabízí svůj software AVG Mobile Security, který těží z dřívější akvizice společnosti DroidSecurity, která se specializovala právě na bezpečnost mobilních zařízení. Mobile Security kontroluje obsah stahovaných aplikací, mailů, SMS a webových stránek na přítomnost škodlivého softwaru, případně dodatečně proskenuje mobilní zařízení na viry, které je schopna i odstranit. Je rovněž schopna být nápomocna při lokalizaci ztraceného nebo ukradeného přístroje, případně při jeho zamčení, či při vymazání jeho obsahu.

Podobnou funkcionalitu nabízí i ESET Mobile Security (pro Android je nyní k dispozici verze Release Candidate), jehož výrobce se chlubí i funkcí takzvaného bezpečnostního auditu, který by měl odhalit potenciální bezpečnostní rizika, nebo Kaspersky Mobile Security, který si zase zakládá na funkci speciální ochrany vybraných citlivých kontaktů.

Z dalších výrobců mobilních antimalwarových řešení jmenujme ještě alespoň firmy McAfee, F-Secure, Symantec (Norton) nebo Trend Micro.

Software pro správu

Komplexní systém pro správu mobilních zařízení (MDM) by měl podle definice analytiků společnosti Gartner nabízet především správu softwaru – včetně instalace, updatu, smazání nebo blokování mobilních aplikací, správu zabezpečení i pravidel využívání zařízení a správu souvisejících telekomunikačních služeb. Od MDM lze rovněž očekávat, že správcům IT poskytne podklady pro softwarový audit mobilních zařízení, pro bezpečnostní audit i pro rozúčtování nákladů.

K dispozici je skutečně pestrá nabídka MDM produktů od řady firem, z nichž některé se na tento segment trhu specializují, pro jiné tvoří doplněk jejich širšího produktového portfolia. Z první skupiny jmenujme například firmy Absolute Software, AirWatch, BoxTone, MobileIron, Tangoe nebo Zenprise. Do druhé skupiny patří například McAfee, Microsoft, Motorola Solutions, Research In Motion nebo Sybase (nyní SAP). Všechny běžně nabízené produkty jsou schopny spravovat mobilní telefony s různými operačními systémy (typicky iOS, Android, OS Blackberry, Windows Mobile, Symbian a některé i WebOS).

Správa je realizována v modelu klient/server, kdy na mobilních telefonech běží agent, jenž poskytuje serverové části, s níž pracují správci, potřebné informace, a zajišťuje provádění zaslaných instrukcí (nastavení smartphonu apod.). Agent přitom může být součástí operačního systému nebo může být do přístroje nahrán dodatečně. Obecně lze říci, že pokud systém pro správu spoléhá na integrovaného agenta, je omezen schopnostmi dané platformy tak, jak už jsme je zmiňovali výše.

Agent prostřednictvím dostupných komunikačních kanálů nejen přijímá instrukce a odesílá informace o stavu telefonu, ale může také hlídat, zda nedošlo k nějaké z definovaných situací, na kterou je třeba podle dříve nastavených pravidel zareagovat. Tak lze například v okamžiku, kdy se telefon ocitne v roamingu, zakázat nebo omezit přenosy dat.

Odlišnosti různých řešení

Jednotlivé MDM se od sebe liší nejen škálou nabízených funkcí a rozhraním (typicky webové, k dispozici je zpravidla API a někdy desktopová aplikace), ale také způsobem poskytování (jako běžný software, SaaS, appliance), rozsahem podpory, škálovatelností, podporou adresářových služeb (typicky je podporován Active Directory, často i Open Directory) nebo prací s profily uživatelů. Většina systémů je schopna detekovat práci s nepovolenými aplikacemi v iOS nebo jailbreak iOS (úprava iOS, při které uživatel k telefonu získá plná přístupová práva, a může tak například instalovat neautorizované aplikace, různá rozšíření apod.; obecně, bez ohledu na operační systém, je tato úprava označována jako rooting).

Dodejme ještě, že řada IT oddělení používá k základní správě mobilních zařízení ve firmě Microsoft Exchange Server a ActiveSync, se kterým jsou dnes mnohá mobilní zařízení schopna nativně komunikovat. Toto řešení umožňuje mimo jiné vzdálené vymazání obsahu telefonu (mobilního zařízení) nebo nastavení vymazání po určitém počtu neúspěšných pokusů o odemknutí telefonu, nastavit pravidla pro heslo (délku, složitost apod.) nebo délku neaktivity uživatele, po které dojde k zamčení telefonu (a pro odemčení je třeba užít heslo). Nastavit lze rovněž třeba pravidla pro šifrování dat v telefonu a na paměťových kartách.

Úskalí systémů MDM

Společnost Gartner ve své letošní zprávě o MDM varuje před některými úskalími těchto systémů. První z nich již bylo naznačeno výše – některé z mobilních operačních systémů výrazně limitují možnosti správy, a tak nelze očekávat, že všechny chytré telefony ve firmě – pokud pracují na různých softwarových platformách – nabídnou stejnou úroveň správy. Gartner přitom varuje především před nevyzrálostí platformy Android.

Současně upozorňuje, že ačkoli je Blackberry historicky nejvýznamnější platformou chytrých telefonů pro použití ve firmách, ne všechny MDM systémy podporují integraci s BES (Blackberry Enterprise Server). Pokud tedy používáte mimo jiné i zařízení Blackberry, je vhodné být v tomto ohledu ostražitý.

Ohledně správního rozhraní systémů MDM Gartner doporučuje pečlivě zkoumat, zda nabízí vše, co bude při práci třeba – a upozorňuje, že některé systémy nabízejí jen velmi omezené možnosti reportingu a nástrojů BI (Business Intelligence). K dispozici by podle analytiků měly být jak textové, tak grafické výstupy, a to jak předpřipravené, tak uživatelsky definované.

Ještě několik poznámek

Trendu používání soukromých mobilních zařízení v zaměstnání se postupně přizpůsobují i výrobci. Například společnost Research In Motion, výrobce zařízení Blackberry, letos na jaře představila technologii Balance, která umožňuje snadný přístup k soukromým i pracovním datům na jednom zařízení, ale současně oba typy dat uchovává odděleně. Výrobce se chlubí, že je tak zachována jak snadnost použití zařízení, tak bezpečnost citlivých podnikových dat.

Za jeden z nejvýraznějších celosvětových trendů dneška bývá označován přístup, kdy si zaměstnanci přinášejí do zaměstnání svá vlastní mobilní zařízení – vybraná dle vlastních preferencí – a je jim z nich umožněn – v různé míře – přístup k firemním IT zdrojům. Za hlavní výhodu tohoto stavu je označována vyšší produktivita, nevýhody jsou však zřejmé: Heterogenní IT prostředí se hůře spravuje, a pokud má být učiněno bezpečnostním pravidlům zadost, je třeba omezit činnosti, které uživatel může se svým zařízením provádět. Přitom se ale nelze stoprocentně spolehnout na to, že nasazená ochrana nebude uživatelem překonána. I když aktuální vývoj mobilních platforem i systémů pro jejich správu naději, že se tento problém v budoucnu podaří do značné míry vyřešit, rozhodně to nelze očekávat v horizontu několika málo měsíců.


(září 2011 | redakce2)


Předcházející článek: <<< Nejlepší open-source nástroje pro správu IT <<<
Následující článek: >>> Nasazení cloudu v praxi >>>

Tento článek je součástí těchto speciálů:

Moderní správa IT ve firmě


Moderní správa IT ve firmě. Foto: BusinessIT.cz

Tentokrát jsme pro náš speciál zvolili jinou strukturu než obvykle; vzhledem k faktu, že je správa IT tématem, u kterého nedává příliš velký smysl vysvětlovat její základní principy (IT manažeři je znají a vedení firem zpravidla nemá důvod do jejich tajů dopodrobna pronikat, protože pro něj jsou důležité výsledky), rozhodli jsme se začít jiným typem článku – pohledem na strategické řízení IT. Jde tedy opět o text vhodný i pro manažery mimo IT – věnuje se totiž pohledu na správu IT z nadhledu – zabývá se potenciálem informačních technologií a tipy pro plánování na delší časové období.




Mobilní zařízení dneška: Pro váš lepší byznys


Velký zájem nyní přitahují tablety, zásadní změny se ale odehrávají i v oblasti mobilních telefonů

Sběr dat v terénu, sledování pozice firemních vozů, prezentace pro zákazníky, vzdálený přístup k e-mailu, ke kalendáři i k datům z firemního informačního systému – to vše jsou dobře známé příklady využití mobilních zařízení ve firmách. Velký zájem v posledních cca 18 měsících přitahují tablety, ale zásadní změny se odehrávají také v oblastech mobilních telefonů a čteček e-knih – a byť posledně jmenovaná zařízení míří především na domácí uživatele, i jim se budeme v tomto speciálu zaměřeném na použití mobilních technologií v byznysu věnovat.



Předcházející článek: <<< 7 tipů na využití mobilních technologií v podnikání <<<
Následující článek: >>> Z praxe: Kdo a jak využívá tablety k podnikání >>>

Komentáře, názory a rady

Zatím sem nikdo nevložil žádný komentář. Buďte první...

>>> Číst a vkládat komentáře <<<

Tip - Konference: Cloud computing v praxi - 23.3.2017!


Otázky a odpovědi z IT: Diskusní portál Bizio.cz
Pozoruhodné IT produkty pro rok 2017
Věříme, že v tomto přehledu pozoruhodných produktů najdete ty, které vám pomohou ve vaší práci v IT.




Anketa


©2011-2017 BusinessIT.cz, ISSN 1805-0522 | Názvy použité v textech mohou být ochrannými známkami příslušných vlastníků.
Provozovatel: Bispiral, s.r.o., kontakt: BusinessIT(at)Bispiral.com | Inzerce: Best Online Media, s.r.o., zuzana@online-media.cz
Používáme účetní program Money S3
O vydavateli | Pravidla webu BusinessIT.cz a ochrana soukromí | pg(103)