19 Υπεύθυνοι Ασφαλείας περιγράφουν τις βασικές αρχές για το πώς μπορεί μια επιχείρηση να εκμεταλλευτεί καλύτερα τις ευκαιρίες που προσφέρει η σύγχρονη τεχνολογία κινητών επικοινωνιών.
Η RSA, το τμήμα ασφαλείας της EMC, έδωσε στη δημοσιότητα την έκθεση με τα αποτελέσματα μιας νέας έρευνας του SBIC (Συμβούλιο για την Ασφάλεια της Επιχειρηματικής Καινοτομίας – Security for Business Innovation Council) στην οποία εξετάζεται η έντονη και συνεχής αύξηση του πληθυσμού των κινητών στα εταιρικά δίκτυα.
Στην έκθεση περιλαμβάνεται η άποψη κορυφαίων ειδικών από το χώρο της ασφάλειας δικτύων, αναφορικά με το πώς μπορεί ένας Οργανισμός να διαχειρίζεται το αντίστοιχο ρίσκο και παράλληλα να μεγιστοποιεί τις επιχειρηματικές δυνατότητες που δημιουργεί η νέα αυτή πραγματικότητα. Οι διαδικτυακές απειλές μέσω κινητών εξελίσσονται ταχύτατα, ενώ η γρήγορη ανάπτυξη νέων τεχνολογιών δημιουργεί πρόσθετα κενά ασφαλείας.
Καθώς όλο και περισσότεροι καταναλωτές αποκτούν πρόσβαση σε εταιρικά δίκτυα – μαζί με τη δυνατότητα να αποθηκεύουν εταιρικά data σε φορητές συσκευές – οι ενδεχόμενες καταστροφικές επιπτώσεις ξεκινούν από την απώλεια ή τη διαρροή πολύτιμων, πνευματικά κατοχυρωμένων πληροφοριών και φτάνουν μέχρι την πρόκληση ζημιάς στην εταιρική εικόνα, αν για παράδειγμα παραβιαστεί ολόκληρο το πρωτόκολλο ασφαλείας της επιχείρησης. Όλα τα μέλη του Συμβουλίου συμφωνούν ότι ήρθε η ώρα οι επιχειρήσεις να ενσωματώσουν τη διαχείριση κινδύνου στη στρατηγική τους όσον αφορά στις κινητές επικοινωνίες. Τα πιθανά οφέλη από μια τέτοια επιλογή περιλαμβάνουν μεγαλύτερη ευελιξία, μεγαλύτερη παραγωγικότητα, ταχύτερες πωλήσεις και μικρότερα κόστη. Όμως η αξιοποίηση των επιχειρηματικών ευκαιριών που δημιουργεί το mobile computing είναι εφικτή μόνον αν οι επιχειρήσεις γνωρίζουν τους σχετικούς κινδύνους, αλλά και το πώς να τους διαχειρίζονται.
Η τελευταία έκθεση του SBIC με τίτλο “Realizing the Mobile Enterprise: Balancing the Risks and Rewards of Consumer Devices,”αντλεί από τον πραγματικό κόσμο και την εμπειρία 19 υπεύθυνων ασφαλείας, οι οποίοι εκπροσωπούν μερικούς από τους πιο προχωρημένους Οργανισμούς, σε θέματα ασφαλείας.
Στην έκθεση εντοπίζονται οι κυριότερες πηγές κινδύνων που μπορεί να προκύψουν μέσω κινητών επικοινωνιών σήμερα, ενώ εξετάζεται και η προοπτική της εξέλιξής τους στο άμεσο μέλλον. Επίσης δίνονται απαντήσεις σε ορισμένα κρίσιμα ερωτήματα, όπως:
1 Ποιες είναι οι πιο σοβαρές αποφάσεις σε σχέση με την πολιτική πρόσβασης κινητών σε ένα εταιρικό δίκτυο και ποιος θα πρέπει να τις πάρει;
2 Πώς εξουδετερώνονται πιθανοί κίνδυνοι από την απώλεια ή την κλοπή μιας φορητής συσκευής;
3 Τι θα πρέπει να περιλαμβάνει μια συμφωνία του τύπου BYOD (Bring Your Own Device);
4 Να χρησιμοποιείται ή όχι μια εφαρμογή διαχείρισης κινητών (MDM);
5 Τι είναι απαραίτητο για το σχεδιασμό μιας ασφαλούς εφαρμογής για κινητά;
Στην έκθεση καταγράφονται πέντε στρατηγικές για τη δημιουργία ενός ευέλικτου και αποτελεσματικού προγράμματος για φορητές συσκευές/κινητά:
1. Υλοποίηση του mobile governance – Οι Οργανισμοί θα πρέπει να δημιουργήσουν διατμηματικές ομάδες, οι οποίες θα ορίσουν τους βασικούς κανόνες. Στην αρχή κάθε πρότζεκτ που περιλαμβάνει την αξιοποίηση κινητών συσκευών θα πρέπει να τίθενται με σαφήνεια οι επιχειρηματικοί στόχοι, όπως η εκτίμηση για την προσδοκώμενη μείωση κόστους ή τη δημιουργία νέων εσόδων, ενώ παράλληλα θα πρέπει να οριστεί και το επίπεδο του κινδύνου το οποίο αποδέχεται ο Οργανισμός προκειμένου να πετύχει αυτούς τους στόχους.
2. Δημιουργία ενός βραχυπρόθεσμου σχεδίου δράσης – Το mobile security εξελίσσεται πολύ γρήγορα, ενώ πολλές φορές οι σχετικές τεχνολογίες βρίσκονται σε τόσο πρώιμο στάδιο, που δεν επιτρέπουν στους Οργανισμούς να προχωρήσουν σε μακροπρόθεσμες επενδύσεις στο συγκεκριμένο τομέα. Tο SBIC παρουσιάζει ορισμένα βασικά βήματα και μέτρα για την κάλυψη των κενών ασφαλείας (stop-gap measures), με ορίζοντα τους επόμενους 12-18 μήνες.
3. Απόκτηση εμπειρίας σε θέματα ασφάλειας των mobile app – Ενώ είναι πολύ βασικό για μια επιχείρηση να γνωρίζει πώς να σχεδιάζει mobile apps με τρόπο που θα προστατεύει τα εταιρικά της δεδομένα, πολλοί από τους εμπλεκόμενους δεν έχουν την απαιτούμενη εμπειρία. Το SBIC δίνει ορισμένα βασικά κριτήρια σχεδιασμού mobile apps και τονίζει ότι μία εφαρμογή δεν αρκεί απλώς να συνδέεται με την πολιτική ασφαλείας, αλλά θα πρέπει να εξετάζεται προσεκτικά η συνολική της αρχιτεκτονική και οι λειτουργίες της.
4. Ένταξη του mobility στη μακροπρόθεσμη στρατηγική – Πάμπολλες είναι οι τάσεις που μπορούν να επηρεάσουν το μακροπρόθεσμο σχεδιασμό όσον αφορά στη διαχείριση κινδύνων. Οι Οργανισμοί θα πρέπει να υιοθετήσουν μια πιο σύγχρονη προσέγγιση στο θέμα της ασφάλειας, στην οποία περιλαμβάνονται ευέλικτες risk-based μέθοδοι ταυτοποίησης των χρηστών, κατάτμηση του εταιρικού δικτύου, έλεγχοι ασφαλείας προσαρμοσμένοι στον τύπο των δεδομένων (data-centric security) και gateways που βασίζονται στην τεχνολογία cloud.
5. Διαρκής επιμόρφωση και προσοχή – Οι ομάδες που είναι υπεύθυνες για την ασφάλεια των εταιρικών υποδομών θα πρέπει να εμβαθύνουν και να επιμορφώνονται διαρκώς για το σύνολο των κινητών επικοινωνιών (mobile ecosystem).
Σχόλια Στελεχών:
Art Coviello, Εκτελεστικός Αντιπρόεδρος της EMC, Εκτελεστικός Πρόεδρος της RSA.
“Η κυριαρχία των κινητών ή φορητών συσκευών και των αντίστοιχων εφαρμογών δημιουργεί τεράστιες επιχειρηματικές ευκαιρίες για τους Οργανισμούς, αλλά ταυτόχρονα συνοδεύεται και από εξίσου μεγάλους κινδύνους. Η νέα αυτή έκθεση του SBIC καταγράφει τις κατευθυντήριες γραμμές μιας στρατηγικής που βοηθά τους Οργανισμούς όχι μόνο να μειώσουν την έκθεσή τους στα ρίσκα που ενέχει το mobility, αλλά και να δημιουργήσουν ειδικά προγράμματα που θα τους επιτρέψουν να εκμεταλλευτούν πλήρως τα προτερήματα του mobile enterprise.”
William Boni, Chief Information Security Officer, VP Enterprise Information Security, T-Mobile USA.
“Όπως και με τα PCs, στο mobile computing θα δούμε ένα εν πολλοίς καταναλωτικό φαινόμενο να εξελίσσεται σε ένα ολοκληρωμένο πλαίσιο λειτουργίας για τις επιχειρήσεις, το οποίο θα προσφέρει επαρκείς τρόπους προστασίας των εταιρικών δεδομένων. Αυτό θα πρέπει να γίνει σύντομα. Θα γίνει όμως αρκετά γρήγορα; Αυτή τη στιγμή υπάρχει ένα μπρα ντε φερ ανάμεσα στις κακόβουλες τεχνολογίες και τους τρόπους διασφάλισης υποδομών και δεδομένων.
