Mind több vállalatnál engedélyezik a munkavállalók számára a saját eszközök használatát (BYOD), ami növeli a termelékenységet, valamint lehetővé teszi a rugalmas munkavégzést és a munkahelyi hálózat elérését bárhonnan, bármikor, a legkülönfélébb eszközökkel. Ugyanakkor a kiterjedt szabadság számos biztonsági kockázattal jár együtt, és az úgynevezett árnyékinformatika elterjedésével könnyen kezelhetetlenné válhat a helyzet. Az alábbiakban a Hewlett Packard Enterprise-hoz tartozó Aruba tanulmánya alapján áttekintünk néhány fontos szempontot, amelyet mindenképpen érdemes figyelembe venni azoknak a vállalatoknak, amelyek a BYOD bevezetésére szánják el magukat.
Szerepkiosztás és profilírozás
A BYOD-t alkalmazó vállalatoknál célszerű pontosan meghatározni az alkalmazottak szervezetben betöltött szerepét az informatikai infrastruktúra elérésének szempontjából, sőt a szerepkiosztásnak ki kell terjednie az általuk használt berendezésekre is. Nyilvánvaló, hogy például az informatikai részleg által valamely speciális célra a munkavállalók rendelkezésére bocsátott okostelefonokhoz kiterjedtebb hozzáférési jogok tartozhatnak, mint az alkalmazottaknak a céges hálózathoz csatlakozó saját tulajdonú eszközeihez. Hasonlóképpen a laptopoknak - már csak kiterjedtebb funkcionalitásuk és nagyobb teljesítményük miatt is - egészen más szerepük lehet, mint az okostelefonoknak és a tableteknek. A szerepkiosztás folytán eltérő jogok rendelhetők ugyanazon munkavállaló különböző típusú berendezéseihez is. Így például egy rendszergazda a kiemelt vállalati hozzáférési jogokkal rendelkező laptopjáról megváltoztathatja a hálózati vezérlők és kapcsolók konfigurációját, ugyanakkor nem jogosult ezen műveletek elvégzésére BYOD minősítésű, saját tulajdonú tabletjéről.
A vállalati hálózathoz valamilyen szintű hozzáférési jogokat kapó berendezések pontos profilírozása révén nagymértékben javítható a BYOD-rendszerben működtetett céges infrastruktúra biztonsága. Habár számos, az alkalmazottak tulajdonában lévő mobileszköz csatlakozik a hálózathoz, fel kell készülni arra, hogy - eltérően a céges tulajdonban lévő, a rendszergazdák által karbantartott berendezésektől -, ezek használói nem mindig tartják naprakész állapotban okostelefonjukat, tabletjüket vagy laptopjukat, vagyis nem frissítik rendszeresen az operációs rendszert és a különféle alkalmazásokat. Ezért leltárt kell készíteni arról, hogy az Android, az iOS, a Chrome és más operációs rendszerek mely verziója fut az egyes BYOD-eszközökön. Ahogy ezek frissítései megjelennek, ez az információ segít megállapítani azt, hogy mi okozza az esetlegesen fellépő azonosítási és más problémákat.
Figyelembe kell venni többféle szempontot - a felhasználó szerepe, eszközprofil, a bejelentkezni kívánó eszköz fizikai helye - a hozzáférések hatékony felügyeletének kialakításához. Ez nagymértékben javítja a termelékenységet, a használhatóságot és a biztonságot. Ráadásul, ha mindenki megkapja a munkájához szükséges erőforrásokhoz és információkhoz való hozzáférést, számottevően csökken majd az előírások kijátszására tett kísérletek száma. A csatlakoztatni kívánt eszközök aktuális profiljának meghatározásánál funkcionalitásukat és fizikai helyüket is ajánlatos számon tartani. Az összes, virtuális magánhálózaton keresztül kapcsolódó BYOD-eszköz más megítélést és kezelést igényel, mint az irodából csatlakozó berendezések. A nyomtatóknak ugyancsak egészen más megítélés alá kell esniük, mint például a játékkonzoloknak.
Appfelügyelet és hozzáférés-szabályozás
Felmérések szerint a digitális átalakulásban és a munkavállalók tulajdonában lévő eszközök céges használatában élenjáró vállalatok esetében a céges hálózathoz csatlakozó berendezések 70 százaléka sorolható a BYOD kategóriába. A rengetegféle mobileszközön számtalan mobilalkalmazás fut, amelyek megannyi potenciális veszélyt jelentenek a céges adatokra. Ezért az IT-részlegnek gondot kell fordítania a vállalati hálózatra csatlakozó eszközökön használt alkalmazások felügyeletére, ami egyáltalán nem egyszerű feladat. Az EMM (enterprise mobility management, vállalatimobilitás-felügyelet) konténerekkel és MDM (mobile device management, mobileszköz-felügyelet) alkalmazás-áruházakkal korlátozható a programletöltés, a különféle operációsrendszer-platformok hivatalos áruházainak vonzó kínálata azonban újabb és újabb programok telepítésére ösztönzi a munkavállalókat. Különösen akkor, ha úgy érzik, hogy munkaadójuk nem biztosítja számukra a hatékony munkavégzéshez szükséges szoftvereket és szolgáltatásokat.
A biztonsági problémák elkerülésére a vállalatoknak olyan előírásokat kell létrehozniuk és szigorúan betartatniuk az alkalmazottakkal, amelyek pontosan szabályozzák, mely vállalati adatokhoz kik férhetnek hozzá, és milyen készülékekről, különbséget téve az okostelefonok, tabletek, laptopok és IoT-eszközök között. A hatékonyság növelése érdekében az előírások betartatását célszerű egy MDM/EMM platform alkalmazásával és tűzfalak segítségével megvalósítani.
Alapvető fontosságú a felügyelet automatizálása mind a bejelentkezések elbírálásánál, mind a nem kompatibilis eszközök esetében végrehajtandó műveleteknél. Az alkalmazott MDM/EMM platformoknak képeseknek kell lenniük az eszközök állapotára vonatkozó adatok megosztására egy hálózatihozzáférés-felügyeleti megoldással annak érdekében, hogy még a csatlakozás előtt biztosítani lehessen azok kompatibilitását. Az ügyfélszolgálati alkalmazásokkal és a SIEM (security information and event management, biztonságiinformáció- és eseménykezelő) megoldással való integráció által számottevően javítható a problémamegoldás hatékonysága.
A nem kompatibilis eszközök azonosításának és bejelentkezésének automatizálásával csökkenthetők a költségek, fokozható az informatikai infrastruktúra biztonsága. Lehetővé teszi továbbá az alkalmazottaknak a saját eszközeikkel való bejelentkezést, ha okostelefonjukat vagy tabletjüket újra cserélték, így a rendszergazdáknak kevesebb idejét veszi igénybe a berendezésekhez való hozzáférés.
A vállalati hálózathoz gyakrabban csatlakozó felhasználók fokozottan ki vannak téve a jelszólopás veszélyének, ezért a biztonságos mobileszköz-használat egyik legfontosabb eleme a tanúsítványok alkalmazása. Minthogy szakértők szerint az active directory és egy, a BYOD-hez használt belső nyilvános kulcsú infrastruktúra használata nem számít legjobb gyakorlatnak, független tanúsító hatóság (Certificate Authority, CA) bevonása ajánlott a személyes eszközök támogatásához. Érdemes lehet bevezetni olyan előírás-kezelő megoldást is, amely képes a disztribúcióra, a frissítésre és a tanúsítványok visszavonására.
Egyszerűsített wifi-használat, többfaktoros azonosítás
Több wifi-hálózati név (SSID) használata megnehezíti mind a rendszergazdák, mind a felhasználók életét. Az előírások hatékony betartatása esetén a BYOD- és a vállalat tulajdonában lévő eszközök egyaránt csatlakozhatnak ugyanazokhoz az SSID-khez. A választék redukálásával csökken a használat bonyolultsága, és egyszerűbbé válik az informatikusok számára a több telephelyen található SSID-k fenntartása. Ráadásul az SSID-k konszolidálása növeli a wifi-teljesítményt is.
A biztonsági helyzet javítása terén kulcsfontosságú, hogy a szerepek kiosztása és az előírások betartatása által miképpen tudjuk biztosítani, hogy minden eszköz pontosan azokhoz az erőforrásokhoz férhessen hozzá, amelyekhez jogosultsága van, még akkor is, ha a berendezések közös SSID-ket használnak. Amikor személyes eszközök csatlakoznak egy közös wifi-hálózatra, az IT-részleg korlátozhatja az internetelérést, csak azok számára engedélyezve a világháló használatát, akiknek erre feltétlenül szükségük van.
Mivel manapság egyre többen férnek hozzá a vállalati adatokhoz az egyszerűen megosztható mobileszközök segítségével, az IT-részlegek egyre kiterjedtebben alkalmazzák a többfaktoros azonosítás új módszereit annak ellenőrzésére, hogy valóban az erre jogosult személy kezdeményezte-e az információk letöltését. Kihasználva azt, hogy mind több okostelefont szerelnek fel a biometrikus azonosításra alkalmas hardverrel, arra kérik a vállalati hálózatba bejelentkezni vagy egy alkalmazást elindítani kívánó személyt, hogy szkennelje be az ujjlenyomatát vagy készítsen magáról szelfit. A többfaktoros azonosítás bevált módszere a felhasználók hitelesítésének, gondoljunk csak a bankok által régóta alkalmazott módszerre, az online bankfiókba bejelentkezni kívánóknak sms-ben küldött egyszer használatos kódra, ami jó hatásfokkal akadályozza meg, hogy illetéktelenek férjenek hozzá az ügyfelek bankszámlájához.
