Hirdetés
. Hirdetés

Biztonsági kockázatok csökkentése

|

Megfelelő intézkedésekkel elkerülhetők az alkalmazottak tulajdonában lévő eszközök céges használatából eredő biztonsági problémák.

Hirdetés

Mind több vállalatnál engedélyezik a munkavállalók számára a saját eszközök használatát (BYOD), ami növeli a termelékenységet, valamint lehetővé teszi a rugalmas munkavégzést és a munkahelyi hálózat elérését bárhonnan, bármikor, a legkülönfélébb eszközökkel. Ugyanakkor a kiterjedt szabadság számos biztonsági kockázattal jár együtt, és az úgynevezett árnyékinformatika elterjedésével könnyen kezelhetetlenné válhat a helyzet. Az alábbiakban a Hewlett Packard Enterprise-hoz tartozó Aruba tanulmánya alapján áttekintünk néhány fontos szempontot, amelyet mindenképpen érdemes figyelembe venni azoknak a vállalatoknak, amelyek a BYOD bevezetésére szánják el magukat.

Szerepkiosztás és profilírozás
A BYOD-t alkalmazó vállalatoknál célszerű pontosan meghatározni az alkalmazottak szervezetben betöltött szerepét az informatikai infrastruktúra elérésének szempontjából, sőt a szerepkiosztásnak ki kell terjednie az általuk használt berendezésekre is. Nyilvánvaló, hogy például az informatikai részleg által valamely speciális célra a munkavállalók rendelkezésére bocsátott okostelefonokhoz kiterjedtebb hozzáférési jogok tartozhatnak, mint az alkalmazottaknak a céges hálózathoz csatlakozó saját tulajdonú eszközeihez. Hasonlóképpen a laptopoknak - már csak kiterjedtebb funkcionalitásuk és nagyobb teljesítményük miatt is - egészen más szerepük lehet, mint az okostelefonoknak és a tableteknek. A szerepkiosztás folytán eltérő jogok rendelhetők ugyanazon munkavállaló különböző típusú berendezéseihez is. Így például egy rendszergazda a kiemelt vállalati hozzáférési jogokkal rendelkező laptopjáról megváltoztathatja a hálózati vezérlők és kapcsolók konfigurációját, ugyanakkor nem jogosult ezen műveletek elvégzésére BYOD minősítésű, saját tulajdonú tabletjéről.

A vállalati hálózathoz valamilyen szintű hozzáférési jogokat kapó berendezések pontos profilírozása révén nagymértékben javítható a BYOD-rendszerben működtetett céges infrastruktúra biztonsága. Habár számos, az alkalmazottak tulajdonában lévő mobileszköz csatlakozik a hálózathoz, fel kell készülni arra, hogy - eltérően a céges tulajdonban lévő, a rendszergazdák által karbantartott berendezésektől -, ezek használói nem mindig tartják naprakész állapotban okostelefonjukat, tabletjüket vagy laptopjukat, vagyis nem frissítik rendszeresen az operációs rendszert és a különféle alkalmazásokat. Ezért leltárt kell készíteni arról, hogy az Android, az iOS, a Chrome és más operációs rendszerek mely verziója fut az egyes BYOD-eszközökön. Ahogy ezek frissítései megjelennek, ez az információ segít megállapítani azt, hogy mi okozza az esetlegesen fellépő azonosítási és más problémákat.

Figyelembe kell venni többféle szempontot - a felhasználó szerepe, eszközprofil, a bejelentkezni kívánó eszköz fizikai helye - a hozzáférések hatékony felügyeletének kialakításához. Ez nagymértékben javítja a termelékenységet, a használhatóságot és a biztonságot. Ráadásul, ha mindenki megkapja a munkájához szükséges erőforrásokhoz és információkhoz való hozzáférést, számottevően csökken majd az előírások kijátszására tett kísérletek száma. A csatlakoztatni kívánt eszközök aktuális profiljának meghatározásánál funkcionalitásukat és fizikai helyüket is ajánlatos számon tartani. Az összes, virtuális magánhálózaton keresztül kapcsolódó BYOD-eszköz más megítélést és kezelést igényel, mint az irodából csatlakozó berendezések. A nyomtatóknak ugyancsak egészen más megítélés alá kell esniük, mint például a játékkonzoloknak.

Appfelügyelet és hozzáférés-szabályozás
Felmérések szerint a digitális átalakulásban és a munkavállalók tulajdonában lévő eszközök céges használatában élenjáró vállalatok esetében a céges hálózathoz csatlakozó berendezések 70 százaléka sorolható a BYOD kategóriába. A rengetegféle mobileszközön számtalan mobilalkalmazás fut, amelyek megannyi potenciális veszélyt jelentenek a céges adatokra. Ezért az IT-részlegnek gondot kell fordítania a vállalati hálózatra csatlakozó eszközökön használt alkalmazások felügyeletére, ami egyáltalán nem egyszerű feladat. Az EMM (enterprise mobility management, vállalatimobilitás-felügyelet) konténerekkel és MDM (mobile device management, mobileszköz-felügyelet) alkalmazás-áruházakkal korlátozható a programletöltés, a különféle operációsrendszer-platformok hivatalos áruházainak vonzó kínálata azonban újabb és újabb programok telepítésére ösztönzi a munkavállalókat. Különösen akkor, ha úgy érzik, hogy munkaadójuk nem biztosítja számukra a hatékony munkavégzéshez szükséges szoftvereket és szolgáltatásokat.

A biztonsági problémák elkerülésére a vállalatoknak olyan előírásokat kell létrehozniuk és szigorúan betartatniuk az alkalmazottakkal, amelyek pontosan szabályozzák, mely vállalati adatokhoz kik férhetnek hozzá, és milyen készülékekről, különbséget téve az okostelefonok, tabletek, laptopok és IoT-eszközök között. A hatékonyság növelése érdekében az előírások betartatását célszerű egy MDM/EMM platform alkalmazásával és tűzfalak segítségével megvalósítani.

Alapvető fontosságú a felügyelet automatizálása mind a bejelentkezések elbírálásánál, mind a nem kompatibilis eszközök esetében végrehajtandó műveleteknél. Az alkalmazott MDM/EMM platformoknak képeseknek kell lenniük az eszközök állapotára vonatkozó adatok megosztására egy hálózatihozzáférés-felügyeleti megoldással annak érdekében, hogy még a csatlakozás előtt biztosítani lehessen azok kompatibilitását. Az ügyfélszolgálati alkalmazásokkal és a SIEM (security information and event management, biztonságiinformáció- és eseménykezelő) megoldással való integráció által számottevően javítható a problémamegoldás hatékonysága.

A nem kompatibilis eszközök azonosításának és bejelentkezésének automatizálásával csökkenthetők a költségek, fokozható az informatikai infrastruktúra biztonsága. Lehetővé teszi továbbá az alkalmazottaknak a saját eszközeikkel való bejelentkezést, ha okostelefonjukat vagy tabletjüket újra cserélték, így a rendszergazdáknak kevesebb idejét veszi igénybe a berendezésekhez való hozzáférés.

A vállalati hálózathoz gyakrabban csatlakozó felhasználók fokozottan ki vannak téve a jelszólopás veszélyének, ezért a biztonságos mobileszköz-használat egyik legfontosabb eleme a tanúsítványok alkalmazása. Minthogy szakértők szerint az active directory és egy, a BYOD-hez használt belső nyilvános kulcsú infrastruktúra használata nem számít legjobb gyakorlatnak, független tanúsító hatóság (Certificate Authority, CA) bevonása ajánlott a személyes eszközök támogatásához. Érdemes lehet bevezetni olyan előírás-kezelő megoldást is, amely képes a disztribúcióra, a frissítésre és a tanúsítványok visszavonására.

Egyszerűsített wifi-használat, többfaktoros azonosítás
Több wifi-hálózati név (SSID) használata megnehezíti mind a rendszergazdák, mind a felhasználók életét. Az előírások hatékony betartatása esetén a BYOD- és a vállalat tulajdonában lévő eszközök egyaránt csatlakozhatnak ugyanazokhoz az SSID-khez. A választék redukálásával csökken a használat bonyolultsága, és egyszerűbbé válik az informatikusok számára a több telephelyen található SSID-k fenntartása. Ráadásul az SSID-k konszolidálása növeli a wifi-teljesítményt is.

A biztonsági helyzet javítása terén kulcsfontosságú, hogy a szerepek kiosztása és az előírások betartatása által miképpen tudjuk biztosítani, hogy minden eszköz pontosan azokhoz az erőforrásokhoz férhessen hozzá, amelyekhez jogosultsága van, még akkor is, ha a berendezések közös SSID-ket használnak. Amikor személyes eszközök csatlakoznak egy közös wifi-hálózatra, az IT-részleg korlátozhatja az internetelérést, csak azok számára engedélyezve a világháló használatát, akiknek erre feltétlenül szükségük van.

Mivel manapság egyre többen férnek hozzá a vállalati adatokhoz az egyszerűen megosztható mobileszközök segítségével, az IT-részlegek egyre kiterjedtebben alkalmazzák a többfaktoros azonosítás új módszereit annak ellenőrzésére, hogy valóban az erre jogosult személy kezdeményezte-e az információk letöltését. Kihasználva azt, hogy mind több okostelefont szerelnek fel a biometrikus azonosításra alkalmas hardverrel, arra kérik a vállalati hálózatba bejelentkezni vagy egy alkalmazást elindítani kívánó személyt, hogy szkennelje be az ujjlenyomatát vagy készítsen magáról szelfit. A többfaktoros azonosítás bevált módszere a felhasználók hitelesítésének, gondoljunk csak a bankok által régóta alkalmazott módszerre, az online bankfiókba bejelentkezni kívánóknak sms-ben küldött egyszer használatos kódra, ami jó hatásfokkal akadályozza meg, hogy illetéktelenek férjenek hozzá az ügyfelek bankszámlájához.

Hirdetés

Hardverek, szoftverek, tesztek, érdekességek és színes hírek az IT világából ide kattintva!

Hirdetés
0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.