19:30
19/10/2020

Po chwilowym unormowaniu sytuacji zdrowotnej w Polsce, zmagamy się z drugą falą pandemii i obostrzeń. Praca z domu dla wielu z nas staje się normą. Menedżerowie IT muszą zrewidować swoją dotychczasową politykę bezpieczeństwa i zwrócić większą uwagę na zdalne zarządzanie laptopami, smartfonami czy tabletami pracowników. Co więcej, rośnie trend pracy na własnych urządzeniach, czyli tzw. BYOD (ang. Bring Your Own Device). Chcąc mieć kontrolę nad obydwoma tymi obszarami, wiele firm zaczyna wdrożenia rozwiązań klasy EMM, czyli zarządzania mobilnymi punktami końcowymi (ang. Endpoint Mobility Management).

Czy da się wykorzystać prywatny sprzęt pracownika do bezpiecznego przechowywania służbowych danych?

Zawsze gdy sfera prywatna łączy się z zawodową, należy szczególnie zadbać o to, aby dane z jednego obszaru nie dostały się nieumyślnie do drugiego. Najbardziej zagrożone są smartfony. Pracownicy często używają tylko jednego telefonu, instalując na nim zarówno aplikacje biznesowe, jak i te służące do celów prywatnych.

Prawda jest taka, że urządzenia firmowe często są nabywane na korzystnych warunkach zakupu i zazwyczaj nie są to modele z najwyższej półki, przez co nie spełniają oczekiwań użytkowników. Nawet jeśli pracodawca zapewnia swojemu zespołowi smartfony, które są w pełni zgodne z zasadami obowiązującymi w firmie, często lądują one w szufladzie, a zamiast nich, pracownicy do obowiązków służbowych wykorzystują własne urządzenia. Bo są lepsze. Bo tak jest wygodniej.

Sytuacja może być również odwrotna. Pracownicy otrzymują topowy sprzęt i może ich kusić, by korzystać z niego prywatnie. Wtedy firma może przypadkowo “szpiegować” pracownika, ale co gorsza — prywatnie instalowane przez pracownika aplikacje mogą pozyskać poufne dane firmowe z urządzenia, jeśli użytkownik przyzna im odpowiednie uprawnienia (np. dostęp do książki adresowej). To może stanowić naruszenie nie tylko powszechnych przepisów prawnych dotyczących ochrony danych osobowych.

I dlatego niezbędne jest rozdzielenie obszaru prywatnego od zawodowego na urządzeniach mobilnych.

Część firm zakazuje wykorzystania urządzeń firmowych do prywatnych celów. Niestety nie zawsze są w stanie taki zakaz odpowiednio monitorować. Niekiedy sama liczba używanych smartfonów utrudnia skuteczną kontrolę. Nawet w średniej wielkości firmie, gdzie prawie każdy pracownik jest wyposażony w urządzenie przenośne, osiągane wolumeny pozwalają na przeprowadzanie co najwyżej rzadkich kontroli wyrywkowych.

Jak więc podejść do separacji obszarów prywatnych od biznesowych?

Opcja 1: Kontenery

Aby oddzielić dane prywatne od firmowych na urządzeniach mobilnych, wiele osób polega na rozwiązaniach kontenerowych, które pozawalają na stworzenie dwóch oddzielnych środowisk. W tym celu użytkownik instaluje aplikację, która tworzy samodzielny obszar przechowywania danych biznesowych zarządzanych przez administratora.

Procedura ta jednak niesie ze sobą ryzyko uzależnienia od dostawcy, sprawiając, że aktualizacje i modyfikacje będą mogły być przeprowadzane tylko po konsultacji z producentem. Co więcej, kontenery nie są tak przyjazne dla użytkownika jak aplikacje natywne, takie jak poczta czy kalendarz. Wykazują również pewne słabości w interakcji z aplikacjami firmowymi. Wszystko to niekoniecznie przemawia za podejściem kontenerowym i znacznie utrudnia jego wdrożenie.

Opcja 2: Mechanizmy systemowe

Istnieje również inne podejście, które polega na wykorzystaniu funkcji systemu operacyjnego i nie wymaga tak wielu zasobów jak model kontenerowy. Dzięki temu rozdzielenie dwóch obszarów na smartfonie lub tablecie może być realizowane bezpośrednio na poziomie systemu operacyjnego.

Przykładowo, w Android Enterprise można korzystać z profilu służbowego (Work Profile), dzięki czemu administratorzy są w stanie kontrolować ten obszar bez dostępu do prywatnych danych użytkownika. Ale podobne możliwości są też na systemach Apple.

W ten sposób informacje biznesowe mogą być chronione ściśle według firmowych wytycznych dotyczących bezpieczeństwa IT. Jednocześnie firma szanuje prywatność swoich pracowników. Tu właśnie pojawia się Enterprise Mobility Management (EMM). System EMM monitoruje profil służbowy, sprawdza dane firmowe i zapewnia aktualność aplikacji biznesowych.

Da się to zautomatyzować!

Enterprise Mobility Management, w przeciwieństwie do kontenerów, zapewnia prawdziwie natywne rozwiązanie. Jego siła polega na tym, że staje się on integralną częścią oprogramowania systemowego.

  • Urządzenia iOS. Zostaną automatycznie dodane do systemu EMM przy pierwszym uruchomieniu przez użytkownika. Można to zrobić również skanując kod QR.
  • Urządzenia z Androidem. Enterprise Mobility Suite może zarejestrować smartfony i tablety zaraz po ich uruchomieniu lub dodać je później za pomocą profili służbowych.

 

To samo ale na stacjonarkach?

To, co dotyczy smartfonów i tabletów, odnosi się również do komputerów PC i notebooków z systemem Windows 10. Tutaj system operacyjny Microsoft dostarcza podobne opcje separacji danych i wdrożenia. Windows Information Protection (WIP) oferuje tę funkcję od wersji 1603 Windowsa 10, a Windows Autopilot od wersji 1703.

Administratorzy mogą używać WIP do zarządzania zasobami firmowymi i egzekwowania zasad dotyczących danych i ich udostępniania. Odbywa się to bez wpływu na obszar prywatny. Począwszy od wersji 1703 systemu Windows, Autopilot umożliwia korzystanie z doświadczeń out-of-the-box (OOBE) w oparciu o Azure Active Directory.

Prywatne i służbowa dane — razem, ale osobno

Dzięki rozwiązaniom EMM, profile biznesowe i prywatne na jednym urządzeniu mogą być obsługiwane oddzielnie. Oznacza to, że dane firmowe są jasno określone i chronione za pomocą szyfrowania. Uzyskanie do nich dostępu jest możliwe tylko przy użyciu hasła. Dodatkowo, administratorzy IT mogą wykrywać przypadki, gdy pracownik chce przekazać informacje o firmie poprzez swoje prywatne konto WhatsApp.

Rozwiązanie to pozwala również na instalację aplikacji określonych przez firmę bez powodowania konfliktów z prywatnie instalowanymi aplikacjami. Ta enkapsulacja jest jedną z głównych przyczyn stosowania rozwiązań EMM. Ale nie jedyną. Zalet tego typu rozwiązań jest więcej. Jeśli chcesz je wszystkie poznać, polecamy odwiedzenie tej strony poświęconej rozwiązaniu EMM firmy baramundi.

Gdybyście chcieli sprawdzić opisane w artykule rozwiązanie w boju, na swojej sieci firmowej, skontaktujcie się z Sebastianem (e-mail: sebastian.wasik@baramundi.com, tel.: +48 666 352 002). Doradzi jak najlepiej zrobić to przy uwzględnieniu Waszych potrzeb i struktury firmowej sieci, a także podpowie jak zoptymalizować koszty wdrożenia.

Niniejszy artykuł jest artykułem sponsorowanym i za jego publikację redakcja Niebezpiecznika otrzymała wynagrodzenie.

Przeczytaj także:



10 komentarzy

Dodaj komentarz
  1. słaba polityka ochrony danych skoro pozwala na trzymanie służbowych danych na prywatnym sprzęcie. Moim zdaniem niedopuszczalne.

  2. Nie jest tak źle jak piszecie, w Polsce musi być w wielu przypadkach NADAL fizyczny dostęp do urządzenia komputerowego żeby “podpieprzyć dane” gdy nie ma możliwości podłączenia się do sieci internetowej trzeba korzystać a takich przypadków jest całkiem sporo.
    Nadal jest sporo miejscowości, w których brak jest dostępu do jakiegokolwiek “medium” kablowego (obojętnie czy miedziany kabel czy światłowód), i to pod samą Warszawą :D (a jakiś czas temu jakiś rządowy “matołek” coś mówił o tym, że cyt. “W KAŻDYM POLSKIM DOMU MA BYĆ DOPROWADZONY INTERNET 100 MEGABITÓW”, koniec cytatu.
    A co z tych buńczucznych zapowiedzi wyszło? A no nic, jedno wielkie NIC (czyli “kupa”) :D
    Nawet “kowidianie” na początku roku siali kolejną spiskową teorię o tym, że po zamknięciu szkół i przejściu na tzw. naukę zdalną wielu uczniów nie “daje znaków życia” :D
    Odpowiedź jest zaskakująco prosta – oni (uczniowie) po prostu nie mają dostępu do internetu lub mają tak słabe transfery, że nie da się przeprowadzić wideokonferencji :D :D :D

  3. Dlaczego? Kwestia polityki bezpieczeństwa danego urządzenia. Jeżeli administrator wymusi szyfrowanie danych oraz silne zabezpieczenie odblokowania telefonu to jaka różnica jest między służbowym a prywatnym urządzeniem?

    • Taka, że prywatny komputer zastajesz w takim stanie, w jakim jest – z dwoma nieaktualnymi antywirusami, CCleanerem, kilkoma hiper-mega-optymalizatorami, torrentem, kolekcją gier wraz z “krakami z niespodzianką”.
      A nie… miało być o telefonie. Prywatny telefon ze szpiegującym czytnikiem QR, szpiegującym analizatorem WiFi, szpiegującymi grami i taką samą aplikacją migającą latarką.

      W praktyce, chcąc żeby pracownicy przeszli na pracę zdalną, musiałbym każdemu zrobić reinstalkę. No i zabrać im admina na ich własnym (prywatnym) kompie. No, ewentualnie dać im hasło do admina, ostrzegając “użyj tylko jak będziesz coś świadomie instalował”.
      Po takiej reinstalce miałbym masę reklamacji typu:
      – syn pyta gdzie jest program do podręcznika od matematyki do 4 klasy?
      – mąż pyta gdzie program do tuningowania Golfa czwórki?
      – córka pyta, gdzie jest jej dyskografia Jacksona?
      – gdzie jest moja tapeta z misiem??????????11
      Chyba lepiej namówić szefa na zakup polizingowych Latitudów albo ThinkPadów za jakieś grosze.

    • Poważnie? Czyli rozumiem, że nie słyszał Pan? Pani? ASDSAD o rozwiązaniach typu Samsung Knox albo VMware Workspace One? Polecam się doszkolić bo czasami można niepotrzebnie tworzyć dodatkowe koszty w firmach. Co do komputerów też jest masa rozwiązań pozwalających na BYOD. Można też środowisko oprzeć o dostęp terminalowy z tokenem do autoryzacji.

    • @Piotr

      >”Polecam się doszkolić bo czasami można niepotrzebnie tworzyć dodatkowe koszty w firmach.”

      Sorki, ale jeśli pracodawca chce używać prywatnego sprzętu pracownika, to powinien mu za to wypłacać ekwiwalent. Zapewnienie sprzętu do pracy, to nie jest “dodatkowy koszt” tylko obowiązek. Polecam się doszkolić :D

      A że jest moda na BYOH?… Nie każda moda jest dobra.

  4. Ten argument to jest dokladnie to co uslyszalem kiedy zaproponowalem, ze kupie wlasny dedykowany sprzet do pracy. Wydajniejszy, tanszy i bezpieczniejszy, ale nie – pracownicy sie nie znaja, poniewaz “Pani Grazyna z Ksiegowosci” wydajaca fortune na gó* sprzet z nieziemskimi marżami bo tak “doradzil” jego producent (…) wie lepiej, nawet niz pracownicy IT ze stanowisk rownozednych kierowniczym.

    I nie mowie nawet tutaj o pokryciu kosztow, bo zrobil bym to chetnie nawet za wlasne pieniadze (wieksza wydajnosc = wieksze zarobki, zwrocilo by sie w przeciagu miesiaca – a nawet gdyby i nie to i tak bym zaplacil byle by uniknac wygladzania fald mozgowych, bedacym skutkiem wspolpracy z elektronicznym odpowiednikiem imbec*)

    Ps. Ktos sie pewnie oburzy, ze drozszy sprzet nie powinien tak odstawac – wiec odpowiem: nie jesli wyzsza cena jest zwiazana z deb* decyzjami producenta i niewielka sprzedaza (czyli tez produkcja) gdzie kupujacy placi frycowe jak za sprzet robiony pod zamowienie, poniewaz zawiera on rozszerzenia pokroju [stojak na kelp] [zraszacz do jarmużu] czy inne bezsensowne idio*…

    • I właśnie z takich powodów na cyfryzację, zwłaszcza urzędów, wydano w Polsce więcej niż będzie kosztować załogowa wyprawa na Marsa! I jaki efekt? Wciąż ten sam! Cyfryzacja w powijakach, zwłaszcza w sektorze usług cyfrowych w urzędach. Często się stykam z zagadnieniem, że cała eKorespondencja jest niewykonalna ponieważ serwer pocztowy odsyła komunikat, że nadawca NIE ISTNIEJE! A przyczyna jest prosta. Jakiś guru cyfryzacji wymyślił sobie skrzynkę nadawczą z poświadczeniem doręczenia, ale bez możliwości odesłania odpowiedzi nadawcy, bo jest to usługa jednokierunkowa! Taka usługa na zasadzie: weszła sobie korespondencja elektroniczna, ale szanowny odbiorco… Ty możesz sobie pisać na przysłowiowy Berdyczów! A kwintesencja tego rozwiązania jest to, że użyszkodnik jest święcie przekonany, że skoro wysłał drogą elektroniczną, to odpowiedź otrzyma tym samym kanałem łączności. Gratuluję pomysłu! A wystarczyło zamiast durnego procesu zakładania ePUAPU (zwykły e-mail z uwiarygodnieniem przez zaufanego użyszkodnika poczty internetowej), było z automatu przy rejestracji działalności gospodarczej, generować konto poczty ePUAP dla profilu podatnika z NIPem. Czy to wymaga IQ >200 aby tak usprawnić życie obywatelom? A dla tych co mają dowód osobisty tylko, to co za problem przy wydawaniu dokumentu tożsamości, “uszczęśliwić” obywatela kontem pocztowym na ePUAP? Widocznie lenistwo urzędników jest jeszcze większe niż reklamowana odporność MS Windows na zagrożenia w sieci. :-)

  5. Zacznijmy od tego że sprzęt służbowy o 2 klasy lepszy niż prywatny zawsze wolno chodzi.
    Napchają na niego nie wiadomo co i czekasz 10min na uruchomienie a to jeszcze nie koniec.
    W dużych korporacjach to obligo, żeby komputer źle chodził !!!

    Szukasz w necie, w google służbowych rzeczy i co – inne wyniki niż na prywatnym.
    Co lepsze sam shit… jak to oni robią, nawet nie wiem ale zwykle nowinek technicznych szukam na prywatnym sprzęcie bo w 5 min mam coś ciekawego a na służbowym zero sensownych trafień za to kupa stron-reklam.

  6. Pomyśleć tylko ile rozwiązań funkcjonowało w czasach BlackBerry i dziś jest są one na nowo odkrywane.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: