8:54
7/6/2018

Chociaż strategia „Bring Your Own Device” (BYOD) jest znana od lat i z racji optymalizacji kosztów oficjalnie akceptowana w wielu firmach, to jej wdrożenie nie należy do najłatwiejszych — przede wszystkim ze względów bezpieczeństwa. Wiele osób zdaje sobie sprawę z ryzyka, jakie niesie wykorzystywanie prywatnych urządzeń w środowisku biznesowym, zwłaszcza teraz, gdy działy IT przedsiębiorstw muszą brać pod uwagę wymogi związane z rozporządzeniem o ochronie danych osobowych (RODO), które od kilkunastu dni obowiązuje w Polsce. Przyjrzyjmy się na co zwrócić uwagę, aby prywatne urządzenia pracowników nie wykorzystywane w ramach BYOD nie stanowiły zagrożenia dla firmowych danych. 


Wielu pracowników próbuje podpinać prywatny sprzęt do firmowej sieci Wi-Fi

Mimo tego, że coraz większe znaczenie zyskują takie hasła jak „Corporate owned, business only” (COBO) czy „Corporate owned, personally enabled” (COPE), to wykorzystywanie różnych “nieautoryzowanych” do użycia w firmie urządzeń w ramach codziennych obowiązków jest niemożliwe do powstrzymania. Pracownicy często rozmawiają między sobą, a nawet wymieniają się firmowymi plikami, przez prywatne konta w popularnych komunikatorach np. WhatsApp czy Signal. Choć komunikatory te szyfrują korespondencję, to wymieniane przez nie informacje często zostają na urządzeniu pracownika. Nawet kiedy odejdzie on z firmy.

Dlatego każda firma powinna opracować silne koncepcje bezpieczeństwa w zakresie mobilnych urządzeń końcowych, nie tylko ze względu na zmiany wymuszone przez RODO, ale przede wszystkim jako jeden z elementów ochrony przed typowymi atakami cyberprzestępców. Tu pomocnym narzędziem będzie system klasy EMM (Enterprise Mobility Management), czyli rozwiązanie do zarządzania urządzeniami mobilnymi w przedsiębiorstwie, które pozwala w jednym miejscu monitorować przepływ firmowych danych przez urządzenia jak i nakładać adekwatne restrykcje na działania poszczególnych użytkowników lub urządzeń. Systemy EMM pozwalają na masowe zarządzanie firmowym sprzętem w zależności od lokalizacji, potrzebnego dostępu do danych, czy stanowiska. Przyjrzyjmy się 3 możliwym elementom EMM:

  • System MDM: zarządzanie urządzeniami mobilnymi: Dzięki MDM administrator ma możliwość wymuszania różnych ustawień na urządzeniach niezależnie od wykorzystywanego na nich systemu operacyjnego: parametry, takie jak nazwisko, domena i serwer, wprowadzane są za pośrednictwem jednolitej maski. Na urządzenia można “wypchnąć” dane dostępowe do połączenia z siecią VPN, Wi-Fi czy zdalnie skonfigurować skrzynkę pocztową użytkownikowi. Administrator może wymusić na urządzeni odpowiedni, adekwatny do stanowiska czy wymogów projektowych, poziom bezpieczeństwa, kontrolując m.in. reguły dotyczące stopnia złożoności hasła lub automatycznej blokady w przypadku zdefiniowanego czasu braku aktywności użytkownika. Do najważniejszych funkcji MDM należy również automatyczne sprawdzanie zgodności i niezwłoczne zgłaszanie ewentualnych naruszeń, takich jak na przykład ingerencja w oprogramowanie firmowe. MDM-em można objąć zarówno firmowy jak i prywatny sprzęt — tzw. enrolment, czyli podpięcie urządzenia pod serwer MDM, który przejmuje na nim kontrolę, można zrealizować w trybie automatycznym lub samodzielnym, a w zależności od lokalizacji urządzenia może znaleźć się na nim zestaw innych ograniczeń.
  • System MAM: zarządzanie aplikacjami mobilnymi: Za pomocą rozwiązania do zarządzania aplikacjami mobilnymi administratorzy określają, które aplikacje mogą być wykorzystywane przez pracowników. Koniec ze Slackiem na firmowym sprzęcie! Odbywa się to za pośrednictwem tak zwanej „czarnej” i „białej” listy aplikacji zakazanych i dozwolonych. W zależności od profilu użytkownika i wytycznych dotyczących zgodności, listy te przesyłane są na urządzenie, stanowiąc tym samym skuteczną ochronę przed potencjalnie niebezpiecznymi lub niepożądanymi aplikacjami – na przykład takimi, które wymagają zbyt kompleksowego dostępu do danych lub nie wspierają wymaganych prawem technik ochrony danych (np. nie korzystają w ogóle z algorytmów szyfrowania albo stosowana przez nich ochrona kryptograficzna jest zbyt słaba).
  • System MCM – zarządzanie zawartością mobilną: MCM określa zasady dotyczące przesyłania treści za pomocą urządzeń mobilnych oraz obsługi systemów zarządzania dokumentami, np. listą kontaktów, kalendarzem, notatkami oraz wiadomościami e-mail, które należy całkowicie odizolować od innych danych. Wszystkie dane krytyczne przedsiębiorstwa znajdujące się w jednej aplikacji mogą być są chronione przed interakcją z “prywatnymi” aplikacjami użytkownika lub po prostu przed złośliwym oprogramowaniem, którym zainfekowane może zostać urządzenie — w końcu na prywatnym sprzęcie dalej to użytkownik może wykonywać wiele potencjalnie groźnych akcji. W celu zwiększenia bezpieczeństwa, dane znajdujące się w aplikacji odizolowanej są szyfrowane. W przypadku utraty urządzenia, administratorzy mogą zdalnie usunąć zawarte w nim treści.

UEM, czyli jeden system, w którym jest wszystko

Każde z powyższych rozwiązań niewątpliwie ułatwia pracę administratorowi i poprzez automatyzację i masowe, zdalne zarządzanie pozwala zaoszczędzić mu sporo czasu. Ale często poszczególne systemy, z których korzysta firma, są produkcji różnych firm i nie potrafią łatwo między sobą wymieniać danych. To znacząco spowalnia monitoring firmowego środowiska i często wymusza na administratorach robienie tej samej rzeczy w wielu niezależnych systemach. Zupełnie niepotrzebnie…



Z tego powodu, coraz więcej firm decyduje się na wybór UEM (Unified Endpoint Management) — czyli narzędzia do ujednoliconego zarządzania urządzeniami końcowymi. Wszystkimi. Nawet tak nowoczesnymi jak Internet Rzeczy (IoT). Niezależnie od tego czy “końcówką” jest komputer stacjonarny, tablet lub smartfon, kamera monitoringu czy zwykła fit-bransoletka — każde z tych urządzeń może być zarządzane i zabezpieczane w ramach rozwiązania UEM.

Z analizy IDC wynika, że liczba urządzeń końcowych wchodzących w skład Internetu Rzeczy do 2020 roku wzrośnie na całym świecie o około 20 procent, osiągając poziom 30 miliardów rocznie. Już dzisiaj liczba tzw. connected things przewyższa liczbę smartfonów i komputerów stacjonarnych w przedsiębiorstwach. Administratorzy IT muszą odpowiednio wcześnie zainwestować w rozwiązania, które uproszczą i usprawnią ich pracę – takim rozwiązaniem może być baramundi Management Suite.

Jak osiągnąć zgodność “urządzeń końcowych” z RODO?

Wiele przedsiębiorstw, pomimo obowiązywania RODO, wciąż nie spełnia jego wymagań, do których należy m.in. wprowadzenie bardziej rozbudowanej strategii bezpieczeństwa IT z uwzględnieniem aspektów prywatnościowych, Tu warto zauważyć, że urządzenia mobilne wymagają szczególnej uwagi ze względu na to, jak często i intensywnie są wykorzystywane przez użytkowników i jakie zagrożenia mogą stanowić dla firmowych danych. Bo nawet jeśli firmy nie zaatakuje żaden cyberprzestępca, to sam pracownik może zgubić urządzenie, na którym znajdują się istotne dane…

Przygotowanie i odpowiednia obsługa mobilnych urządzeń końcowych wykorzystywanych w przedsiębiorstwie nie wystarczy, aby zagwarantować zgodność z RODO – urządzenia i rozwiązania muszą oferować odpowiedni poziom zabezpieczenia danych. Należy przestrzegać co najmniej poniższych zasad:

    Bezpieczeństwo danych: Urządzenia mobilne i systemy operacyjne już na etapie projektu powinny być zgodne z postanowieniami bezpieczeństwa i ochrony danych osobowych. Administratorzy przed uruchomieniem urządzenia powinni sprawdzić zgodność ustawień z przyjętą konfiguracją docelową i monitorować szyfrowanie urządzenia, a w razie potrzeby wymusić ich zdalne usunięcie.

    Minimalizacja danych: Niektóre aplikacje wymagają podania dużej ilości danych osobowych, dlatego też administratorzy powinni wziąć pod uwagę możliwość wprowadzenia zakazu stosowania takich aplikacji. Pracownikom poszczególnych departamentów, jeśli nie jest to niezbędne do ich pracy, powinno się ograniczyć dostęp do firmowych danych i systemów — do niektórych systemów domyślnie dopinany jest każdy z pracowników, choć nie każdy potrzebuje takiego zakresu danych. Tu przyda się podejście polegające na organizacji pracowników w grupy i konfigurowanie odpowiednich polityk UEM dla grup.

    Odpowiedzialność: Przedsiębiorstwo musi być w stanie wykazać zgodność z wymogami RODO, a każde naruszenie przepisów w zakresie ochrony danych (np. utrata końcowego urządzenia mobilnego) musi zostać niezwłocznie zgłoszone właściwej jednostce. Ponieważ niezastosowanie się do przepisów może podlegać karze pieniężnej, powinno się opracować wewnątrzfirmowe reguły, które będą jasne i zrozumiałe dla każdego pracownika.

W celu uzyskania dodatkowych informacji na temat rozwiązania baramundi Management Suite i tego jak może ono pomóc w uzyskaniu zgodności z wymogami RODO (a także innych, zdroworozsądkowych wymagań jakie pod kątem bezpieczeństwa stawia się współczesnym firmom) odezwijcie się do Sebastiana Wąsika, Country Managera na Polskę w baramundi software AG (e-mail: sebastian.wasik@baramundi.com, tel.: +48 666 352 002). Sebastian z przyjemnością odpowie na wszystkie Wasze pytania.

Niniejszy artykuł jest artykułem sponsorowanym i za jego publikację redakcja Niebezpiecznika otrzymała wynagrodzenie.

Przeczytaj także:

29 komentarzy

Dodaj komentarz
  1. Wszystko fajnie, nawet ciekawe mimo, iż sponsorowany.
    Najbardziej brak mi dokładnych podstaw prawnych, bo tak wszyscy piszą co trzeba bo RODO i nowa ustawa, a wiele z tego to rzeczy wyssane z palca.
    Warto zawsze podać dokładny przepis/artykuł.

    • Właśnie na Niebezpieczniku jest fajne to, że artykuły sponsorowane zazwyczaj niosą ze sobą jakąś interesującą treść i nie są zwykłym wciskaniem produktu, a bardziej informują o tym, że dany produkt jest jakimś rozwiązaniem dla opisanego problemu.

    • Podstawy prawne masz dwie! Jedna i zarazem główna, to owo RODO czyli Rozporządzenie unijne, które jest aktem prawa nadrzędnego wobec prawa polskiego! Druga podstawa to Ustawa o Ochronie Danych Osobowych z 10 maja 2018 roku, którą 23 maja 2018 roku podpisał Pan Prezydent. Przy czym ustawa tylko dookreśla to co zawarte jest w RODO i co owo RODO pozwoliło dookreślić, np. wysokość kar finansowych! Z tego co pamiętam ze szkolenia, to rozporządzeń (polskich) do RODO nie będzie, bo NIE MA rozporządzeń do rozporządzeń. No i to co masz zastosować w ochronie danych osobowych jest opisane wyłącznie w tym akcie prawnym zwanym RODO. To jest ten Twój przepis i artykuł! Całe RODO to zbiór informacji zawartych w preambule jako motywy i artykułach! Jak przebrniesz przez starą ustawę o ochronie danych osobowych i rozporządzeniu, gdzie były jasno określone wymagania, to łatwiej będzie Ci zrozumieć to co w RODO napisali! SKOŃCZYŁY się czasy gdy podali (ustawodawca) na tacy jak i co zrobić aby NIEZBĘDNE MINIMUM ochrony zrealizować. Teraz to Ty masz obowiązek określić jak będzie firma realizować dany aspekt ochrony procesu przetwarzania danych i jeszcze udowodnić, że to firma realizuje. Zwłaszcza gdy kontrola z Urzędu Ochrony Danych Osobowych pojawi się w firmie. Jak to zrealizować? A mnie skąd wiedzieć! W necie są tabuny prawniko-informatyków i infromatyko-prawników. Powodzenia

  2. Paranoja związana z RODO zatacza coraz szersze kręgi. Może najprościej byłoby zostawiać firmową komórkę w miejscu pracy zamiast brać ją do domu (taki mały powrót do epoki przedGSMowej)? A może trzeba wprowadzić nakaz stosowania amnezjatorów (technologia dopiero w rozwoju) , bo przecież mogę pamiętać imię, nazwisko, e-mail i nr telefonu klienta? Fantastyczne jest również sformułowanie ” strategia „Bring Your Own Device” (BYOD) jest znana od lat i z racji optymalizacji kosztów oficjalnie akceptowana w wielu firmach” – czyli kup sobie urządzenia sam i wykorzystuj w pracy. Fajnie, niedługo będę musiał sobie jeszcze własny kawałek biurowca zbudować i biurko przynieść, wszystko w imię optymalizacji kosztów pracodawcy. Oczywiście jednocześnie wysłuchując jak to biednie jest w firmie i że moje wynagrodzenie właściwie to musi zmaleć, bo o poziomie europejskim mowy nie ma. Jednym słowem, może dosyć takich bzdur i czas zająć się rzeczywistymi problemami?

    • To się nazywa Home Office. I ma zarówno wady jak i zalety.

    • Może po prostu poszukaj innej firmy?

    • Marcin, Zeby mieć spokój powinno Ci zależeć by zostawiać firmową komórkę w miejscu pracy jeśli nikt Ci nie płaci za odbieranie telefonów.
      Poza tym telefon powinien być zawsze zabezpieczony, chyba właścicielowi nie zależy na prywatności i nie jest od niego wymagana.
      Jak zabezpieczyć telefon ?
      1.Kod PIN włączony. 2.Automatyczne blokowanie ekranu hasłem lub czymkolwiek włączone.
      3.Szyfrowanie całej pamięci telefonu. Tak by nie dało się odczytać danych z urządzenia zewnętrznego, można tylko częściowo szyfrować, ale to zawsze tworzy ryzyko wycieku danych. Jeśli jest potrzeba robienia kopii zapasowych, to one tez powinny być zabezpieczone hasłem,ale jeśli są przechowywane w bezpiecznym miejscu, to nie muszą.
      4.Wyłączanie zbędnych nieużywanych w danym momencie usług (Bluetooth, Wi-fi, GPS)
      Np. żeby pracodawca Cie nie śledził.
      Jeśli np. GPS jest celowo wykorzystywane do ochrony sprzętu lub osoby, to powinno być włączone.
      5.Dostęp do połączeń / urządzeń powinny być zabezpieczone hasłem, a jeśli połączenie jest szyfrowane, to jeszcze lepiej. (powinny bo rozwój technologii nie nadąża za polityka bezpieczeństwa i nie każdy może zabezpieczyć)
      6. Czasami nie jestem zwolennikiem zakazów czegokolwiek, bo wprowadzanie zmian wiąże się z pewnymi konsekwencjami i żeby uniknąć szkód i strat, zmiany powinny być wcześniej przemyślane. Jeśli właściciel sprzętu stwierdzi ze jego rzecz powinna być zabezpieczona, to jego nakaz należy wykonać, jeśli są takie możliwości. A ewentualne zmiany wprowadzać dopiero po zgodzie właściciela.

    • Xyo, BYOD to nie Home Office. To sytuacja, w której szef firmy w której pracuje zgadza się na służbowe Lamborgini, pod warunkiem że sam je sobie kupisz. I nazywa to optymalizacja kosztów firmy, traktując później TWOJE Lambo jako samochód służbowy, stawiając Ci również wymogi co do jego użytkowania.

  3. Parę dni temu wyczytałem na golem.de że z powodu RODO w firmie Continental zabroniono używania Whatsapp, a Deutsche Bank podobny zakaz wprowadził w styczniu 2017

    • nie przez rodo tylko dlatego że kilka lat temu what’s up został skompromitowany

  4. Chciałbym taki system ale do zastosowań niekomercyjnych czyli do domu, łącznie z backupem danych. Ilość urządzeń rośnie (1xPC, 2x laptop, 2xsmartfon, drukarka wifi, aparat cyfrowy etc..) z tendencją do dalszego wzrostu, zwłaszcza o internet rzeczy (smart tv … etc.)
    Cena adekwatna do możliwości skromnego budżetu domowego.

  5. “czyli kup sobie urządzenia sam i wykorzystuj w pracy. Fajnie, niedługo będę musiał sobie jeszcze własny kawałek biurowca zbudować i biurko przynieść, wszystko w imię optymalizacji kosztów pracodawcy.”

    Kolega trochę popłynął. Mając prywatny tablet chciałbym móc przeglądać korporacyjne dane, więc co stoi na przeszkodzie, abym urządzenie, które już posiadam, które jest dobre i szybkie, nie wykorzystać do celów służbowych? Po co mieć kilka różnych rzeczy, skoro można mieć jedną. Oczywiście jest to wolny wybór i jest to OK.

    • “co stoi na przeszkodzie, abym urządzenie, które już posiadam, które jest dobre i szybkie, nie wykorzystać do celów służbowych?”

      Każdy żyje jak lubi. Dla mnie na przeszkodzie stoi “tzw. enrolment, czyli podpięcie urządzenia pod serwer MDM, który przejmuje na nim kontrolę”, skutkujący m.in. tym, że “administratorzy określają, które aplikacje mogą być wykorzystywane przez pracowników. Koniec ze Slackiem na firmowym sprzęcie!”. Nie mam ochoty dzielić się z pracodawcą prywatnymi kontaktami, materiałami, wreszcie informować go o czasie i miejscu, w którym korzystam ze swojego urządzenia. Prosty przykład – czemu pracodawca ma wiedzieć, czy kontaktuję się z rekruterami, a jeśli tak, to z iloma i jakimi? Może ktoś powie, że na potrzeby “wrażliwych” kontaktów mogę mieć osobne konto i urządzenie? Oczywiście tak, ale przecież “po co mieć kilka różnych rzeczy, skoro można mieć jedną”.

      Można rzecz ująć jeszcze inaczej: przychodzę do pracodawcy z własnym czasem, ale w zamian dostaję pieniądze. Dlaczego mam własne rzeczy użyczać za darmo?

    • Przyszpanowanie tabletem ważneijsze nizprywatność

  6. Rodo srodo… Przecież najbardziej nieprzystosowanymi firmami do wprowadzenia RODO jest Polska administracja. Przykład z brzegu: sprzedałem samochód, kupujący otrzymał ode mnie Kartę Pojazdu w której jest imię i nazwisko, adres oraz PESEL wszystkich poprzednich właścicieli. I nikt mi nie zagwarantuje czy i jak wykorzysta on moje dane i dane poprzedników. Dalej – jadę do Urzędu Komunikacji wyrejestrować samochód – dostaje formularz do wypełnienia w którym podaję wszystkie dane sprzedających oraz kupujących i zostawiam kopie umowy (również z tymi danymi) którą Pani wkłada w przegródkę… I tyle wiem, bo nikt mnie nie informuje w żaden sposób kto ma dostęp do tego, jak długo etc…

    Jakieś pytania na temat fikcyjnego RODO? Może to do UODO zgłosić?

    • No to tak – pierwsza sprawa: RODO nie obowiązuje w relacjach obywatel-obywatel. Także przekazanie kupującemu karty pojazdu nie jest regulowane przez to rozporządzenie. Druga sprawa: urzędy i inne JST najczęściej mają swoje regulaminy, BIP-y i porozwieszane karteluszki; RODO wymaga od nich posiadania rejestru czynności przetwarzania danych osobowych oraz dopełnienia przynajmniej obowiązku informacyjnego, gdzie podany będzie cel przetwarzania, jego zakres, podstawa prawna, okres przetwarzania oraz czy dane będą przekazywane innym odbiorcom (i jakim), w tym odbiorcom spoza UE; dodatkowo wszelkiej maści urzędy i JST muszą działać “na podstawie i w granicach prawa”, co się interpretuje jako “nie mogą robić niczego, czego prawo im nie nakazuje”.

  7. Bardzo fajne są te systemy ogólnie. Tylko spora część narzędzi, które oferują te systemy sprzeczna z RODO, lub wymaga specjalnych zgód pracownika, co w konsekwencji musi oznaczać istnienie innego systemu, bo któryś się może na to nie zgodzić i wtedy musi być system alternatywny, GAME OVER

    • Jeśli się nie zgadza to musi się wypisać z tej bajki. GAME OVER.

  8. Kiedy kolejny Memdump?

    • Zaraz po kolejnym Poniedziałku z Prawnikiem, który to z kolei pojawi się w tygodniu po wydaniu Half-Life 3.

    • Duke Nukem Forever kiedyś w końcu wyszedł ;)

    • A mi najbardziej brakuje analizy primaaprilisowych żartów.

    • cholera, zaraz przyjdą Ci, którzy czekają na białą wersję strony… ;)

  9. Intune od Microsoftu jest również dobry. W ograniczonej wersji jest w pakietach O365 Enterprise

  10. Jest coś oprócz Intune, co pozwoli na kontrolę nad urządzeniami w chmurze? Bo szukam ale wszędzie tylko zarządzanie aplikacjami a trudno o platformę z agentem, dzięki któremu można blokować prywatne urządzenia.

  11. A ja mam już dość tego RODO. Rodo na cmentarzu, rodo w przychodni gdzie pani mówi proszę nie mówić imienia i nazwiska głośno tylko dać dowód zdjęciem w dół a jak nie ma dowodu to nie ma lekarza, rodo w szpitalu gdzie nie wiadomo czy się rozmawia z lekarzem czy pielęgniarką bo na plakietce nie może być napisane kto to jest, co z rodo w sklepach gdzie kupuje dużo rolników biorą fakturę i co to są osoby prywatne czy firmy ?. Dostaje fakturę ze stertą makulatury rodo – po co mi to jako firmie ? przecież i tak kupie drugi raz w tym samym miejscu. To jest jakaś paranoja. Wszystko powinno mieć jakieś granice rozsądku i być jasno opisane prostym językiem dla zwykłych ludzi a nie językiem który podlega interpretacji każdego a urzędnika na pewno jak sobie chce.

    • No tak. W efekcie domorośli politolodzy będą hejtowac Brukselę, za przedmiot hejtu biorąc misie (wróć: implementacje prawa unijnego) “na miarę naszych możliwości”.

  12. Zobaczycie, co się w grudniu będzie działo – istny Armagedon się nam szykuje. Święty Mikołaj musiał usunąć listę dzieci poniżej 13 roku życia, a rodzice ociągają się z wysłaniem zgody na przetwarzanie danych dziecka!

  13. Fajny artykuł, tylko po co ciągłe powoływanie się na RODO? Chyba dlatego, że to teraz modne ;) Przecież dane firmowe to nie tylko dane osobowe i temat ich ochrony, jak i zabezpieczeń dostępu był aktualny również przed wejściem RODO w życie. Ja rozumiem, że każdy boi się kar związanych z nieprzestrzeganiem RODO, ale czy wyciek danych finansowych, handlowych czy technologicznych nie jest dla firmy równie bolesny?
    Mam wrażenie, że niektórzy zapominają, że RODO dotyczy wyłącznie danych osobowych i w jego kontekście piszą o wszystkim co związane z bezpieczeństwem.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.