Până acum câțiva ani, coșmarurile preferate al angajaților departamentului IT erau virușii care găsesc o gaură în sistemul de operare și angajații care dau click pe orice, de pe orice website. În zilele noastre, smartphone-urile personale ale angajaților sunt încă o grijă suplimentară. Cum o ataci până nu te atacă ea pe tine?
Pentru atacurile din exterior există firewall-uri și antiviruși, iar pentru a te proteja de siturile care servesc malware poți să filtezi traficul către Internet. Există suficiente produse de securitate și pentru monitorizare pe care le poți folosi și care-ți dau control total asupra rețelei și stațiilor de lucru.
Poți să exerciți acest control pentru că este vorba despre echipamentele companiei – este de la sine înțeles că poți instala orice fel de software și poți face orice fel de filtrare. Situația însă se schimbă în cazul în care angajații folosesc dispozitivele proprii. Nu doar că nu poți să-i forțezi să-și instaleze un anumit software și nici nu poți să capeți acces asupra telefoanelor lor inteligente, dar și filtrarea accesului la Internet poate fi problematică – de exemplu ai putea să interceptezi informații personale.
Este o problemă grea. Pe de o parte, nu poți să le interzici angajaților să folosească telefoanele la job, dar nici nu poți să le permiți accesul neîngrădit în rețeaua companiei, cu niște dispozitive pe care nu le poți controla și care pot “găzdui” orice fel de malware.
Ai mai multe variante:
Interzicerea completă a accesului în rețea. Pur și simplu nu oferi acces în rețea dispozitivelor pe care nu le poți controla. Teoretic, e simplu și eficient, mai ales că cine are smartphone are sigur și un abonament de date.
Există însă două probleme aici. Prima este că, pentru moment, abonamentele la Internet pentru smartphone-uri sunt scumpe și au foarte puțin trafic inclus. Prin urmare, utilizatorii “pasionați” vor încerca totuși să se conecteze la rețeaua companiei (de exemplu folosind desktop-ul pe post de router). Există șanse mari ca tu să nici nu-ți dai seama că mai există un dispozitiv în rețea, în schimb să “beneficiezi” de toate riscurile atașate.
Cea de-a doua problemă ține de administrarea rețelei. Va trebui să ai o listă cu adresele hardware ale tuturor dispozitivelor care “au voie” și să te asiguri că este folosită corect. “Distracția” începe atunci când ai vizitatori cărora trebuie să le dai acces temporar. Într-o companie medie sistemul devine extrem de greu de menținut.
Filtrarea extrem de agresivă. Dacă ai deja un sistem de filtrare instalat, poți să permiți accesul dispozitivelor străine în rețea, dar să le aplici un filtru foarte agresiv. Te poți astfel proteja, cel puțin parțial, de viruși, spyware sau programe de file sharing care ar putea folosi Internet-ul firmei pentru a descărca sau servi conținut ilegal.
Este însă mai greu să-ți protejezi rețeaua internă – pentru că în cazul unui atac sau furt de informații, acesta vine tot “din interior”. Prin urmare, nu recomand această soluție decât celor care au pus la punct și un sistem foarte bun de management al documentelor și informațiilor sensibile, iar angajații sunt conștienți de riscurile accesării acestor documente de pe dispozitivele lor personale.
Separarea totală de rețeaua companiei. Soluția cea mai bună este, după părerea mea, un compromis între cele două variante de mai sus. Din păcate, este și cea care solicită cel mai mare efort pentru implementare. Presupune un abonament diferit la Internet (poți folosi, de exemplu, legătura de backup), și un sistem de routare care să separe complet traficul intern de “vizitatori”.
În final, angajații și vizitatorii vor avea acces la Internet folosind dispozitivele proprii, însă nu vor utiliza rețeaua companiei, astfel încât orice malware sau atac nu te va afecta direct. În cazul unui incident îți va fi foarte simplu să filtrezi sau chiar să oprești complet accesul la Internet. Iar dacă ai utilizatori care chiar au nevoie să acceseze resurse interne de pe smarphone-ul propriu, le poți pune la dispoziție un VPN, eventual condiționat de instalarea unor soluții de securitate pentru dispozitivele mobile.
… și iată cum trebuie să muncești doar pentru ca angajații tăi să poată instala ultimul update de Angry Birds în timpul orelor de program 
. Tehnologiile se schimbă iar procedurile IT și de securitate trebuie să țină pasul.
În plus, este foarte important să nu uiți să-ți educi utilizatorii asupra riscurilor care apar odată cu achiziția unui smarphone conectat la Internet și utilizarea lui în rețeaua companiei. Este mai bine să previi decât să tratezi, iar în IT asta se face cu informații de calitate, administrate din timp!
Tu permiți utilizarea telefoanelor personale în rețeaua companiei? În ce condiții? Scrie un comentariu mai jos!
Dacă ai nevoie de ajutor specific pentru situația ta, nu ezita să ne contactezi!
Image credit: Calgary Review.
Related posts:
- La ce ajută filtrarea și monitorizarea accesului la Internet Dacă în articolul anterior am prezentat, pentru cei care nu...
- Argumente pro și contra în filtrarea și monitorizarea angajaților Acest post este partea a 3-a dintr-o serie ce prezintă...
- Controlul accesului la Internet: ce se poate filtra Acest post este partea a 4-a dintr-o serie ce prezintă...
- Strategie și cod de bune practici în filtrarea și monitorizarea accesului la Internet Iată că seria dedicată filtrării și monitorizării accesului la Internet...
- Implicații juridice ale filtrării și monitorizării Internetului în relația de muncă Închei astăzi seria dedicată filtrării și monitorizării accesului la Internet...
[...] sunt la job. Tocmai te-ai trezit cu o problemă de securitate . Am scris pe blog-ul NOVIT despre utilizarea dispozitivelor personale în rețeaua companiei și ce variante ai pentru a te [...]
Eu unul văd o soluţie de compromis astfel:
a) Politica de securitate pe sistemul unui angajat neimportant: exclus de a conecta devices externe, punct.
(Side-note: încă îmi amintesc managerul meu de la Real,- ce faţă a făcut când a văzut că aveam la mine card reader şi card SD. Le aveam strict ca să pun muzică, chiar şi Winamp rula de pe card. Teoretic nu aveam voie cu electronice, practic paznicii habar n-aveau ce dracu îs chestiile alea. În fine, omul a chemat ITul şi de atunci n-am mai putut conecta nimic.)
b) O reţea wireless prin care se poate ieşi pe internet dar care nu are legătură cu restul companiei. Similar, e trivial de configurat aşa ceva.
@dAimon, corect ce zici. Din păcate, în zilele noastre e din ce în ce mai greu să “enforce”-zi punctul a. Nu prea poți să interzici accesul cu smartphone-uri la birou (ce faci, pui paznicul să le confiște oamenilor telefoanele?). Dacă ai o clădire mare și 2-3-4 access point-uri wireless, începe distracția cu liste de MAC-uri permise și așa mai departe… Nu zic că e imposibil, dar cum am scris și în articol, este un efort semnificativ care nu îți asigură, de fapt, securitatea dorită.
Tot punctul b de la tine și a treia recomandare din post-ul meu mi se par că îmbină cel mai armonios efortul cu rezultatul dorit. Vrea omul net pe smartphone, îi dai net pe smartphone … doar că nu net-ul pe care-l vrei securizat
La a) spuneam de politici de securitate ale sistemului de operare, mei. Poate să intre omul cu telefonul, oricum nu-l poate conecta la computer. End of story.
exemplu pe linux: http://lists.freedesktop.org/archives/hal/2006-August/006023.html
exemplu pe mac: http://homepage.mac.com/gweston/dtd/index.html
exemplu pe windows: http://support.microsoft.com/kb/555324
@dAimon, niciodată nu voi avea încredere în sistemele pe care le pot controla userii. Nu am găsit încă sistem care să nu poată fi compromis de cineva care are acces fizic. Iar dacă vorbim de un anumit sistem de operare, expresia “politici de securitate” mă face să zâmbesc