A cikk eredeti címe nem teljesen ez volt, de szerintem ez jobban illik hozzá, plusz egy-két dolgot hozzáfűznék mindahhoz, amiről itt szó esik.

1 - Ne tiltsuk az elérést

Ha a vállalati szabályzat nem engedi, hogy az illető a táblagépéről vagy a mobiltelefonjáról nyissa meg a vállalati fájlokat, akkor lementi azokat egy pendrive-ra, vagy elküldi a privát e-mail címére, hogy otthon is szerkeszteni tudja, vagy útközben alaposabban átolvashassa. A fájl így kívül kerül a biztonságos vállalati infrastruktúrán, ahol a cég biztonsági megoldásai már nem képesek megvédeni. Éppen ezért sokkal inkább célravezető, ha a döntéshozók a fájlhozzáférés tiltása helyett megfelelően szabályozott környezetet teremtenek a vállalati dokumentumok eléréséhez.

Ebben a kérdésben én kicsit szkeptikus vagyok, én nem engedném meg ezt így konkrétan.
Igen, ahogy a cikk is említi, minden megkerülhető, de ne kínáljuk tálcán a lehetőséget - a cikk végén az összegzésben kifejtem bővebben, hogy mit tennék én.

2 - Tartsuk szem előtt a biztonságot

Mielőtt lehetővé tesszük a felhasználók számára a mobil hozzáférést a céges dokumentumokhoz, érdemes végiggondolni a vállalati működést érintő törvényeket és előírásokat, illetve a biztonság fenntartásához szükséges feltételeket. Célszerű ezeknek megfelelően megtervezni a változtatásokat, és kiválasztani a szükséges eszközöket.

Ez egyértelműen jó tanács. Ha egy cégnél vannak bizalmas dokumentumok, akkor az adatkezelési és adathozzáférési szabályzat megléte kötelező, de még fontosabb ennek a betartása, betarttatása, és rendszeres ellenőrzése.

3 - Ne engedjük “házon kívülre” a fájlokat

Egy felhőalapú tárhelymegoldás kézenfekvő lehet a rugalmas dokumentumeléréshez. Ez azonban hasonló biztonsági kockázatokat vethet fel, mint amikor a felhasználók a privát e-mail címeikre küldik át a vállalati fájlokat, hogy otthon is tudják használni azokat.

Ez egy igen hasznos ötlet akkor, ha tudjuk is auditálni, hogy mikor, ki, mit csinál.

Az ownCloud esetében már beszámoltam egy olyan kiegészítőről, amellyel ez kivitelezhető - ha megakadályozni nem lehet a hozzáférést, akkor naplózni kell, minden műveletet, ami visszakereshető.

4 - Menedzseljük a mobil tartalmakat is, ne csak a mobil eszközöket

A mobil eszközök mellett a mobil tartalmak kezeléséhez is elérhető már olyan termék, amely kifejezetten vállalati felhasználásra készült.

A vállalati mobilokat lehet, de a privát mobil eszközökhöz egy cégnek semmi köze. Alapvetően azt kell szabályozni, hogy a mobil eszközök egy olyan hálózati szegmensben kapjanak helyet, ahol sem adatokhoz nem lehet közvetlenül hozzáférni, sem pedig kártevővel fertőzött eszközzel a vállalati infrastruktúrát - akár akaratlanul is - támadni.

Ez természetesen a notebookokra is lehet igaz - lent ki fog derülni, hogyan.

5 - Használjuk a meglévő eszközöket és erőforrásokat

A jól felépített vállalati infrastruktúrákban megfelelően kialakított hozzáférési jogok és kvóták, tűzfalak, biztonsági másolatok, illetve katasztrófa utáni helyreállítási rendszerek gondoskodnak a biztonságról és a folyamatos működésről.

Ez utóbbi az egyik legjobb tanács, erre utaltam is az előzőnél.
A megfelelően kialakított hálózati struktúra a legjobb létező fegyver arra, hogy a biztonságot megtartsuk.

Összegzés

Ha valóban érzékeny információkat tárolunk, akkor meg kell határozni azok biztonsági szintjét, és a biztonsági szinteken elérhető fájlok helyét a hálózatban fizikailag is szét kell választani.

Azaz, ha én pl. a 2-es biztonsági szintű besorolást kapon a vállalatnál, akkor olyan hálózati szegmensbe kerülök, ahol a teljesen publikus, az 1-es szintű és a 2-es szintű adatokat látom. Aki a 3-as szintbe tartozik, olyan hálózati szegmensben lesz, amiből látja azt, amit én, plusz a 3-as szintet - és így tovább.

A mobil eszközök egy olyan hálózati szegmensbe kell, hogy kerüljenek, ahonnan a publikus adatok sem érhetőek el - igen, a notebookok is.

A vállalat asztali számítógépei egy másik hálózati szegmensben legyenek, amelyekről ugyanúgy semmi sem érhető el.

Na, de miért így?

Két kérdés van egy kérdésben:

  1. Miért válasszuk külön a vállalat asztali gépeit a mobiloktól és a notebookoktól?
    A mobil eszközöket a gazdáik hordozzák, és így komolyabb veszélynek vannak kitéve - nehezebben frissíthetőek a vírusdefiníciós adatbázisok, az operációs rendszer fájljai.
    Meglátásom szerint a gép teljes kitiltása addaig, amíg minden be nem frissül, több kényelmetlenséget okoz, mint amennyi haszna van.
  2. Miért nem érhető el semmi a vállalat asztali gépeiről sem?
    Mert az infrastrukturának olyannak kell lennie, hogy senki se dolgozzon közvetlenül azon a gépen, amelyiknél ül. Függetlenül attól, hogy az egy notebook, asztali PC, vagy vékonykliens.

A második kérdésnél hangzik el a lényeg. Ha az asztali számítógép, vagy notebook csak arra szolgál, hogy azon keresztül egy távoli gépre belépve dolgozzunk (azaz terminálkliensként használjuk), azzal megteremtjük annak a lehetőségét, hogy a fájlokhoz való közvetlen hozzáférést megadadályozzuk.

A felhasználó nem tud fájlokat másolni pendrivera, mobiltelefonra, más adathordozóra, mert ezeket a terminálkiszolgálón le lehet szépen tiltani.

Ki tudja azonban ezeket nyomtatni, de az naplózható, azaz visszakereshetjük, hogy mikor, ki és mit nyomtatott ki. Természetesen ehhez olyan nyomtatási megoldás kell, ami támogatja ezt a lehetőséget.

Azok a személyek, akik magasabb biztonsági szinten vannak - azaz a teljesen publikus adatok elérésén túl -, olyan távoli bejelentkezést tudjanak csak csinálni, ahol minden tevékenységüket figyelik.

Van egy hazai termék, amellyel úgy végigkövethető egy dolgozó teljes napi tevékenysége, mintha videón néznénk mindazt, amit csinál.

A képernyőn megjelenő információk a rögzítés után olyan ellenőrzésen mennek át, hogy karakterfelismeréssel kereshetővé válik minden, ami a képernyőn megjelent, ilyen módon, ha pl. tudjuk, hogy egy bizonyos dokumentum kiszivárgott, akkor annak nevére rákeresve megkapjuk azt a listát, ami tartalmazza azokat a munkafolyamatokat, amelyekben az adott fájl szerepel, így gyakorlatikag könnyen megtalálható, hogy azt pl. ki küldte el emailben, vagy töltötte fel valahová.

A felhőben történő adathozzáférések naplózásáról már beszéltem, ott az előző kereséses módszerhez hasonlóan ez ugyanígy kereshető.

Azt pedig, hogy az adott távoli munkafolyamatban ki, milyen weboldalt, webmailt, vagy más szolgáltatást (pl. FTP, WEBDAV, stb.) használ, egy egyszerű webproxyval lehet szabályozni. Ilyen módon megtiltható a Facebook, Youtube és más webes tartalmak, programok használata - evvel is csökkentve annak a veszélyét, hogy a felhasználó olyan tevékenységet végezzen, ami esetleg a munkájára káros hatással van.

Igen, nem az a lényeg, hogy munkaidőben dolgozzon, hanem az, hogy a figyelme ne máshová összpontosuljon, hanem első sorban arra, amit csinál. Rengeteg banális hibát és tévesztést el lehet kerülni avval, ha a dolgozók számára olyan munkakörülményeket teremtünk, ahol kizárjuk az őket zavaró tényezőket.

Forrás: WikiTech