Mobilitate — June 2, 2016 at 1:09 pm

Securizarea mobilității întreprinderilor

by
Madalin Lazarescu
Madalin Lazarescu, Research Manager la IDC România

Mobilitatea in crestere a angajatilor sporeste nevoia de securizare a accesului la serverele companiilor, in conditiile in care smartphone-urile si tabletele nu ofera standard protectia necesara. Accesul de pe diferite dispozitive si din locatii diverse este imperativ si in acelasi timp profitabil.

Cele mai recente studii IDC in Europa Centrala si de Est au aratat ca aproape 27% din angajati sunt mobili si folosesc smartphone-uri si tablete in interes de serviciu in timp ce se afla acasa, in cafenele, trenuri sau aeroporturi. In plus, angajatii mobili pot folosi mai multe tipuri de dispozitive, cu diverse sisteme de operare si aplicatii de la mai multi vendori, ceea ce pune personalul IT responsabil de securitatea retelelor intr-o situatie greu de imaginat in urma cu un deceniu. Pentru a spori gravitatea lucrurilor, in ultimii cinci ani numarul de malware-uri active pentru dispozitive mobile a crescut de 25 de ori.

Ce solutii sunt pentru a proteja datele si care sunt avantajele si dezavantajele?

Containerizarea

Containerizarea inseamna crearea unui spatiu izolat si criptat pe un server central sau pe dispozitivele mobile, care face posibil controlul comunicatiilor si ofera un nivel sporit de securitate. Protectia datelor personale este asigurata atunci cand containerele de date sunt concepute sa separe datele personale de cele ale companiei. In locul utilizarii mai multor dispozitive, containerizarea face posibila folosirea unui singur dispozitiv cu mai multe “personalitati”. In compania tipica, este posibila utilizarea a sute sau chiar mii de containere de date, fiecare avand identitatea proprie securizata.

Departamentele IT trebuie sa gaseasca modalitati de a furniza conexiuni securizate pentru dispozitive mobile din alte locatii, permitand accesul la datele din spatele unui firewall.Din pacate insa, complexitatea software-ului si diversitatea configuratiilor dispozitivelor mobile le transforma in terminale care nu intrunesc standardele de securitate. Diversitatea metodelor de atac face datele centrale ale companiei nu numai susceptibile de a fi compromise ci si o pista de lansare pentru atacuri ce imita metodele de acces prin terminalele mobile. In aceste conditii, existenta unei retele largi si diverse de dispozitive mobile face ca securitatea sa fie greu, daca nu imposibil de obtinut.

Emailul si retelele virtuale private sunt cele mai comune metode de a da acces angajatilor mobili la datele centrale ale companiei. Scalarea acestor metode de acces este greoaie si scumpa, in special datorita diversitatii dispozitivelor mobile.

amenintari-300x225 (1)Gestionarea dispozitivelor mobile

Sharing-ul de fisiere direct din cloud poate fi atractiv din punct de vedere al costurilor scazute si al flexibilitatii. Dezavantajele sunt ca securitatea este relativ scazuta si nevoia de largime mare de banda a conexiunilor este aproape permanenta.

Varietatea crescuta a terminalelor mobile autorizate, data fiind proliferarea ofertelor vendorilor a ajuns in punctul in care managementul retelelor si mentenanta echipamentelor depaseste capabilitatile oricarui operator de retea. Accesarea fisierelor companiei de pe toate dispozitivele e aproape imposibila in conditiile in care vendorii de terminale mobile si aplicatii pentru terminalele mobile ofera configuratii noi si actualizari odata la cateva zile. Astfel, misiunea de a proteja datele companiei si de a controla accesul devine extrem de dificila.

Solutia este software-ul de gestiune a terminalelor mobile (MDM – Mobile Device Management). MDM este un set de politici si de unelte de configurare care sunt de folos administratorilor de retea in vederea securizarii dispozitiveor mobile, indifferent de tipul de conexiune. MDM include criptarea fisierelor, acces si autentificare securizate, blocare de aplicatii, validarea securitatii. MDM face posibila afisarea unor parametri de control centralizat pentru o multitudine de spatii de lucru, paramatri dedicati monitorizarii containerelor pentru fiecare terminal mobil in parte.

Separarea datelor personale de cele ale companiei

Ori de cate ori sunt accesate datele personale sau ale companiei de pe acelasi terminal mobil, apar riscuri de securitate. Separarea acestor tipuri de date este cruciala pentru orice companie care doreste sa isi securizeze datele. Daca un dispozitiv mobil apartine angajatului, separarea datelor personale de cele ale companiei trebuie verificata mai ales daca angajatul preia un rol nou sau pleaca din companie. Programul Bring Your Own Device (BYOD) face managementul separarii datelor personale de cele ale companiei aproape imposibil, mai ales atunci cand angajatii au acces la paginile web ale companiei si exista sincronizari intre browserele altor dispozitive personale si browserele de pe terminalele din cadrul programului BYOD.

Un risc in plus il reprezinta si portabilitatea intrucat datele de acces pot fi recuperate de pe terminalele pierdute sau furate. Datele de acces se pot “scurge” de asemenea prin aplicatii insuficient verificate din magazinele de aplicatii ale vendorilor de sisteme de operare. Vor exista de asemenea vulnerabilitati in cazul conectarii la retele WiFi nesecurizate.

Sistemele de securitate instalate in cloud-ul companiei pentru filtrarea tuturor tranzactiilor sunt numai partial eficiente, iar alegerea unui singur vendor de securitate nu este adecvata in special daca este necesar un nivel crescut de siguranta. O filtrare completa a tuturor operatiunilor din cloud intr-o organizatie mare este dificila, costisitoare si putin productiva, ducand nivelurile de latenta pe terminalele mobile catre inacceptabil.

Virtualizarea dispozitivelor mobile

Virtualizarea terminalelor mobile si containerizarea poate fi facuta intr-unul din serverele fizice pentru fiecare conexiune in parte. Prin virtualizare, fiecare solicitare de pe o aplicatie de pe acelasi terminal poate fi tratata ca venit de pe un terminal diferit si unic. Problema cea mai mare a acestei solutii provine din dificultatea de a impune disciplina virtualizarii pentru fiecare aplicatie in parte si pentru fiecare dispozitiv mobil. Controlul trebuie impus pentru toate aplicatiile, terminalele si toti participantii la activitatile companiei, fie ei angajati, clienti sau colaboratori. O asemenea incercare ar necesita o putere de calcul foarte mare pe care putine companii si-o pot permite in momentul de fata.

Concluzii

Avand in vedere ca securizarea completa a datelor unei companii este aproape imposibila in conditiile in care este permis accesul unei varietati de terminale mobile, companiile ar trebui sa urmeze totusi niste reguli care duc la scaderea vulnerabilitatii:

  • asigurarea unui container virtual ori de cate ori datele sunt livrate din serverul central catre terminalele mobile

  • tranzactiile mobile sa fie exclusiv in timp real si cu latenta foarte mica

  • trebuie sa existe un model de securitate care sa fie aplicabil tuturor terminalelor si in acelasi timp sa existe un fisier inteligent care colecteaza toate tranzactiile si comportamentele suspecte

  • trebuie sa fie un alcatuit un inventar al tuturor aplicatiilor care pot fi afectate de malware pentru a intelege vulnerabilitatile in cazul unui atac cibernetic

  • trebuie sa existe politici de prevenire a conectarii dispozitivelor mobile la retele care nu sunt autorizate

 

de Madalin Lazarescu, Research Manager la IDC România