Image Image Image Image Image Image Image Image Image Image

it-manager | 22/07/2017

Scroll to top

Top

Brak wypowiedzi

Jak zarządzać ryzykiem poprzez ochronę wykorzystywanych aplikacji i danych

Jak zarządzać ryzykiem poprzez ochronę wykorzystywanych aplikacji i danych

30 września 2016

Każdego roku wydatki firm na rozwiązania z zakresu bezpieczeństwa IT stanowią jeden z najważniejszych punktów na listach ich priorytetów. Jednak same rozwiązania nie zapewnią pełnej ochrony firmowych danych, gdyż codziennie pojawiają się nowe zagrożenia ciężkie do wykrycia przez istniejące narzędzia, a sama ich ilość również rośnie. Ważne jest zatem określenie priorytetów zarządzania ryzykiem poprzez ochronę wrażliwych informacji szczególnie, gdy takie czynniki jak coraz częściej implementowany dostęp z urządzeń mobilnych do zasobów firmy staje się normą.  

W każdym sektorze (również w tych objętych bardziej restrykcyjnymi regulacjami), firmy chcą bazować na rozwiązaniach, które pozwolą im jak najlepiej zabezpieczyć i ochronić prywatność istotnych informacji. To co równie ważne dla nich to jednoczesne zapewnienie bezpieczeństwa danych i zgodności wdrożonych systemów z wymogami i funkcjonalnościami istniejących w firmie aplikacji, bez konieczności jakichkolwiek ustępstw po stronie elastyczności biznesowej.” – mówi nam Wolfgang Mayer, szef Citrix na Europę Wschodnią. Jednak ochrona informacji wymaga też zmodyfikowanego podejścia ze strony IT. Widocznym trendem jest chęć kontroli całej firmowej sieci, przy jednoczesnym ignorowaniu faktu, że współczesna przestrzeń pracy, w jakiej działa coraz większa liczba pracowników podlega ewolucji i stale się rozszerza. Urządzenia coraz częściej stają się zarówno prywatne jak i firmowe, coraz więcej pracowników wybiera aplikacje ulokowane w chmurze (często nawet nie zdając sobie z tego do końca sprawy) dzięki czemu są w stanie pracować bardziej elastycznie, z dowolnego miejsca objętego zasięgiem sieci. Widok osoby biorącej udział w wideokonferencji i jednocześnie sprawdzającej dokumenty np. na stacji metra czy w kawiarni przestaje już kogokolwiek dziwić – szczególnie w dużych miastach.

Różnorodność urządzeń, aplikacji oraz miejsc do potencjalnej pracy zwiększa ilość zagrożeń i komplikuje sam proces ich zabezpieczania, co ma przełożenie na definiowanie wymogów bezpieczeństwa i poszukiwanie nowych rozwiązań w tym zakresie. A te muszą uwzględniać takie czynniki jak: możliwość elastycznej pracy zdalnej oraz telepracy, czy też różne grupy odbiorców w tym pracowników kontraktowych, partnerów biznesowych oraz zewnętrznych konsultantów, którzy z jednej strony często stanowią istotną część określonego zespołu, z drugiej zaś niekoniecznie są częścią rdzennej, firmowej sieci.

Dostęp oparty na kontekście i kontrola w zakresie komunikacji sieciowej, które pozwalają na wykorzystanie firmowych aplikacji i danych z różnych miejsc sieci, to jedne z najbardziej kluczowych zagadnień. „Dziś firmy muszą mieć możliwość wsparcia służbowych aplikacji i danych, na zarówno zarządzanych jak i niezarządzanych przez IT urządzeniach, (mając na uwadze urządzenia firmowe jak i te wykorzystywane w programach BYO) bez pogorszenia poziomu bezpieczeństwa czy zwiększenia ew. ryzyka.” – zauważa przedstawiciel Citrix. Ponadto, warto zadbać o bezpieczeństwo firmowych danych, prywatnych informacji w ramach wymuszanych polityk bezpieczeństwa, pełne przeniesienie procesów biznesowych, odpowiednie raportowanie oraz audyt by móc osiągnąć pełną zgodność z wymogami i regulacjami. Dodatkowo kluczowym jest zapewnienie ciągłości działania poprzez umożliwienie bezpiecznego dostępu do zasobów, z dowolnego miejsca, zarówno podczas planowanych prac jak i przypadkowych problemów.

Przedstawiciel Citrix dzieli się też kilkoma najlepszymi praktykami, jakimi warto kierować się chcąc odpowiednio kontrolować aplikacje i dane. Według niego warto:

  • Skoncentrować się na zbalansowaniu potrzeb w zakresie bezpieczeństwa z wymaganiami użytkowników dotyczącymi ich standardu pracy.
    Zamiast zarządzać jedynie urządzeniami warto, aby organizacja przyjęła bardziej holistyczne podejście w odniesieniu do bezpieczeństwa, stawiając nacisk na zrównoważenie kwestii dotyczących standardu pracy i produktywności pracowników z zachowaniem bezpieczeństwa dla urządzeń, aplikacji, danych, sieci czy nawet tożsamości użytkowników.
  • Zastosować elastyczne opcje przechowywania danych, dostępu do nich oraz ich zarządzania. Zarówno ze względu na wygodę jak i efektywność kosztową rozproszonych pracowników, przechowywanie firmowych informacji w dowolnym miejscu – od pamięci mobilnej po aplikacje chmurowe – wymaga większej kontroli ze strony IT w zakresie tego, gdzie, jakie informacje powinny być przechowywane oraz z kim mogą być dzielone. Często firmy szukają elastycznego połączenia scentralizowanej kontroli nad serwerami w centrach danych, przechowywania danych w chmurze oraz konteneryzacji punktów końcowych.
  • Zastosować politykę bezpieczeństwa opartą na kontroli kontekstowej.
    Zamiast dawać użytkownikom pełny dostęp w firmowej sieci (WLAN, wifi) a blokować dostęp z zewnątrz warto zastanowić się nad wprowadzeniem zasad bezpieczeństwa, opartych na analizie treści / kontekstu. Łączy ona informacje o osobie i jej roli w firmie, jej lokalizacji w danym momencie, typie urządzenia z jakiego korzysta i informacji kto jest właścicielem danego urządzenia z informacjami do jakich zasobów i informacji chce ona uzyskach dostęp. To pozwala specjalistom IT ustalić odpowiednie zasady i polityki bezpieczeństwa, które będą właściwie zarządzały dostępem do informacji na bazie ich kontekstu, w tym także do zasobów poufnych czy zastrzeżonych danych w ramach wszystkich scenariuszy biznesowych.
  • Wprowadzić efektywne zarządzanie zgodnością z przepisami i raportowanie.
    Na całym świecie organizacje muszą mierzyć się z ponad 300 różnymi standardami w zakresie bezpieczeństwa czy prywatności, regulacjami i przepisami prawnymi i ponad 3500 różnymi rodzajami kontroli. Rozwiązania w zakresie bezpieczeństwa powinny zapewniać pełne i zautomatyzowane funkcje monitoringu, logowania i raportowania wykorzystania danych, poszczególnych aktywności użytkowników i wykorzystania sieci tak, by szybko i efektywnie odpowiedzieć na wszelkie pytania w razie audytu czy innej kontroli.
  • Zmniejszyć ilość ew. cyberataków i jednocześnie obniżyć koszty IT.
    Ogólny cel ograniczenia ewentualnych ataków może iść w parze z redukcją kosztów operacyjnych i zmniejszeniu wydatków na konkretne technologie mające zapewnić bezpieczeństwo IT (szczególnie w przypadku urządzeń) poprzez skoncentrowanie się na aspektach związanych z bezpiecznym korzystaniem z danych i aplikacji. Firmy powinny zwrócić uwagę na bezpieczne dostarczanie aplikacji z wykorzystaniem technik szyfrowania danych zarówno w trakcie ich użytku, wtedy, gdy są przechowywane a także gdy są przesyłane czy udostępniane pomiędzy użytkownikami i lokalizacjami.

Powyższe punkty to oczywiście jedynie wycinek tego, co może być przydatne dla organizacji. Należy też pamiętać, by dostosować dane zasady nie tylko do specyfiki firmy, ale i całego rynku, na jakim ona działa. Niemniej jednak jedno jest  pewne: zmiana podejścia do ochrony informacji biznesowych to pierwszy i jeden z najważniejszych kroków. Kolejnymi może być skupienie się na określonych rozwiązaniach i technologiach, które pozwolą zapewnić odpowiednią ochronę korzystania z firmowych aplikacji i danych, ale to już temat na inny artykuł.

Wypowiedz się

Wszelkie prawa zastrzeżone