AC FORUM
Je online prostor určený pro stávající či potenciální zákazníky AutoContu, kteří mají zájem o AC novinky, chtějí čerpat informace z AC blogů či přispívat do diskusí. Mohou zde získat informace z konferencí, prezentací a dalších neveřejných dokumentů.

AC
FORUM

Je online prostor určený pro stávající či potenciální zákazníky AutoContu, kteří mají zájem o AC novinky, chtějí čerpat informace z AC blogů či přispívat do diskusí. Mohou zde získat informace z konferencí, prezentací a dalších neveřejných dokumentů.

×
Blog teaser image

Hranice informačního systému

Kde jsou hranice našeho informačního systému? Troufám si říct, že odpovíte, že je to perimetr našeho IS tj. připojení do internetu a dále pak jednotlivé koncové body. Ano to platilo kdysi a za slovem kdysi si představme třeba dobu před 5 lety, dnes bych si však tím již nebyl vůbec jistý.

Logicky hranice našeho IS asi zůstává stejná, geograficky se však nepřetržitě pohybuje. Je to dáno skutečností, že koncová zařízení nepřetržitě cestují a s nimi v nejednom případě i data. Nejdůležitější je však fakt, že koncové body se za posledních 5 let výrazně změnily. Změnily fyzickou podobu, změnily operační systémy a změnil se způsob práce a změnily se i rizika.

Moderní dynamická firma potřebuje, aby pracovníci měli nepřetržitě přístup k datům a informacím. Ty jim umožňují rychleji reagovat na požadavky a podněty zákazníka a tak být konkurenceschopnější v boji o něj. V zájmu vyšší rychlosti (dynamiky, flexibility a říkejme tomu, jak chceme) přesouváme gigabity dat a pokud je nemůžeme přesunout, zajišťujeme k nim vzdálený přístup. Mám obavu, že přitom tak nějak zapomínáme na bezpečnost. Má firma kromě lidského potenciálu a renomé něco cennějšího než jsou data a informace?
První věc, která mě napadne. Firemní notebook. Báječná věc. Zaměstnanec může pracovat kdykoliv a odkudkoliv pokud má připojení na internet. Na oplátku má zaměstnanec notebook tak nějak i k osobní dispozici. Když jsme uvnitř firemního perimetru, jednotlivé bezpečnostní nástroje sledují co se děje a pokouší se alespoň zčásti vynucovat určitou politiku. Co se však děje mimo perimetr? Na jaké stránky se stroj vlastně připojil? Jaké aplikace byly na notebook nainstalovány? Jaký kód přišel s notebookem další den do práce? Ano máme instalovány antiviry a personální firewally, ale nedělejme si přehnané iluze o jejich účinnosti. Jakkoliv to může znít krutě – pracovní notebook je pracovní notebook a i když jej mám doma, neměl bych na něm provozovat či instalovat žádnou aplikaci kromě aplikací vyjmenovaných a schválených IT firmy.

Hned mě napadá druhé zařízení. Mobilní telefony nebo-li smartphony. Zde je situace ještě horší.  Vzhledem ke skutečnosti, že i oficiální Google Apps store obsahuje infikované aplikace, netřeba pátrat jak jsou na tom jiné méně renomované zdroje (je možné najít číslo tvrdící, že každá 3 aplikace z neoficiálního zdroje je infikována) L Máme alespoň nějaký software na ochranu telefonů? Ví někdo ve firmě, jaké aplikace jsou na firemních mobilech? Mnoho těchto zařízení je používáno pro přístup k firemním datům a to, že je přístup k samotnému mobilu chráněn heslem de facto nic neznamená. Jakmile se podaří útočníkovi ovládnout mobil je získání hesla už jen hackerskou rozcvičkou. Určitě jste už slyšeli, že je možné prolomit snímač otisků prstů na mobilu nebo odečíst pomocí čelní kamery zadávané heslo z rohovky uživatele. Zní to sice jako sci-fi, ale živé ukázky hackerů tuto možnost potvrdily. Co tedy s tím? Vytvořit seznam schválených aplikací a povolit pouze tyto, ať už se nám to líbí nebo ne tak byť máme mobil k dispozici jako benefit tak primárně slouží k služební komunikaci a nikoliv k focení selfie a jejich postování na internet.

Tím jsem nakousl třetí věc - sociální sítě. Sice je možné utnout a regulovat přístup uvnitř perimetru, nicméně co dělají naši zaměstnanci, když nepracují? Nebudu hádat procento a ani vyjmenovávat jednotlivé sociální sítě, kde někdo ze zaměstnanců má účet nebo je aktivní. Ostatně dá se říci, že je to každého věc, jak tráví volný čas (rizika sociálních sítí jsou na jinou diskuzi). Otázkou je, co všechno nám zaměstnanci na internet sdílí? Už na začátku bylo zmíněno, že budování značky a firemní image je také jedním z cenností firmy. Domnívám se tedy, že v pracovní smlouvě, interní směrnicí nebo „morálním kodexu“ firmy by mělo být stanoveno, jaké informace ve vztahu k firmě, mohou zaměstnanci na internet ukládat. Můžeme sice spoléhat na loajalitu jednotlivých zaměstnanců, ale ta je velmi individuální, a pokud zaměstnancům neřekneme, co nechceme, aby dělali, potom bychom se asi neměli divit. Patřím již asi ke starší generaci a některé věci už mě minuly a některé nedoženu, ale musím zmínit, že mezi riziky je dnes často zmiňován nástup „nové generace“, která již vyrostla s počítači a která si život bez nepřetržitého online statusu nedokáže představit.

A ještě jedna věc nakonec. BYOD (bring your own device – používání soukromého zařízení pro firemní účely). To je taková krásná věc, která kombinuje snad úplně všechna rizika pro IT a aktiva firmy. Hovoří se o tom, že to je spíše otázka času než otázka zda-li vůbec. Ano tady se spojuje riziko nekontrolovaného zařízení používaného pro firemní i privátní účely. Minimum co můžeme udělat, je říci si alespoň základní pravidla – základní politiku pro BYOD.

Určitě dokážeme nalézt technická řešení, dokážeme nastavit pravidla a procesy, ale pokud si rizika nepojmenujeme a nebudeme o nich minimálně vědět (zcela korektní je riziko akceptovat), potom náš IS nemusí nutně sloužit jenom nám.

Komentáře