.

Politici de securitate pentru terminalele mobile

/ Post date: 01.06.2005

Fie că sunteți utilizator obișnuit sau corporate, dacă dețineți un dispozitiv mobil ar trebui să aveți și o politică de securitate proprie sau una emisă de companie. Unii utilizatori dețin o politică de securitate informală. Oricum însă, majoritatea utilizatorilor nu aplică nici o politică de securitate și nici măcar nu s-a gândit vreodată la problemele de securitate ce pot apărea odată cu deținerea unui Pocket PC. Același lucru este valabil și în cazul organizațiilor, fie că e vorba de un departament guvernamental sau o companie. Majoritatea organizațiilor au angajați ce folosesc dispozitive mobile, fie că acestea sunt simple terminale mobile sau PDA-uri. Iată mai jos recomandările de care ar trebui să țină cont o organizație, dacă vrea să nu aibă surprize de la echipementele sale mobile.

Securitatea terminalelor mobile ar trebui să fie o prioritate pentru orice organizație. De ce? Deoarece majoritatea companiilor dețin utilizatori cu dispozitive mobile inteligente, majoritatea acestora deținând date despre companie.
În fapt, politica de securitate de bază a unei companii privind terminalele mobile ar trebui să prevadă că odată cu sincronizarea unui dispozitiv mobil cu orice sistem din rețeaua companiei (server sau desktop), acest dispozitiv mobil nu mai este doar unul personal, ci trebuie inclus în politica de securitate mobilă a companiei respective.

Mare parte dintre utilizatorii terminalelor mobile nu sunt de acord cu această idee, însă motivul pentru această politică este simplu: dacă dispozitivul se sincronizează cu un sistem funcționabil, atunci dispozitivul mobil deține date corporate pe el, cum ar fi e-mail-ul, fișiere, calendare (care de multe ori conțin și detalii despre întâlniri) și chiar contacte business. Ar fi deranjată o companie dacă contactele și prospectele celor mai buni oameni ai săi din departamentul de vânzări, de exemplu, ar deveni cunoscute competiției?

Ce este o politică de securitate pentru un dispozitiv mobil?
Politicile de securitate orientate către dispozitive sunt baza modului în care utilizatorii interacționează cu dispozitivul și cu compania la care sunt angajați. Politica de securitate stabilește lucruri precum caracteristicile parolelor folosite (lungime, câte caractere unice trebuie să cuprindă și ce ar trebui să se întâmple dacă o parolă incorectă este introdusă în mod repetat).
Pe scurt, o politică  de securitate bună permite administratorilor să prescrie pașii simpli de management ai securității, toți bazați pe cerințele de securitate pentru datele companiilor. Acești pași pot fi distribuiți către dispozitive odată cu instalarea sau folosirea rețelelor în cauză.

De unde se începe?
Se începe de la folosirea acestor dispozitive mobile într-o organizație. Ce utilizări ar putea sau ar trebui să aibă acestea? Reprezintă un moft sau o necesitate? Sunt marginale sau reprezintă o parte integrantă a modului în care compania face afaceri? Apoi, se face o listă cu limitările de propagare a datelor companiei, iar aceste limitări se transformă în linii directoare tehnice: aceasta este infrastructura de bază a unei politici de securitate. Politica de securitate reprezintă, de fapt, linii directoare tehnice care conțin cerințele pe care fiecare dispozitiv le are de îndeplinit. Aceste linii directoare trebuie să se bazeze pe politica de securitate IT a companiei, reprezentând norme care trebuie îndeplinite, însă la o scară destul de largă, neintrând în detalii pentru fiecare dispozitiv mobil în parte. Politicile de securitate specifice pentru fiecare dispozitiv mobil în parte ar trebui specificate în cadrul unor documente separate. În momentul formulării unei politici de securitate, nu trebuie luat în vedere faptul că tehnologia o poate suporta sau nu. Odată ce liniile directoare sunt hotărâte, soluțiile de securitate trebuie evaluate pentru a se potrivi cu acestea: dacă este necesar, se ajustează liniile directoare după efectuarea acestei evaluări. Dacă evaluarea dezvăluie faptul că nu este posibilă în nici un mod întrunirea cerințelor liniilor directoare, atunci ar trebui luate în considerare fie interzicerea dispozitivelor mobile, fie schimbarea liniilor directoare. Această decizie ar trebui să se bazeze pe riscuri și trebuie discutată la nivel de afacere, nu la un nivel tehnic.
Următoarele probleme ar trebui să fie luate în considerare la crearea unei  politici de securitate:

  • autentificarea pe dispozitive;
  • distrugerea de la distanță și dezafectarea dispozitivelor mobile;
  • salvarea și restaurarea datelor;
  • cardurile de memorie;
  • accesul la aplicații;
  • metodele de transfer al informațiilor;
  • instalarea dispozitivelor mobile.

Autentificarea pe dispozitive
O parte foarte importantă a politicii de securitate este reprezentată de autentificarea pe dispozitivul mobil. Pe un terminal standard poate fi folosită fie o parolă obișnuită, formată din 4 caractere, fie o parolă mai complexă. De asemenea, poate fi setat timeout-ul la zero (adică trebuie introdusă parola de fiecare dată când dispozitivul este repornit). Aceste măsuri de securitate sunt mai bune decât în cazul în care nu sunt deloc adoptate, însă dacă un terminal este pierdut sau furat, un utilizator neautorizat are un număr limitat de încercări în vederea ghicirii parolei, ceea ce face posibilă, din punct de vedere tehnic, forțarea brută pentru a accesa datele de pe terminal. De asemenea, parola inițială este simplă, de genul '0000', parolele simple fiind simplu de spart.
Pentru a preveni astfel de acțiuni, trebuie luat în considerare un terț produs care să îmbunătățească opțiunile de management a parolelor. Aceste produse pot bloca temporar dispozitivele după un anumit număr de încercări nereușite de introducere a parolelor, pot șterge complet datele de pe dispozitiv și pot cere chiar schimbarea parolelor de acces ale dispozitivului.

Distrugerea de la distanță și dezafectarea dispozitivelor mobile
Unele soluții disponibile astăzi au abilitatea de a șterge de la distanță datele de pe un dispozitiv mobil. Această caracteristică poate fi extrem de folositoare, însă nu înseamnă că datele existente pe dispozitivele în cauză sunt securizate. Există 2 cazuri de terminale mobile în cazul cărora se dorește să se efectueze această distrugere de la distanță a datelor:
l dispozitivele furate: nu este o metodă eficientă, în primul rând deoarece acestea pot fi deconectate și astfel nu mai pot primi comanda de autodistrugere. Există o largă varietate de metode prin care un dispozitiv poate fi deconectat: hoțul ar putea înlătura cardul SIM, dispozitivul ar putea fi în afara ariei de acoperire a rețelelor de telefonie mobilă, bateria ar putea fi scoasă, dispozitivul poate fi conectat la o altă rețea sau poate fi conectat cu un alt nume de utilizator etc. Oricare ar fi motivul, există prea multe variabile pentru a putea garanta faptul că o distrugere de la distanță a datelor va funcționa, deci această metodă nu poate fi de încredere.
l dispozitivele pierdute: dacă un terminal este pierdut, acesta se află în mâini necunoscute. Ar fi putut fi scăpat pe bancheta uui taxi sau pur și simplu uitat pe o masă, într-un restaurant. Cu ajutorul distrugerii de la distanță, ar fi foarte simplu pentru utilizator să sune la administratorul de rețea al companiei și să ceară distrugerea datelor de pe terminalul mobil (presupunând că dispozitivul este încă activ), însă dacă terminalul este regăsit mai târziu, utilizatorul nu îl mai poate folosi până când administratorul nu va reîncărca toate datele înapoi pe terminal. Iar dacă utilizatorul s-ar afla într-un alt oraș sau chiar țară, această problemă ar putea fi una foarte serioasă.

Salvarea și restaurarea datelor
Desigur, dacă un dispozitiv mobil este pierdut sau furat, ne-ar interesa în mod sigur să recuperăm datele de pe acesta și să le instalăm pe un alt dispozitiv. Procedurile de recuperare și restaurare a datelor trebuie să fie clar definite și, mai important, urmate întocmai. Majoritatea dispozitivelor mobile vin cu programe de salvare și restaurare preinstalate. Chiar și o simplă copiere de fișiere sau o sincronizare PIM cu un desktop sau un laptop este mai bună decât pierderea totală a datelor. Politica de securitate trebuie să precizeze când se fac aceste salvări de date, unde sunt acestea salvate și cât de des sunt efectuate aceste operațiuni. De asemenea, trebuie asigurată și protecția copiilor de siguranță. Dacă aceste date nu sunt protejate cu o parolă, un hoț ar putea pur și simplu să reseteze dispozitivul mobil și apoi să restaureze toate datele sau cele pe care le necesită dispozitivul mobil '“ posibil chiar să treacă peste toate măsurile de siguranță implementate înainte de resetare. De aceea trebuie verificată temeinic rezistența sistemelor de siguranță în fața reset-urilor hardware, pentru a nu risca accesul neautorizat la datele companiei.

Cardurile de memorie
Cardurile de memorie sunt foarte utile din punct de vedere al extinderii capacității de stocare, însă sunt de asemenea portabile și deci un risc de securitate în plus. Trebuie blocat accesul la acestea fie prin incriptarea lor, fie prin dezactivarea funcției de folosire a acestora direct de pe dispozitivul mobil.

Accesul la aplicații
Dacă prin politica de securitate se restricționează accesul la anumite capabilități ale aplicațiilor folosite, trebuie, de asemenea, avut în vedere cum ar putea încerca un utilizator să treacă peste aceste măsuri de siguranță, cu ajutorul instalării unui software adițional. Există 2 tipuri de blocare a aplicațiilor: primul tip este reprezentat de blocarea accesului la acestea (folositor pentru înlăturarea accesului la anumite aplicații, însă dacă utilizatorul instalează alte aplicații asemănătoare, securitatea este compromisă) și cel de-al doilea tip, după opinia noastră și cel mai securizat, este crearea unei liste de aplicații permise și limitarea utilizatorului la acestea. Oricare ar fi alegerea, decizia trebuie luată cu grijă. Dacă un utilizator are abilitatea de a redenumi un fișier fie direct pe dispozitiv, fie via ActiveSync, ar putea să scurtcircuiteze protecția acestuia prin redenumirea unui fișier blocat într-un fișier permis să ruleze pe terminal.

Transferul informațiilor
În sfârșit, trebuie avută în vedere modalitatea prin care informațiile pot pleca înspre și dinspre terminalele mobile și protejarea acestor căi de comunicare. Majoritatea terminalelor mobile de ultimă generație includ una sau chiar mai multe dintre următoarele mijloace de comunicare: infraroșii, carduri de stocare, ActiveSync, RAPI, Wi-Fi, Bluetooth etc. Politica de securitate ar trebui să precizeze dacă aceste tipuri de conexiuni pot fi sau nu folosite. Pentru conexiunile locale, trebuie înlăturat riscul instalării unor aplicații neautorizate pe terminalele mobile, cum ar fi jocurile. Protecția rețelei trebuie să acopere atât accesul de la distanță, cât și metoda folosită de utilizator pentru a se conecta la rețea. Firewall-urile sunt bune pentru protejarea PC-urilor împotriva atacurilor externe, însă în cazul unui Pocket PC utilitatea acestora este limitată deoarece pur și simplu nu există servicii disponibile inițial pentru un atac. Dacă însă este instalată o aplicație care poate expune un serviciu sau este instalat un server Web, atunci este de dorit atașarea unui firewall pentru a proteja aceste servicii.

Instalarea dispozitivelor mobile
Instalarea trebuie făcută într-o manieră consistentă, dacă este efectuată pe baza procedurile din manuale poate fi grea și este predispusă la greșeli. Odată ce este disponibilă o politică de securitate și a fost ales terminalul mobil cel mai potrivit pentru necesitățile unei companii, trebuie asigurată o instalare consistentă a dispozitivului. Există 2 căi pentru a face acest lucru '“ fie folosirea unui produs de clonare, cum ar fi SPB Clone, fie crearea unui fișier .Cab care să instaleze automat software-ul necesar și politica de securitate necesară.

Pregătiți pentru a improviza
După ce au fost create propriile politici de securitate, este posibil să se observe că nici măcar o singură aplicație nu corespunde nevoilor personale. De exemplu, se poate observa că măsurile de securitate funcționează bine cu o aplicație, însă nu blochează în mod adecvat accesul la aceasta. Trebuie avută în vedere folosirea unei soluții hibride și trebuie testate temeinic toate produsele selectate să funcționeze cu aceasta, nu doar separat ci și toate împreună. Dacă datele unei companii sunt compromise, acest lucru ar putea marca în mod dramatic relațiile cu clienții, cu partenerii sau cu furnizorii companiei. Iată, astfel, avantajul implementării unei politici de securitate mobilă pentru dispozitivele mobile.

Ştirile Zilei

Studiu foodpanda - O creștere semnificativă a comenzilor pentru...
Tinerii între 18 şi 29 de ani sunt așteptaţi la Future Makers
Bucharest Tech Week a conectat 23.615 pasionați și profesioniști cu...
eMAG începe procesul de extindere în alte cinci țări europene
Realitatea virtuală adusă în școli de ENGIE Romania prin programul „...
Noua soluție de back-up cu deduplicare, aplicații inteligente...
Studiu Kaspersky Lab - 37% dintre angajați au recunoscut că au...
Global smartphone shipments to decline in 2019 for 3rd year in a row...
„Școala din valiză” furnizează o platformă educațională digitală...
STL radically improves customer serviceability through digital...