Care este cea mai bună modalitate de protecţie a datelor confidenţiale de pe dispozitivele mobile?
Prima lege a mişcării a lui Newton spune că un corp aflat în mişcare va tinde să fie în mişcare în continuare. Aceeaşi lege pare să se aplice şi datelor confidenţiale. Problema constă în încercarea de a împiedica datele să devină mobile şi să ajungă unde nu trebuie.
Datele în mişcare reprezintă un fapt care a afectat multe organizaţii importante, precum HMRC, Nationwide Building Society şi MI5. Toate au suferit pierderi semnificative de laptopuri sau CD-uri, existând riscul unor scurgeri dăunătoare de informaţii.
În aceste condiţii, cum ar trebui să abordăm securitatea datelor mobile? În general, aceasta presupune să luăm în considerare trei aspecte principale.
Primul aspect se referă la criptarea hard diskului laptopurilor şi dispozitivelor inteligente, precum PDA-urile, telefoanele mobile şi USB-urile. Cel de-al doilea aspect care trebuie luat în calcul este auditul şi controlul transferului de informaţii către mijloacele mobile - USB-uri3, iPod-uri sau CD-uri. Ultimul aspect se referă la controlul regulilor de securitate de pe dispozitivul endpointul utilizatorului.
Iată ce presupune fiecare aspect:
Criptarea diskului: în întregime sau la nivel de fişier?
Criptarea laptopurilor se reduce la două opţiuni: criptarea totală a diskului (FDE) sau criptare pe bază de fişiere. Cea din urmă este tentantă deoarece Windows XP are criptare incorporată pe bază de fişiere. În timp ce acest lucru presupune că tot ceea ce este stocat în fişiere sau directoare precise este criptat automat, există o mare problemă în ceea ce priveşte securitatea. Acest lucru depinde în mare măsură de stocarea documentelor în fişierele criptate.
Acest lucru este ideal, teoretic, dar nu este indicat ca alţii să decidă ce reprezintă informaţie sensibilă şi să o plaseze în fişierele corespunzătoare. Chiar şi pentru cei mai abili utilizatori finali, această problemă este complicată de softurile populare, precum Outlook şi browserele Web, care descarcă fişiere pe disk, de cele mai multe ori în locuri ascunse. Criptarea la nivel de fişier ajută doar în cazul în care pot fi controlate foarte bine toate documentele şi aplicaţiile.
Cel mai important avantaj al criptării întregului disk este automatizarea procesului şi securizarea întregului disk, astfel încât utilizatorii mobili să nu îşi facă griji în această privinţă - şi să nu fie nevoie să intervină în acest proces!
Securitate la îndemână
Cum rămâne însă cu PDA-urile şi telefoanele mobile? Deoarece aceste dispozitive variază în ceea ce priveşte sistemul de operare - de la Symbian, Pocket PC şi Windows Mobile până la Palm - şi arhitectura, o soluţie de securitate simplă nu este atât de uşor de găsit, ca în cazul platformelor PC.
Soluţia pentru a controla securitatea dispozitivului constă într-un audit riguros al tuturor dispozitivelor utilizate în cadrul politicilor Trust sau Authority şi într-o singură soluţie de criptare care să acopere cât mai multe dispozitive.
În cazul în care dispozitivul utilizat nu este autorizat, conectarea la reţeaua principală nu ar trebui să îi fie permisă, la fel şi stocarea informaţiilor sensibile. În ceea ce priveşte criptarea întregului disk pe laptopuri, soluţia aleasă trebuie să permită criptarea automată a datelor fără intervenţia utilizatorului, oferind uşurinţă la utilizare prin control şi întărire. În ceea ce priveşte criptarea în întregime pe laptopuri, soluţia aleasă ar trebui să cripteze datele automat fără intervenţia utilizatorului, oferind uşurinţă la folosire.
Scurgerea de informaţii: auditul şi controlul mijloacelor mobile
Din nefericire, criptarea întregului disk nu este un scut magic care să protejeze dispozitivele portabile împotriva tuturor ameninţărilor de securitate. Hard drive-ul este doar un mediu de stocare pe un laptop obişnuit. Acest lucru ne aduce la cea de-a două zonă a securităţii endpointului: managementul şi controlul scurgerilor de date.
Securitatea endpointului trebuie să asigure faptul că organizaţia este capabilă să evite scurgerea de informaţii către dispozitivele periferice, precum CD-urile, DVD-urile sau driverele USB şi mijloacele portabile de stocare, inclusiv mp3 playere şi camere digitale.
Punctul de pornire în protejarea împotriva scurgerilor prin intermediul dispozitivelor USB este includerea acestora în regulile de utilizare acceptate (AUP) Trust sau Authority şi educarea tuturor utilizatorilor cu privire la importanţa respectării regulilor şi riscurile încălcării acestora.
Cu toate acestea, utilizarea regulilor ca măsură unică de securitate nu este suficientă. Acestea ar trebui dublate de soluţii de control al porturilor, care pot bloca automat un dispozitiv USB care nu se supune politicii de securitate şi pot preveni transferul anumitor fişiere sau a anumitor tipuri de documente.
Un exemplu de regulă de securitate ar putea include acceptarea dispozitivelor USB criptate - dar nu şi iPod sau telefon mobil - de la un utilizator autorizat. Odată ce datele sunt criptate pe un dispozitiv autorizat, acestea trebuie să fie accesibile organizaţiei dacă sunt solicitate prin intermediul administrării centrale a sistemului.
Securitatea la endpoint
Cea de-a treia zonă a securităţii endpoint se referă la protejarea datelor de pe aparate împotriva ameninţările de soft, cum ar fi atacurile la nivel de aplicaţii sau codurile maliţioase.
Securitatea endpoint eficientă începe cu fiecare aparat care are instalat un program actualizat de protecţie firewall şi antivirus înainte ca acesta să poată fi conectat la reţeaua centrală. De asemenea, clientul de securitate endpoint ar trebui, să se asigure că laptopul rulează patch-urile de soft potrivite şi că include funcţia Virtual Private Networking (VPN) pentru a asigura transferul informaţiilor corporate înapoi la infrastructura companiei. Este esenţial acest transfer să fie administrat central.
Alte puncte cheie care ar trebui să facă parte din planul de securitate endpoint sunt:
• Blocarea clienţilor, pentru a preveni dezactivarea securităţii endpoint sau forţarea politicilor de acces la reţea de către utilizatorii mobili şi de către atacatori.
• Ameninţări din interior: porturile de laptop PC ar trebui să fie deschise doar pentru trafic de reţea autorizat şi ar trebui să blocheze tentativele de intruziune în reţea.
• Prevenirea faptului ca aplicaţiile neautorizate şi codul maliţios să capteze şi să expedieze date sensibile către hackeri.
• Protecţia email-ului: izolarea ataşamentelor suspecte de email şi a emailurilor neadecvate - fie prin intermediul softului sau printr-un serviciu in-the-cloud.
Încărcare şi blocare
În concluzie, unii observatori din industrie au pus sub semnul întrebării necesitatea de a avea orice fel de informaţii sensibile pe dispozitivele mobile. Este un punct de vedere interesant, dar informaţiile sunt deja acolo şi vor continua să se mişte.
Aşadar, singura soluţie eficientă este asigurarea că datele descărcate pe dispozitivele mobile sunt blocate - pentru siguranţa tuturor.