SHARE
X

Bezpieczeństwo informacji w erze smartfonów, tabletów i danych w chmurze – nowe wydanie normy 27001

Autor: Tomasz Nikiel, Kierownik Systemów Zarządzania Bezpieczeństwem Informacji i Usług IT TÜV Rheinland Polska
Źródło: Jakość, Magazyn TÜV Rheinland Polska 2/2014

Smartfony i tablety stały się urządzeniami łączącymi cechy podręcznych, przenośnych komputerów i urządzeń do bezprzewodowej łączności ze światem. Mobilne urządzenia mają również coraz szersze zastosowanie w biznesie. Dostęp do poczty firmowej, pliki zawierające dane wrażliwe czy niektóre zasoby sieci firmowej są często przetwarzane właśnie na służbowych smartfonach czy tabletach. Warto w tym kontekście zastanowić się nad sposobem zabezpieczenia tych cennych aktywów firmy, biorąc pod uwagę ryzyko utraty sprzętu.

Ogromny skok w dostępie do szybkich, bezprzewodowych łączy telekomunikacyjnych i technologii przesyłu danych, takich jak UMTS, HSPA czy LTE spowodował, że smartfony i tablety są obecnie najszybciej rozwijającymi się urządzeniami cyfrowymi . Mobilne urządzenia mają również coraz szersze zastosowanie w biznesie. Pracownicy większości branż komunikują się z własną organizacją poprzez stosowanie tego typu urządzeń.

Służbowe komórki

Bardzo wiele istotnych, z punktu widzenia firmy, informacji przetwarzanych jest na urządzeniach przenośnych. Na służbowych smartfonach i tabletach mamy dostęp do poczty firmowej, plików zawierających dane wrażliwe czy niektórych zasobów sieci firmowej. Niestety, zdarza się, że te urządzenia nie są odpowiednio zabezpieczone, dane nie są szyfrowane, a pracownicy nie mają świadomości tego, jak ważne i cenne są informacje, które posiadają w swoich służbowych „komórkach”.

Zdecydowana większość producentów telefonów umożliwia stworzenie specjalnego firmowego profilu na urządzeniu. Takie konto firmowe znacznie ułatwia zachowanie bezpieczeństwa informacji przechowywanych na smartfonach i tabletach. Profil firmowy, zabezpieczony PINem lub hasłem, pozwala na bezpieczne uruchamianie firmowych aplikacji, przechowywanie plików i służbowych wiadomości oraz na bezpieczny dostęp do służbowej poczty e-mail. W momencie kradzieży lub zagubienia telefonu, osoby odpowiedzialne w firmie za bezpieczeństwo, mogą zdalnie usunąć wszystkie ustawienia oraz całą zawartość służbowego profilu.

Dane w chmurze

Równolegle z rozwojem urządzeń mobilnych, rozwija się rynek dla usług IT związanych z przetwarzaniem danych w tzw. „chmurze” (cloud computing). Chmura obliczeniowa to model dostarczania i użytkowania usług informatycznych, takich jak zasoby serwerowe, archiwizacja danych czy konkretne aplikacje. To po prostu system obliczeń, w którym dostarczaną usługą są dynamicznie skalowalne zasoby. Cloud umożliwia integrację całej struktury firmy w ramach jednej architektury teleinformatycznej. W ramach chmury firma może korzystać z aplikacji, które wspomagają szeroki zakres działalności, m.in. zarządzanie magazynami, dostawami, czy relacjami z klientami.

Dzięki cloud computingowi możliwe jest dostosowanie ilości koniecznych zasobów informatycznych do bieżącego zapotrzebowania firmy. W stabilnych warunkach, standardowe aplikacje wymagają określonej ilości zasobów, które przy zwiększonym obciążeniu, mogą okazać się niewystarczające. Zakładając, że nie korzystamy z technologii cloudowej, nasza infrastruktura musi być przygotowana nie tylko na standardowe użycie, ale także na warunki konieczne do rozwoju. Oznacza to, że przedsiębiorstwo samodzielnie utrzymujące serwery, musi zainwestować w sprzęt, co jest zawsze niemałą inwestycją. Dzięki usłudze przetwarzania danych w chmurze klient ma do dyspozycji wirtualne zasoby, które zależnie od zapotrzebowania, może dowolnie zmieniać, zwiększając je bądź zmniejszając, ale ponosząc koszt tylko za te, z których skorzystał.

Cloud computing jest jednak wyzwaniem pod względem ochrony danych. Zapewnienie bezpieczeństwa sieci bierze na siebie dostawca chmury, natomiast klient powinien skupić się na ochronie danych. Należy wziąć pod uwagę choćby to, że usługodawca może mieć dostęp do danych zapisywanych w chmurze przez swoich klientów. Dlatego branże, które są silnie regulowane, jak służba zdrowia czy instytucje finansowe, muszą znacznie ostrożniej podchodzić do wysyłania danych do chmury.

Większość dostawców usług chmurowych oferuje zaawansowane mechanizmy szyfrowania danych przechowywanych w publicznie dostępnej infrastrukturze oraz wysoki poziom specjalistów z dziedziny bezpieczeństwa IT, którzy stoją na straży bezpieczeństwa przetwarzanych danych swoich klientów . Tym niemniej trzeba zawsze pamiętać o trzymaniu się kilku dobrych praktyk. Przede wszystkim ważne jest, aby należycie szyfrować swoje dane i raczej nie korzystać z mechanizmów szyfrowania udostępnianych przez usługodawcę – szczególnie jeśli organizacja przetwarza dane wrażliwe lub tajne. Po drugie, należy zawsze mieć pełną kontrolę nad swoimi danymi. W przypadku usługi cloud computing sprowadza się do utrzymania w swoim posiadaniu kluczy szyfrujących. Usługodawca, czyli operator chmury nie będzie wtedy w stanie wejść w posiadanie naszych informacji bez znajomości kluczy szyfrujących.

Niestety wiele firm dba tylko o szyfrowanie danych, a nie przykłada wystarczającej wagi do zarządzania kluczami oraz kontroli i monitorowania dostępu do danych. Kontrolowanie dostępu jest w szczególnie ważne, jeśli z chmury korzysta wiele osób. W takiej sytuacji niezadowolony pracownik może podjąć próbę dostępu do poufnych danych. Dlatego podejście do bezpieczeństwa skoncentrowane na danych musi obejmować szyfrowanie, zarządzanie kluczami, silną kontrolę dostępu oraz dodatkowe mechanizmy zabezpieczeń.

Norma ISO/IEC 27001 dostosowana do nowych czasów

Norma ISO/IEC 27001, której ostatnie wydanie było z roku 2005, powoli przestawała odpowiadać na wymagania stawiane przed zapewnieniem bezpieczeństwa danych w obszarze tak szybko rozwijających się technologii. Konieczne stało się świeże spojrzenie na nowe trendy pod kątem uregulowania zabezpieczeń przed niekontrolowanym wyciekiem informacji i tym samym objęcie smartfonów, tabletów i usług przetwarzania w chmurze precyzyjnymi wymaganiami odnowionej normy. Celem nowelizacji było dostosowanie standardu do zmian technologicznych związanych z postępem, który nastąpił od 2005 roku.

Pod koniec września 2013 roku opublikowano nowe wydanie normy ISO/IEC 27001:2013, dotyczącej systemów zarządzania bezpieczeństwem informacji. Wraz z nowymi wymaganiami wydany został również standard ISO/IEC 27002:2013 opisujący Praktyczne Zasady Zarządzania Bezpieczeństwem Informacji. Nowe wydanie Normy zawiera szereg zmian, m. in. w podejściu do zarządzania ryzykiem oraz warunków w jakich funkcjonuje organizacja. Zmodyfikowany został również Załącznik A do Normy, w którym wprowadzono zabezpieczenia mające pomóc w radzeniu sobie ze współczesnymi zagrożeniami wynikającymi z powszechności stosowania tabletów, smartfonów, portali społecznościowych oraz innymi słabościami on-line.

Odnowiony standard Systemu Zarządzania Bezpieczeństwem Informacji wymusza na organizacji ustanowienie odpowiedniej polityki i środków wspomagających bezpieczeństwo używania urządzeń mobilnych. Należy zwrócić uwagę na to, by wszystkie tego typu urządzenia przetwarzające dane firmowe były objęte zarządzaniem ryzykiem związanym z niekontrolowanym i nieautoryzowanym dostępem do danych oraz ewentualną możliwością utraty tych danych. Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji w znaczący sposób podnosi również świadomość pracowników w zakresie ochrony informacji oraz wpływa na właściwe podejście do przetwarzania danych. Musimy pamiętać, że wg badań za ponad 80% wszystkich incydentów związanych z bezpieczeństwem informacji i nieautoryzowanym dostępem do danych odpowiada czynnik ludzki. Nawet najlepsze i najdroższe zabezpieczenia techniczne nie zapewnią odpowiedniego poziomu bezpieczeństwa, jeśli za tym nie pójdzie świadomość pracowników i ich odpowiednie kwalifikacje.

ISO/IEC 27001:2013 jest normą, która odpowiada na kierunki rozwoju technologii i usług, i z całą pewnością pomoże w podniesieniu bezpieczeństwa informacji, których zapewnienie jest kluczowym aspektem funkcjonowania każdej organizacji.

TÜV Rheinland Polska jest w czołówce firm certyfikacyjnych i badawczych w Polsce. Spółka jest częścią międzynarodowego koncernu TÜV Rheinland Group, działającego w Niemczech od ponad 140 lat. Polski oddział w trakcie kilkunastu lat działalności zdobył pozycję eksperta w dziedzinie certyfikacji wyrobów, technologii, systemów zarządzania i personelu na krajowym rynku. Wśród klientów TÜV Rheinland Polska znajdują się obecnie największe przedsiębiorstwa m. in. z branży spożywczej, budowlanej, energetycznej i medycznej. Więcej informacji: www.tuv.pl

Kontakt dla mediów:
Agata Tynka
Specjalista ds. Public Relations
TÜV Rheinland Polska Sp. z o.o.
tel.: +48 32 271 64 89 w. 105
email: agata.tynka@pl.tuv.com
www.tuv.pl