BYOD & BYOT
Mobilnost nuja ali moda
Boža Javornik
• SECURING MOBILE DEVICES using COBIT 5 for Information Security
• BYOD Security considerations of Full Mobility and Third-party Cloud Computing
• Detection of Mobile malware in the Wild
Model COBIT 5 – celovit pristop
Zakaj je aktualno
• ? 40% mobilnih naprav naj bi bilo v privatni lasti, starost uporabljanih je pod 2 leti (?“modni nakit”)
• 66% zaposlenih med 20-29 let ne sprejema omejitev pri anti-BYOD politik, 30% jih bo uporabljalo svoje aplikacije
• Osebne PC za službeno rabo so podjetja odobravala, enako uporabo službenih PC zunaj delovnega mesta – “? pomen koristi”
• Tablice, pametni telefoni, dedicirane naprave v avtomobilih, ?vhodne enote, … povezovanje storitev… – Kaj so priložnosti? Kaj so skrbi?
Zakaj ni mogoče ignorirati
• Mobilnost – poslovna priložnost – kaj je karakteristika storitve – drobnost storitve, drobnost plačila – “e-fiat valuta”,
• Inovativni potencial mobilnih naprav: denarnica, zbirka kuponov, “potrdilo”, identifikacija,
• Sprejemljivost za “ciljne segmente strank”
• Nove grožnje za podjetje in posameznika
• Povečanje odzivnosti IT zaposlenih v 24x7
• Ni mogoče več preprečiti - mobilnost je still
• “vstop cloude platforme”
• V (ne)sreči nisi sam, vsaj dolgo ne….- “prijatelji tudi niso več to kar so bili”
Začetek cikla
Okužen sistem
Ciljana stranka
napadalec
Začeti Phishing napadi
Kritični podatki
RAT – orodja za oddaljeno administracijoOkuženo omrežje
Popolna mobilnost – anytime, anywhere, BYOT & BYOD
Konec cikla
Gostujoči strežnikiOkuženi uporabniki
Spletna bančna storitev
mulaOffshore račun
Profesionalec – pobiralec
Pobiralec identifikacij
Občutljive identifikacije
Kaj je potrebno obravnavati v BCE
• Kaj je dodana vrednost uporabe mobilnih naprav za “tradicionlane storitve” (hitrost izvedbe, dostopnost pristojnih in kompetentnih, povečanje število poslovnih dogodkov – skušnjave in ugašanje želja,…)?
• Kaj so trigerji potrebe po mobilnosti, tipe storitev, kakšne so strategije nanje?
• Cost – benefit obravnava – koliko lahko stane “biti zraven”, koliko je cena zgubljene priložnosti?
• Varnostna tveganja in potencialni vpliv – strošek na drugih povezanih platformah
• Ali ostaja model “naprava kot boniteta”, “pravica uporabe – plačane naročnine na storitve, aplikacije kot boniteta”?
Kaj prinaša mobilnost – vidik varnosti
• ? Jasna definicija platforme: kaj je dovoljeno? kaj obvladujemo? Koliko vložiti v popolno mobilnost in svobodo izbire
• Odnos do naprav: izgube, pogoste menjave, kaj predstavlja skrbnost ravnanja, kaj predstavlja skladnost
• Nivo prenosa podatkov: zanašanje na varne vmesnike, SSL, zanašanje na VPN –
• Avtentikacija: eksplicitna – implicitna
• Vedno povezane naprave
Tveganja
Politike• Definirana jasna načela
• Odgovornosti posameznika in podjetja
• Dokumentirani in celoviti postopki
• Definirane minimalne tehnične zahteve
• Jasne zaveze glede skladnosti
• Soglasje na pravico upravljanja naprave
• Zagotavljanje orodij za zagotavljanje varnosti
• Zagotavljanje dovolj preizkušenih aplikacij za “apetite”
• Vsaj nekaj okvira za dostop do revizijskih sledi
Kaj pomaga pri buy-in politik
• Fans -uporabniki te tehnologije so vključeni v varnostno obravnavo, oblikovanje politik
• Fans - uporabniki razumejo in se strinjajo z globino nadzora
• Fans -uporabniki se vključujejo v razvoj in testiranje rešitev / storitev
• Organiziranje okroglih miz o izzivih varnosti in priložnosti uporabe mobilnih naprav, negativnih izkušnjah, vzorcih zlorab,
• Fans – uporabniki aktivno prispevajo predloge za dopolnitve politik, definiranju varnostnih standardov za naprave, orodij, operativnih procedur
Napotki posamezniku
Škodljive kode – vidik delovanja
• Razvit za zabavo, brez škodljivega namena
• Razvit za zbiranje informacij o uporabniku za namen prodaje (lokacije, vzorci obnašanja)
• Razvit za krajo identifikacij za uporabo za pridobitev koristi
• Razvit za spreminjanje vsebine (lažne ponudbe, sporne vsebine,..)
• Pošiljanje SMS - SPAM
Kako zaščititi pametne naprave• Instalacija dobre varnostne aplikacije• Nalaganje iz preddefiniranega zaupanja vrednega
vira; izvajanje predhodne analize aplikacij• Pregled vsaj analiz profesionalnih grup za oceno
aplikacij – varnostne šibkosti• Ob instalaciji skrbno prebrati vsa sporočila, ob
vsakem sumu prekiniti instalacijo• Izklopi WI-FI, blutooth, infrared, če jih niso
neposredno v uporabi, onemogočanje “Sharinga”• Ali je že priložnost razvoja “notariata” za varne
aplikacije?
• Uporaba SSL in VPN
• Skrb za ažurno osvežitev aplikacij
• Uporaba enkripcije za vse zaupne podatke
• Uporaba gesel za zaščito pristopa do občutljivih podatkov
• Vedno tipkaj naslove webstrani – izogibanje kopiraj – prilepi
• Spremljanje porabe baterij
• V primeru suma kraje – na daljavo pobriši aplikacije, podatke, prekliči pogodbe,
Zaključek
• BYOT in BYOD je realnost
• Vzorec obnašanja in interesov podjetij in posameznikov se spremeni – včerajšnji vzorci ne veljajo, ? stari Guruji (ni)so Guruji
• Modeli licenc in plačil – ?0,99 cene priložnost, “pay per use” – obračun v “e-fiat valuti”