Zarządzanie ryzykiem rozwiązań mobilnych

Konrad Roziewski Marcin Marczewski Warszawa, 28.02.2012

RESILIA doradcy odporności biznesu

O firmie

 

Zarządzanie ryzykiem, ciągłością działania i bezpieczeństwem informacji Doradztwo, szkolenia, audyty Ponad 6 lat doświadczenia w pracy z organizacjami z różnych sektorów, branż i o różnej wielkości Liczne publikacje (m.in. w RP, portfel.pl, portalach związanych z bezpieczeństwem) Współpraca m.in. z Akademią Obrony Narodowej, Stowarzyszeniem Zarządzania Ryzykiem „POLRISK”, BSI Polska

RESILIA doradcy odporności biznesu

Agenda

Środowisko mobilne
◦ elementy układanki

Identyfikacja zagrożeń
◦ co się może zdarzyć? gdzie? kiedy? dlaczego?

Rekomendacje
◦ dla użytkowników, pracodawców, twórców aplikacji

Szanse
◦ dokąd zmierzamy?

RESILIA doradcy odporności biznesu

Skąd to całe zamieszanie?

Liczba podłączonych do Internetu urządzeń mobilnych przekroczy na koniec 2012 roku liczbę mieszkańców Ziemi.
Cisco 2012 Global Mobile Data Traffic Forecast Update

RESILIA doradcy odporności biznesu

Elementy układanki

Użytkownik Pracownik Pracodawca Administrator Dostawca

RESILIA doradcy odporności biznesu

Użytkownik

Praca czy zabawa?

Android czy iPhone?
Ile Mpix? Jaki procesor?

Ile aplikacji?

RESILIA doradcy odporności biznesu

Użytkownik
Utrata prywatności

Kradzież pieniędzy Dialery SMS Premium
Utrata urządzenia Botnet

RESILIA doradcy odporności biznesu

Użytkownik

RESILIA doradcy odporności biznesu

Użytkownik

RESILIA doradcy odporności biznesu

Użytkownik

RESILIA doradcy odporności biznesu

Pracownik

Wygodnie czy bezpiecznie?

Urządzenie własne czy pracodawcy?

RESILIA doradcy odporności biznesu

Pracownik

Utrata danych pracodawcy Odpowiedzialność finansowa Dane firmowe Szkodliwe załączniki Kody QR

RESILIA doradcy odporności biznesu

Pracodawca
Zezwalać czy karać?
Android? iPhone? BlackBerry? Windows Phone? Bezpieczeństwo czy wydajność?

RESILIA doradcy odporności biznesu

Pracodawca
Konsumeryzacja Utrata danych przedsiębiorstwa Koszty certyfikacji Polityki i procedury Zwrot z inwestycji Wsparcie technologii

RESILIA doradcy odporności biznesu

Pracodawca

RESILIA doradcy odporności biznesu

Pracodawca
Co czwarty respondent uznał, że w jego firmie zagrożenia związane z urządzeniami mobilnymi są wysokie lub ekstremalnie wysokie, przy czym największe z nich to spam, phishing i malware.
Symantec State of Mobility Survey 2012

RESILIA doradcy odporności biznesu

Pracodawca

Odnotowaliśmy incydenty związane z utratą smartfonów przez pracowników… Niektóre z nich kosztowały firmę nawet 30 tysięcy dolarów.
IT Manager w branży healthcare Symantec State of Mobility Survey 2012

RESILIA doradcy odporności biznesu

Administrator

Jak to monitorować?

Jak tym zarządzać?

RESILIA doradcy odporności biznesu

Administrator
Wsparcie producenta
Dostęp do urządzenia Dostęp do technologii Zakłócenia pracy sieci

RESILIA doradcy odporności biznesu

Wsparcie producenta

Źródło: Michael DeGusta (http://bit.ly/tVI9gh)

RESILIA doradcy odporności biznesu

Dostawca

„Nowe jest zawsze lepsze”

Szybszy rozwój czy większa kontrola?

RESILIA doradcy odporności biznesu

Platformy – udział w rynku
50,9

30,5 23,8

32,3

15,8 11,7 8,8

14,6

2,1

2

1,9

3,4 0,8

1,5

Android

iOS

Symbian

Research In Motion 2011Q4 2010Q4

Bada

Microsoft

Others

Źródło: Gartner (http://bit.ly/xVCqE0)

RESILIA doradcy odporności biznesu

Źródła zagrożenia

Złodzieje Wandale

Marketerzy?
Rządy? Operatorzy?

RESILIA doradcy odporności biznesu

Rekomendacje

RESILIA doradcy odporności biznesu

Ogólne zasady bezpieczeństwa

Źródło: Forrester Research

RESILIA doradcy odporności biznesu

Prywatni użytkownicy

 

Automatyczna blokada po kilku minutach bezczynności Sprawdzenie pochodzenia aplikacji Weryfikacja zapytań o dostęp do danych oraz inne działania aplikacji Resetowanie i usuwanie danych

RESILIA doradcy odporności biznesu

Pracownicy szeregowi

Przestrzeganie procedur bezpiecznego wycofania z użytkowania Instalacja dopuszczonych aplikacji (z tzw. whitelists) Zachowanie poufności danych

RESILIA doradcy odporności biznesu

Kadra zarządzająca
  

Zakaz przetwarzania danych lokalnie Używanie aplikacji do szyfrowania Systematyczne usuwanie i odtwarzanie danych

RESILIA doradcy odporności biznesu

Dostawcy aplikacji

 

Systematyczny przegląd udostępnianych aplikacji Mechanizmy weryfikacji reputacji / pochodzenia aplikacji Mechanizmy wycofania instalacji niebezpiecznego oprogramowania (kill-switch) Bezpieczeństwo urządzeń (sandboxes) Możliwość instalacji oprogramowania z zaufanych sklepów (tzw. jails lub walled gardens)

RESILIA doradcy odporności biznesu

Rekomendacje – twórcy aplikacji
  

Identyfikacja i ochrona danych wrażliwych Prawidłowe postępowanie z hasłami Zapewnienie, że dane wrażliwe są zabezpieczone podczas przekazywania Prawidłowe wdrożenie mechanizmów uwierzytelniania i autoryzacji użytkowników oraz zarządzania sesjami Zabezpieczenie API (usług) i platform (serwery)

RESILIA doradcy odporności biznesu

Rekomendacje – twórcy aplikacji c.d.

Bezpieczna integracja danych z usługami i aplikacjami innych dostawców Duży nacisk na pozyskiwanie i przechowywanie zgody do zbierania i używania danych użytkowników Wdrożenie zabezpieczeń aby zapobiec nieautoryzowanemu do płatnych usług (wallet, SMS, połączenia telefoniczne, etc.) Zapewnienie bezpiecznej dystrybucji mobilnych aplikacji

RESILIA doradcy odporności biznesu

Gdzie jesteśmy?
   

Wczesny etap rozwoju Gwałtowne, częste zmiany Brak zrozumienia zagrożeń Wyścig zbrojeń producentów

RESILIA doradcy odporności biznesu

Dokąd zmierzamy?
    

Nowe, dedykowane rozwiązania Korporacyjne „app store” Większa świadomość zagrożeń Mniejsza dynamika zmian Większa produktywność

RESILIA doradcy odporności biznesu

Dziękujemy za uwagę
Kontakt kroziewski@resilia.pl mmarczewski@resilia.pl www.resilia.pl – twitter.com/resiliapl – facebook.com/resiliapl

RESILIA doradcy odporności biznesu

Sign up to vote on this title
UsefulNot useful