Bez politiky, zásad a pravidel ani ránu!

Samozřejmě, že jinak se na otázky bezpečnosti bude dívat soukromý uživatel, který si v diáři čte články, vede osobní kontakty a zaznamenává týdenní nákupy, a jinak firma, která chce PDA (nebo notebooky) nasadit jako podporu firemního informačního systému v terénu. 

Pro „malé“ uživatele je typické, že při ztrátě (krádeži, zničení) zařízení je největším problémem právě ztráta hardwaru a náklady spojené s pořízením nového. Naopak pro firemní uživatele jsou často mnohonásobně důležitější samotná data; jejich ztráta nebo prozrazení může pro firmu znamenat velké problémy (ztráta klíčových kontaktů, dobrého jména, know-how, …). 

Proto je pro firmu nutné mít dobře zpracovanou (a udržovanou) bezpečnostní politiku, která pokrývá celou oblast firemních dat. Pak je jedno, zda jsou zapsána v digitální podobě na serveru, notebooku či PDA nebo v papírové podobě ve složkách nebo v klasických diářích. Dobrá bezpečnostní politika tak vytvoří rámec pro definování jednotlivých zásad a pravidel pro práci s informacemi a také z ní vyplyne potřeba nasazení konkrétních opatření (výběr přihlašovacích hesel, výběr šifrovacího softwaru, apod.). 

Nasazování jakéhokoliv prostředku (šifrování, přihlašovací ceremoniály, atd. …) nemá bez podpory v bezpečnostní politice a jednotlivých pravidlech a zásadách žádný smysl! Nelze nasazovat ochranu, když není jasně řečeno, co chcete chránit, proti čemu to chcete chránit (co představuje největší hrozbu) a co jste ochotni pro to udělat (např. kolik hodláte za zvýšení bezpečnosti zaplatit).

Už víme proč – teď je třeba vědět jak…

Konkrétní otázky bezpečnosti pak spočívají v zajištění základních atributů bezpečnosti: důvěrnosti, dostupnosti, integrity a účtovatelnosti. Proberme si je postupně jeden po druhém. 

Problém zajištění důvěrnosti spočívá v tom, aby data v mobilním zařízení uložená se nedostala do rukou neoprávněné osoby. K tomu se nejčastěji používá nějaká forma autentizace, popř. šifrování. To není nic jiného než prokázání totožnosti nejčastěji znalostí nebo vlastnictvím „něčeho“ jedinečného – heslo, PIN, otisk prstu, chip, … 

Například v PDA (mobilu, notebooku, …) máte databázi svých klientů. Aby se k této databázi nedostala zlá konkurence, musíte zařízení hlídat jako oko v hlavě a nenechávat ho v autě. Pro větší jistotu je možné data navíc zašifrovat silným a ověřeným algoritmem a použít při tom neuhádnutelné heslo. Pro ještě větší jistotu lze ověřovat identitu uživatele pro každé spuštění nebo zapnutí zařízení. K tomu je možné implementovat autodestrukční mechanismus. A takto lze pokračovat takřka do nekonečna. Ale je třeba mít na paměti, že na každé riziko je třeba hledat adekvátní opatření (snížit riziko na únosnou míru – nikdy jej nelze eliminovat úplně)… 

Zajištění integrity spočívá v možnosti odhalit, popř. i odstranit neoprávněně změněné údaje nebo data. Toho lze dosáhnout pomocí digitálních podpisů, šifrováním nebo kombinací obojího. I zde platí to, co u zajišťování důvěrnosti.   

Ztráta dostupnosti důležitých dat, která nikde jinde nejsou k dispozici, může mít mnohem katastrofálnější důsledky, než si leckdo dokáže představit. Například pokud jediné zápisy obchodních případů máte v právě odcizeném notebooku, může to být také konec vašeho podnikání … Přitom řešení je tak snadné ­– synchronizovat a zálohovat (pravidelně a dostatečně často). Neméně důležité je také ověřování funkčnosti záloh. 

Posledním důležitým atributem bezpečnosti je účtovatelnost. Význam má v těch případech, kdy je třeba evidovat jednotlivé přístupy k datům nebo ke službám (např. kdo a kdy změnil termín jednání v kalendáři šéfa). Také pro zajištění účtovatelnosti se hodí nějaká forma autentizace (přihlašování heslem, různé typy handshake před komunikací, apod.)

Závěr

Pro firmy je závěr jasný: je třeba brát bezpečnost vážně - buď se jí opravdu věnovat, nebo si alespoň nechat poradit od odborníků. Opravdu spolehlivou odpověď na otázky co, před čím a jak chránit, může dát jen dobře provedená analýza rizik. Také je třeba zpracovat bezpečnostní politiku, zásady a pravidla, které vytvoří jistou úroveň bezpečí. A teprve pak lze nasazovat opatření ve formě různých aplikací a podpůrného software. 

Pro soukromé uživatele je situace mnohem jednodušší, neboť všechny uvedené kroky si mohou promyslet jen v hlavě a přikročit ke zprovoznění závěrů svého zkoumání. Obvykle plně dostačuje vhodná kombinace přihlašování pomocí dobrých hesel a šifrování zvláště citlivých dat. Pro mobilní zařízení navíc platí, že v první řadě je třeba si dávat na své věci pozor, nezapomínat je, nenechávat je bez dozoru, prostě být na ně opatrný.