Download
1 / 27
270 likes | 482 Views
BYOD & BYOT. Mobilnost nuja ali moda Boža Javornik. SECURING MOBILE DEVICES using COBIT 5 for Information Security BYOD Security considerations of Full Mobility and Third-party Cloud Computing Detection of Mobile malware in the Wild. Model COBIT 5 – celovit pristop. Zakaj je aktualno.
E N D
BYOD & BYOT Mobilnost nuja ali moda Boža Javornik
SECURING MOBILE DEVICES using COBIT 5 for Information Security • BYOD Security considerations of Full Mobility and Third-party Cloud Computing • Detection of Mobile malware in the Wild
Zakaj je aktualno • ? 40% mobilnih naprav naj bi bilo v privatni lasti, starost uporabljanih je pod 2 leti (?“modni nakit”) • 66% zaposlenih med 20-29 let ne sprejema omejitev pri anti-BYOD politik, 30% jih bo uporabljalo svoje aplikacije • Osebne PC za službeno rabo so podjetja odobravala, enako uporabo službenih PC zunaj delovnega mesta – “? pomen koristi” • Tablice, pametni telefoni, dedicirane naprave v avtomobilih, ?vhodne enote, … povezovanje storitev… – Kaj so priložnosti? Kaj so skrbi?
Zakaj ni mogoče ignorirati • Mobilnost – poslovna priložnost – kaj je karakteristika storitve – drobnost storitve, drobnost plačila – “e-fiat valuta”, • Inovativni potencial mobilnih naprav: denarnica, zbirka kuponov, “potrdilo”, identifikacija, • Sprejemljivost za “ciljne segmente strank” • Nove grožnje za podjetje in posameznika • Povečanje odzivnosti IT zaposlenih v 24x7 • Ni mogoče več preprečiti - mobilnost je still • “vstop cloude platforme” • V (ne)sreči nisi sam, vsaj dolgo ne….- “prijatelji tudi niso več to kar so bili”
Začetek cikla Popolna mobilnost – anytime, anywhere, BYOT & BYOD Ciljana stranka Začeti Phishing napadi Kritični podatki napadalec Okužen sistem Okuženo omrežje RAT – orodja za oddaljeno administracijo
Konec cikla Okuženi uporabniki Pobiralec identifikacij Gostujoči strežniki Občutljive identifikacije Profesionalec – pobiralec Spletna bančna storitev mula Offshore račun
Kaj je potrebno obravnavati v BCE • Kaj je dodana vrednost uporabe mobilnih naprav za “tradicionlane storitve” (hitrost izvedbe, dostopnost pristojnih in kompetentnih, povečanje število poslovnih dogodkov – skušnjave in ugašanje želja,…)? • Kaj so trigerji potrebe po mobilnosti, tipe storitev, kakšne so strategije nanje? • Cost – benefit obravnava – koliko lahko stane “biti zraven”, koliko je cena zgubljene priložnosti? • Varnostna tveganja in potencialni vpliv – strošek na drugih povezanih platformah • Ali ostaja model “naprava kot boniteta”, “pravica uporabe – plačane naročnine na storitve, aplikacije kot boniteta”?
Kaj prinaša mobilnost – vidik varnosti • ? Jasna definicija platforme: kaj je dovoljeno? kaj obvladujemo? Koliko vložiti v popolno mobilnost in svobodo izbire • Odnos do naprav: izgube, pogoste menjave, kaj predstavlja skrbnost ravnanja, kaj predstavlja skladnost • Nivo prenosa podatkov: zanašanje na varne vmesnike, SSL, zanašanje na VPN – • Avtentikacija: eksplicitna – implicitna • Vedno povezane naprave
Politike • Definirana jasna načela • Odgovornosti posameznika in podjetja • Dokumentirani in celoviti postopki • Definirane minimalne tehnične zahteve • Jasne zaveze glede skladnosti • Soglasje na pravico upravljanja naprave • Zagotavljanje orodij za zagotavljanje varnosti • Zagotavljanje dovolj preizkušenih aplikacij za “apetite” • Vsaj nekaj okvira za dostop do revizijskih sledi
Kaj pomaga pri buy-in politik • Fans -uporabniki te tehnologije so vključeni v varnostno obravnavo, oblikovanje politik • Fans - uporabniki razumejo in se strinjajo z globino nadzora • Fans -uporabniki se vključujejo v razvoj in testiranje rešitev / storitev • Organiziranje okroglih miz o izzivih varnosti in priložnosti uporabe mobilnih naprav, negativnih izkušnjah, vzorcih zlorab, • Fans – uporabniki aktivno prispevajo predloge za dopolnitve politik, definiranju varnostnih standardov za naprave, orodij, operativnih procedur
Škodljive kode – vidik delovanja • Razvit za zabavo, brez škodljivega namena • Razvit za zbiranje informacij o uporabniku za namen prodaje (lokacije, vzorci obnašanja) • Razvit za krajo identifikacij za uporabo za pridobitev koristi • Razvit za spreminjanje vsebine (lažne ponudbe, sporne vsebine,..) • Pošiljanje SMS - SPAM
Kako zaščititi pametne naprave • Instalacija dobre varnostne aplikacije • Nalaganje iz preddefiniranega zaupanja vrednega vira; izvajanje predhodne analize aplikacij • Pregled vsaj analiz profesionalnih grup za oceno aplikacij – varnostne šibkosti • Ob instalaciji skrbno prebrati vsa sporočila, ob vsakem sumu prekiniti instalacijo • Izklopi WI-FI, blutooth, infrared, če jih niso neposredno v uporabi, onemogočanje “Sharinga” • Ali je že priložnost razvoja “notariata” za varne aplikacije?
Uporaba SSL in VPN • Skrb za ažurno osvežitev aplikacij • Uporaba enkripcije za vse zaupne podatke • Uporaba gesel za zaščito pristopa do občutljivih podatkov • Vedno tipkaj naslove webstrani – izogibanje kopiraj – prilepi • Spremljanje porabe baterij • V primeru suma kraje – na daljavo pobriši aplikacije, podatke, prekliči pogodbe,
Zaključek • BYOT in BYOD je realnost • Vzorec obnašanja in interesov podjetij in posameznikov se spremeni – včerajšnji vzorci ne veljajo, ? stari Guruji (ni)so Guruji • Modeli licenc in plačil – ?0,99 cene priložnost, “pay per use” – obračun v “e-fiat valuti”
