רגע לפני המעבר מ-BYOD ל-BYOC: לשלוט על המידע הארגוני בענן
השימוש ההולך וגובר במכשירי מובייל בארגונים מוסיף עוד כאב ראש למנהלי אבטחת המידע. השילוב של מידע פרטי וארגוני על אותו מכשיר דורש גישה חדשה
- מובייל ארגוני: IBM רוכשת את Fiberlink, אורקל רוכשת את Bitzer
- SAP מוותרת סופית על בלקברי
- Skycure השיקה כלי אבטחה לאייפון ולאייפד
הדרישה העולה בשוק ל-BYOD או Bring Your Own Device כאן כדי להישאר. לפי מחקר של NPD המעבר מPC לטאבלט עתיד לצבור תאוצה בשנה זו עת יגיע היקף המכירות של מכשירי טאבלט לרמה של מכירות מחשבים ניידים.
למרות היתרונות הרבים, הדרישה ל-BYOD מעלה סוגיות אבטחת מידע שונות. לדוגמא, העובדה כי לעיתים מידע מהארגון נשאר על מכשירו האישי של העובד גם לאחר סיום עבודתו, כמו כן, ניהול ארגוני של מכשירים מסוגים רבים עם מערכות הפעלה שונות הוא בעייתי מאוד. אם נוסיף לכך את העובדה כי מכשירים ניידים לסוגיהם בד"כ פחות מאובטחים מעמדות PC, נגלה כי טרנד ה-BYOD בהחלט מדיר שינה מעיניהם של מנהלי הIT ואבטחת המידע.
מכשיר אישי, ענן אישי, מידע ארגוני
כיום, מעבר למכשיר האישי, מחזיקים עובדים רבים גם בשירות ענן אישי שמסתנכרן אוטומטית עם המכשיר האישי. בדרך זו עובר המידע הארגוני מהמכשיר האישי של העובד לשירות הענן ונוצר מצב בו הענן של העובד משתלב בארגון (BYOC – Bring Your Own Cloud), מה שפותח תיבת פנדורה נוספת של היבטי אבטחה ופרטיות מידע. שירותי הענן נמצאים במיקום שהוא בדרך כלל בלתי ידוע ושרמת האבטחה שלו אינה ידועה גם כן.
לראייה, אפילו ב-Dropbox, אחד משירותי הענן הפופולאריים בעולם, התגלתה תקלה שאפשרה לגורמים זרים לגשת למידע פרטי.
בנוסף לסוגיית הערבוב בין מידע פרטי לארגוני ומיקום שרתי הענן, מגמת ה-BYOC מעלה סוגיות אבטחת מידע שעלינו לתת עליהן את הדעת. שירותי הענן הקיימים כיום מהווים יעד מפתה להתקפות, במרבית המקרים האינטרס של תוקף לפרוץ למכשיר האישי יהיה קטן הרבה יותר מהאינטרס שלו לפרוץ לשירות בענן. יתרה מזאת, תקנות הגנת הפרטיות ברחבי העולם מגבילות העברה וניהול של מידע פרטי מחוץ למדינה שבה הוא נאסף, ושרותי ענן ואכסון שונים פועלים ברמה הבינלאומית ולא מוגבלים מקומית למדינה אחת.
שליטה על הענן
עם השתלבותם במגמה זו, ארגונים ידרשו לפתרון המאבטח את המידע שלהם בענן האישי של עובדיהם. פתרון זה עשוי להיות פלטפורמת ענן ארגונית שתהיה נגישה באופן קל ופשוט לכל המכשירים האישיים של עובדי הארגון, בהתאם לרמות הרשאה. או פתרון אחר לאבטחת המידע הארגוני על שירות הענן הפרטי של העובד, שיאפשר לארגון לשלוט במידע העולה לענן.
קושי נוסף הנובע מקיום סביבה ארגונית בענן הוא התלות בצד ג' בהיבטים של הרציפות העסקית הנדרשת. תקלה או בעיית זמינות בשרת ענן כזה או אחר מביאה את הארגון לעצירת העבודה כאשר אין לו שליטה או השפעה על עיתוי ומשך הפסקת השירות.
אמנם שירותי הענן מביאים עימם כמה סוגיות העלולות להיות בעייתיות וכל ארגון נדרש אליהן, אך יחד עם זאת הענן כאן כדי להישאר והיקפי השימוש בשירותי ענן במסגרת הפרטית והארגונית, הולכים ועולים. סביר להניח כי ארגונים הפועלים בסביבה תחרותית אשר יבחרו ללכת נגד המגמה ימצאו עצמם בשלב מסוים מאחור, גם ברמה העסקית. לכן, כדאי להיערך לנושא ולנהל באופן מיטבי את הסיכונים וההזדמנויות של מגמת ה-BYOC.
הכותבים הינם ראש תחום הסייבר והייעוץ הטכנולוגי ב-PwC Israel ומנהל בכיר, תחום הסייבר והייעוץ הטכנולוגי ב-PwC Israel