Creşterea nivelului de mobilitate la nivelul întreprinderii face ca menţinerea conformităţii cu cerinţele impuse de legislaţie şi de normele interne specifice ale fiecărei organizaţii să fie tot mai dificilă. Cât de greu poate să fie un astfel de proces?

Conformitatea cu normele se referă la tot ceea ce ţine de respectarea legislaţiei generale (cazul legislaţiei comunitare europene) şi locale (specific naţionale), dar şi a politicilor impuse la nivelul conducerii companiei sau, acolo unde este cazul, la nivelul industriei. La nivel tehnologic, asta înseamnă respectarea legilor şi normelor care se referă la stocarea în siguranţă a datelor şi procesarea acestora. Dacă până acum nu a fost extrem de important, în viitorul extrem de apropiat eşecul de a respecta asemenea cerinţe va duce la repercusiuni importante, cum ar fi amenzile şi chiar acuzaţiile de natură penală.

Nevoia de conformitate nu este nouă. Ce s-a schimbat atunci în asemenea măsură încât problema conformităţii să devină pe alocuri critică în termeni de mobilitate a întreprinderii? Răspunsul este dat de consumerizare. Avântul exploziv înregistrat de folosirea dispozitivelor mobile personale ale angajaţilor, indiferent că e vorba de telefoane inteligente, de tablete sau de alte dispozitive, duce la dureri de cap din ce în ce mai intense din punct de vedere al conformităţii.

Soluţia adoptată de multe companii, inclusiv de multe companii de dimensiuni mai mari din România, aceea de a fi ele cele care asigură angajaţilor dispozitive mobile, a funcţionat şi funcţionează din punct de vedere IT deoarece administratorii IT puteau configura şi monitoriza cu uşurinţă utilizarea unor astfel de dispozitive în interiorul şi în afara mediului fizic al unităţii de lucru.
Numai că nu toate companiile îşi pot permite o asemenea procedură. Mai mult decât atât, numărul companiilor care procedează astfel este, din raţiuni de costuri, în scădere. Metoda opusă, aceea de a permite angajaţilor folosirea propriilor dispozitive, aduce însă cu ea şi imensul pericol al accesării datelor companiei din reţele nesecurizate, fapt care complică enorm măsurile de securitate şi de monitorizare.

Chestiunea se complică şi mai tare odată cu apelarea tot mai extinsă la servicii de tip cloud computing pentru accesarea sau stocarea de date. De ce? Pur şi simplu deoarece compania respectivă este ţinută responsabilă pentru orice fel de date pe care furnizorul de date le livrează, gestionează sau stochează în scopuri IT. Un adevărat coşmar pentru asigurarea securităţii şi pentru departamentele juridice.

Operare în necunoscut
Realitatea arată că atunci când vine vorba de utilizarea de dispozitive mobile, multe organizaţii operează în necunoscut, indiferent de politicile de conformitate instaurate. Nu se ştie exact ce dispozitive accesează reţeaua, care este statutul tuturor acestor dispozitive (în proprietatea companiei sau a utilizatorului) şi, mai ales, ce date de companie accesează aceste dispozitive.
În atari circumstanţe, cele mai mari pericole potenţiale de penetrare frauduloasă în reţeaua IT a companiei sunt reprezentate de lipsa unor politici corecte de criptare a datelor mobile, de instaurare a unor parole adecvate de accesare a reţelei şi de stocare adecvată a datelor. Din multe puncte de vedere, conformitatea în zona mobilităţii este similară cu conformitatea din zona PC-urilor tradiţionale.

Ca tabloul să fie şi mai complex, în atari circumstanţe este greu pentru oricine să-şi asume responsabilitatea pentru menţinerea securităţii şi conformităţii la nivel de organizaţie. În plus, mulţi factori de decizie din organizaţii nu sunt dispuşi, mai ales în condiţiile economice dificile actuale, să depună eforturi sau să aloce bugete suficiente pentru respectarea tuturor cerinţelor de conformitate în zona mobilităţii. Un fel de “merge şi aşa” care, din punct de vedere al mobilităţii, nu mai aparţine deloc doar spaţiului mioritic.
Adăugaţi la toate astea şi situaţia des întâlnită a lipsei de comunicare dintre departamentele IT şi alte departamente cheie din organizaţie. Practic, fiecare îşi vede strict de felia lui şi presupune că totul merge bine în ariile de responsabilitate ale celorlalţi. O reţetă sigură nu pentru o simfonie armonioasă, ci pentru o cacofonie infernală.

Utilizarea de instrumente software IT din sfera denumită Mobile Device Management (MDM) de către departamentele IT din companii reprezintă o soluţie modernă pentru atenuarea stărilor posibile de haos. La asta se adaugă elemente de ajutor precum folosirea tehnologiilor duale, prin care se separă aplicaţiile de tip corporate de cele personale pe dispozitivele mobile. Evident însă că toate acestea necesită investiţii financiare pentru implementare.

Ca o alternativă, în special în cazul utilizării pe scară largă a serviciilor de tip cloud, operatorii de astfel de servicii pot acţiona ca o poartă securizată de acces, direcţionând datele în cloud şi criptându-le înainte de a ajunge la dispozitivul mobil al utilizatorului.
În aceeaşi manieră, instrumentele IT de monitorizare şi raportare sunt de ajutor atunci când se pune problema urmăririi comportamentelor utilizatorilor şi a asigurării conformităţii cu cerinţele de securitate. Aplicaţiile de tip analytics pot duce la creşterea vizibilităţii în reţea, permiţând departamentelor IT să observe modul în care utilizatorii accesează şi interacţionează cu aplicaţiile, pentru a se asigura pe această cale că aceştia respectă regulile de accesare parolată a reţelei.

Măsura cu bătaia cea mai lungă în timp este însă cea educaţională. Mai exact, implementarea de programe de instruire şi conştientizare a angajaţilor vizavi de imensele pericole pe care le reprezintă nerespectarea unor cerinţe de conformitate în zona dispozitivelor mobile pentru tot ceea ce înseamnă organizaţia respectivă. În mod cert o astfel de măsură nu înseamnă un drum lin către siguranţă şi nu aduce rezultate spectaculoase pe termen scurt, însă este cea mai sigură cale de navigare într-un univers existenţial care se anunţă de la o zi la alta tot mai complex, mai nămolos şi mai periculos.

de Bogdan Marchidanu