Na skróty:
W dobie zaostrzających się przepisów o cyberbezpieczeństwie, ochrona firmowych danych nie kończy się na serwerowniach i komputerach stacjonarnych. Obowiązujące regulacje – unijna dyrektywa NIS2 i nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC) – nakładają na organizacje rygorystyczne wymagania w zakresie zabezpieczania całej infrastruktury IT.
W nowym krajobrazie prawnym urządzenia mobilne, będąc stałym elementem cyfrowego ekosystemu wielu firm, także muszą podlegać ściślejszej kontroli. Dowiedz się, dlaczego rozwiązanie MDM (Mobile Device Management) jest dziś niezbędne do zachowania zgodności z przepisami i jak Proget pomaga sprostać temu wyzwaniu.
Urządzenia mobilne w świetle UKSC i NIS2
Podstawowym obowiązkiem wynikającym z regulacji jest zapewnienie wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych (NIS2) oraz systemów informacyjnych (UKSC). Ustawodawcy przyjęli szeroką definicję chronionych zasobów.
- NIS2 (rozdz. 1 art. 6) pod pojęciem „sieci i systemów informatycznych” rozumie wszelkie urządzenia, które przetwarzają dane cyfrowe. Dotyczy to więc także służbowych smartfonów, tabletów, laptopów czy sprzętu wzmocnionego.
- Ustawa o KSC (rozdz. 1 art. 2) wspomina o „systemie informacyjnym”, który obejmuje całe środowisko przetwarzania informacji: technologię, dane, ludzi i procedury. W tym ujęciu telefon służbowy jest punktem styku, gdzie pracownicy (ludzie) operują na firmowych zasobach (dane) za pomocą określonych aplikacji (technologia).
Nie ma zatem wątpliwości, że urządzenia mobilne, jako część sieci i systemów informatycznych oraz systemów informacyjnych, podlegają podobnym wymogom cyberbezpieczeństwa, co tradycyjne serwery i stacje robocze.
Oznacza to, że również w ich przypadku przepisy nakładają na organizacje konkretne obowiązki: ciągłe monitorowanie i inwentaryzację, egzekwowanie polityk bezpieczeństwa, wykrywanie i raportowanie incydentów oraz zapewnienie rozliczalności działań. Spełnienie tych wymagań przy rozproszonych i zróżnicowanych flotach urządzeń jest w praktyce bardzo trudne bez wyspecjalizowanych narzędzi.
Jak Proget MDM wspiera realizację wymagań KSC i NIS2?
Rozwiązania MDM wprowadzają do mobilnej części infrastruktury standardy znane z innych obszarów IT: pełną widoczność, centralne zarządzanie i proaktywną ochronę. Proget wspiera organizacje w dostosowaniu się do UKSC i NIS2 poprzez szeroki wachlarz funkcjonalności dostępnych w konsoli systemu.
Inwentaryzacja i pełna widoczność urządzeń
Zgodnie z przepisami organizacje muszą inwentaryzować wszystkie zasoby IT, które biorą udział w przetwarzaniu danych – Proget uzupełnia tę ewidencję o segment mobilny. Konsola zawiera aktualny spis wdrożonych do systemu urządzeń, gromadząc informacje na temat tego, kto i jakim sprzętem dysponuje. Dodatkowo rozwiązanie pozwala administratorom monitorować lokalizację urządzeń i podejrzeć bieżący status bezpieczeństwa każdego z nich.
Egzekwowanie spójnych polityk bezpieczeństwa
Regulacje wymagają opracowania i wdrożenia firmowych polityk bezpieczeństwa, które powinny dotyczyć także urządzeń przenośnych. Proget pozwala skonfigurować sprzęt zgodnie z zasadami przyjętymi w organizacji, a przez to minimalizować ryzyko naruszeń. Administrator może narzucić m.in. konieczność ustawienia silnej autoryzacji na urządzeniu, wymusić jego szyfrowanie i blokować dostęp do natywnych funkcji (np. aparat, mikrofon, Bluetooth, zrzuty ekranu).
Zero Trust i kontrola dostępu
Proget wspiera również implementację podejścia Zero Trust dla urządzeń mobilnych. W razie wykrycia niezgodności sprzętu z obowiązującymi politykami, system oznacza urządzenie jako non-compliant, co może skutkować jego odcięciem od sieci firmowej. Natomiast w modelach BYOD i COPE Proget umożliwia stworzenie bezpiecznego profilu służbowego, odizolowanego od strefy prywatnej (zasada segmentacji).
Zarządzanie aplikacjami i aktualizacjami
Aplikacje na telefonie czy tablecie pracownika mogą stać się źródłem naruszeń bezpieczeństwa. Proget daje administratorom wiele możliwości zarządzania aplikacjami na firmowym sprzęcie, w tym: dodawanie i usuwanie, konfigurowanie, nadawanie uprawnień oraz blokowanie instalacji mobilnego malware i oprogramowania z nieznanych źródeł (czarne i białe listy). System automatyzuje również proces aktualizowania aplikacji i OS urządzeń, przyczyniając się do eliminowania podatności wynikających z korzystania z przestarzałych wersji.
Działania prewencyjne i obsługa incydentów
NIS2 i UKCS kładą ogromny nacisk na zdolność firmy do wykrywania zagrożeń, szybkiego reagowania na incydenty i ograniczania ich skutków. Profil Mobile Threat Prevention w Proget monitoruje urządzenia, aplikacje i sieci pod kątem anomalii. Gdy jakaś zostanie wykryta, system może wykonać jedną ze skonfigurowanych wcześniej automatycznych reakcji, np. powiadomić administratora czy wyłączyć WiFi. W razie utraty lub kradzieży urządzenia Proget pozwala zdalnie je zablokować oraz wyczyścić wszystkie dane służbowe, zapobiegając ich potencjalnemu wyciekowi.
Wykazywanie zgodności
Regulacje wskazują na konieczność wykazania, że organizacja stosuje odpowiednie środki ochrony. Konsola Proget zbiera logi z działań administratorów, rejestrując kto, kiedy i jaką operację wykonał w systemie. Umożliwia także generowanie raportów o stanie bezpieczeństwa całej floty – cyklicznie lub na żądanie. Raporty te mogą stanowić materiał dowodowy dla audytorów, potwierdzając zachowywanie ciągłej zgodności z przepisami.
Pomożemy Ci spełnić wymogi.
Podsumowanie
Dostosowanie organizacji do wymogów dyrektywy NIS2 i polskiej ustawy o Krajowym Systemie Cyberbezpieczeństwa jest procesem, w którym nie może zabraknąć ochrony urządzeń mobilnych. Współczesne środowisko IT nie kończy się na infrastrukturze stacjonarnej. Obejmuje również smartfony, tablety czy laptopy, które – ponieważ zapewniają dostęp do firmowych danych i systemów – wymagają wysokiego poziomu kontroli, widoczności i zabezpieczeń. Brak systemowego podejścia w tym obszarze oznacza poważne ryzyko naruszeń i trudności z wykazaniem zgodności podczas audytów.
Proget MDM pozwala spójnie uporządkować zarządzanie mobilnością – od inwentaryzacji, przez egzekwowanie polityk, po reagowanie na incydenty i raportowanie. W efekcie organizacja nie tylko spełnia wymagania regulacyjne, lecz także buduje trwałe fundamenty bezpieczeństwa całego środowiska cyfrowego.
Autor: Agnieszka Pierlak
Specjalistka ds. marketingu z doświadczeniem w branży IT. Interesuje się zagadnieniami związanymi z cyberbezpieczeństwem i bezpieczeństwem wewnętrznym. Prywatnie wielbicielka dobrej literatury, kuchni azjatyckiej i górskich wędrówek.