بين عشية وضحاها، أصبح العمل عن بعد تنسيقًا شائعًا وضروريًا. كل ذلك بسبب كوفيد-19. تظهر تدابير جديدة للوقاية من العدوى كل يوم. ويتم قياس درجات الحرارة في المكاتب، وتقوم بعض الشركات، بما في ذلك الشركات الكبيرة، بنقل العاملين إلى العمل عن بعد لتقليل الخسائر الناجمة عن التوقف والإجازات المرضية. وبهذا المعنى، فإن قطاع تكنولوجيا المعلومات، بخبرته في العمل مع فرق موزعة، هو الفائز.
نحن في معهد البحث العلمي SOKB نقوم بتنظيم الوصول عن بعد إلى بيانات الشركة من الأجهزة المحمولة لعدة سنوات ونعلم أن العمل عن بعد ليس بالأمر السهل. سنخبرك أدناه كيف تساعدك حلولنا في إدارة الأجهزة المحمولة للموظفين بشكل آمن وسبب أهمية ذلك للعمل عن بعد.
ما الذي يحتاجه الموظف للعمل عن بعد؟
مجموعة نموذجية من الخدمات التي تحتاج إلى توفير الوصول عن بعد للعمل الكامل هي خدمات الاتصالات (البريد الإلكتروني، المراسلة الفورية)، وموارد الويب (بوابات مختلفة، على سبيل المثال، مكتب الخدمة أو نظام إدارة المشروع) والملفات (أنظمة إدارة المستندات الإلكترونية والتحكم في الإصدار وما إلى ذلك).
لا يمكننا أن نتوقع أن تنتظر التهديدات الأمنية حتى ننتهي من مكافحة فيروس كورونا. عند العمل عن بعد، هناك قواعد أمان يجب اتباعها حتى أثناء الوباء.
لا يمكن ببساطة إرسال المعلومات المهمة للأعمال إلى البريد الإلكتروني الشخصي للموظف حتى يتمكن من قراءتها ومعالجتها بسهولة على هاتفه الذكي الشخصي. يمكن فقدان الهاتف الذكي، ويمكن تثبيت التطبيقات التي تسرق المعلومات عليه، وفي النهاية، يمكن أن يلعبه الأطفال الذين يجلسون في المنزل بسبب نفس الفيروس. لذا، كلما زادت أهمية البيانات التي يعمل بها الموظف، كلما كانت الحاجة إلى حمايتها أفضل. ويجب ألا تكون حماية الأجهزة المحمولة أسوأ من حماية الأجهزة الثابتة.
لماذا برامج مكافحة الفيروسات و VPN ليست كافية؟
بالنسبة لمحطات العمل الثابتة وأجهزة الكمبيوتر المحمولة التي تعمل بنظام التشغيل Windows، يعد تثبيت برنامج مكافحة الفيروسات إجراءً مبررًا وضروريًا. ولكن بالنسبة للأجهزة المحمولة - ليس دائمًا.
تمنع بنية أجهزة Apple الاتصال بين التطبيقات. وهذا يحد من النطاق المحتمل لعواقب البرامج المصابة: إذا تم استغلال ثغرة أمنية في عميل البريد الإلكتروني، فلا يمكن أن تتجاوز الإجراءات عميل البريد الإلكتروني هذا. وفي الوقت نفسه، تقلل هذه السياسة من فعالية برامج مكافحة الفيروسات. لن يكون من الممكن التحقق تلقائيًا من الملف المستلم عبر البريد.
على نظام Android الأساسي، تتمتع كل من الفيروسات وبرامج مكافحة الفيروسات بآفاق أكبر. لكن مسألة النفعية لا تزال قائمة. لتثبيت البرامج الضارة من متجر التطبيقات، سيتعين عليك منح الكثير من الأذونات يدويًا. يحصل المهاجمون على حقوق الوصول فقط من هؤلاء المستخدمين الذين يسمحون للتطبيقات بكل شيء. من الناحية العملية، يكفي منع المستخدمين من تثبيت التطبيقات من مصادر غير معروفة حتى لا "تعامل" "الحبوب" الخاصة بالتطبيقات المدفوعة المثبتة مجانًا أسرار الشركة من السرية. لكن هذا الإجراء يتجاوز وظائف مكافحة الفيروسات وVPN.
بالإضافة إلى ذلك، لن تتمكن VPN ومضادات الفيروسات من التحكم في سلوك المستخدم. يفرض المنطق ضرورة تعيين كلمة مرور على الأقل على جهاز المستخدم (كحماية من الضياع). لكن وجود كلمة المرور وموثوقيتها يعتمدان فقط على وعي المستخدم، وهو ما لا تستطيع الشركة التأثير عليه بأي شكل من الأشكال.
وبطبيعة الحال، هناك أساليب إدارية. على سبيل المثال، المستندات الداخلية التي بموجبها سيكون الموظفون مسؤولين شخصيًا عن عدم وجود كلمات مرور على الأجهزة، وتثبيت التطبيقات من مصادر غير موثوقة، وما إلى ذلك. ويمكنك حتى إجبار جميع الموظفين على التوقيع على وصف وظيفي معدل يحتوي على هذه النقاط قبل الذهاب إلى العمل عن بعد . ولكن دعونا نواجه الأمر: لن تتمكن الشركة من التحقق من كيفية تنفيذ هذه التعليمات عمليًا. ستكون مشغولة بإعادة هيكلة العمليات الرئيسية بشكل عاجل، بينما سيقوم الموظفون، على الرغم من السياسات المطبقة، بنسخ المستندات السرية إلى Google Drive الشخصي الخاص بهم وفتح الوصول إليها عبر الرابط، لأنه أكثر ملاءمة للعمل معًا على المستند.
ولذلك فإن العمل المفاجئ للمكتب عن بعد هو اختبار لاستقرار الشركة.
إدارة التنقل المؤسسي
من وجهة نظر أمن المعلومات، تمثل الأجهزة المحمولة تهديدًا وفجوة محتملة في النظام الأمني. تم تصميم حلول فئة EMM (إدارة التنقل المؤسسي) لسد هذه الفجوة.
تتضمن إدارة التنقل المؤسسي (EMM) وظائف لإدارة الأجهزة (MDM، إدارة الأجهزة المحمولة)، وتطبيقاتها (MAM، إدارة تطبيقات الهاتف المحمول) والمحتوى (MCM، إدارة محتوى الهاتف المحمول).
MDM هي "عصا" ضرورية. باستخدام وظائف MDM، يمكن للمسؤول إعادة ضبط الجهاز أو حظره في حالة فقده، وتكوين سياسات الأمان: وجود كلمة مرور وتعقيدها، وحظر وظائف تصحيح الأخطاء، وتثبيت التطبيقات من apk، وما إلى ذلك. يتم دعم هذه الميزات الأساسية على الأجهزة المحمولة بجميع أنواعها الشركات المصنعة والمنصات. تتوفر إعدادات أكثر دقة، على سبيل المثال، حظر تثبيت عمليات الاسترداد المخصصة، فقط على الأجهزة من بعض الشركات المصنعة.
MAM وMCM هما "الجزرة" في شكل تطبيقات وخدمات توفران الوصول إليها. مع وجود أمان MDM كافٍ، يمكنك توفير وصول آمن عن بعد إلى موارد الشركة باستخدام التطبيقات المثبتة على الأجهزة المحمولة.
للوهلة الأولى، يبدو أن إدارة التطبيقات هي مهمة تكنولوجيا معلومات بحتة تتلخص في العمليات الأساسية مثل "تثبيت تطبيق، أو تكوين تطبيق، أو تحديث تطبيق إلى إصدار جديد أو إعادته إلى إصدار سابق". في الواقع، هناك أمن هنا أيضا. من الضروري ليس فقط تثبيت وتكوين التطبيقات اللازمة للتشغيل على الأجهزة، ولكن أيضًا لحماية بيانات الشركة من التحميل على Dropbox أو Yandex.Disk الشخصي.
للفصل بين الشركات والأفراد، تعرض أنظمة EMM الحديثة إنشاء حاوية على الجهاز لتطبيقات الشركات وبياناتها. لا يمكن للمستخدم إزالة البيانات من الحاوية بشكل غير مصرح به، لذلك لا تحتاج خدمة الأمان إلى حظر الاستخدام "الشخصي" للجهاز المحمول. بالعكس هذا مفيد للأعمال. كلما زاد فهم المستخدم لجهازه، كلما استخدم أدوات العمل بشكل أكثر فعالية.
دعنا نعود إلى مهام تكنولوجيا المعلومات. هناك مهمتان لا يمكن حلهما بدون EMM: استرجاع إصدار التطبيق وتكوينه عن بعد. يلزم التراجع عندما لا يناسب الإصدار الجديد من التطبيق المستخدمين - فهو يحتوي على أخطاء جسيمة أو ببساطة غير مريح. في حالة التطبيقات الموجودة على Google Play وApp Store، لا يمكن التراجع - يتوفر دائمًا الإصدار الأحدث من التطبيق فقط في المتجر. مع التطوير الداخلي النشط، يمكن إصدار الإصدارات كل يوم تقريبًا، ولا تكون جميعها مستقرة.
يمكن تنفيذ تكوين التطبيق عن بعد بدون EMM. على سبيل المثال، يمكنك إنشاء إصدارات مختلفة من التطبيق لعناوين خوادم مختلفة أو حفظ ملف بالإعدادات في الذاكرة العامة للهاتف لتغييره يدويًا لاحقًا. كل هذا يحدث، لكن من الصعب أن نطلق عليه أفضل الممارسات. وفي المقابل، تقدم أبل وجوجل أساليب موحدة لحل هذه المشكلة. يحتاج المطور إلى تضمين الآلية المطلوبة مرة واحدة فقط، وسيتمكن التطبيق من تكوين أي EMM.
اشترينا حديقة الحيوان!
لا يتم إنشاء جميع حالات استخدام الأجهزة المحمولة على قدم المساواة. لدى الفئات المختلفة من المستخدمين مهام مختلفة، ويجب حلها بطريقتهم الخاصة. يحتاج المطور والممول إلى مجموعات محددة من التطبيقات وربما مجموعات من السياسات الأمنية نظرًا لاختلاف حساسية البيانات التي يتعاملون معها.
ليس من الممكن دائمًا تحديد عدد الطرز والشركات المصنعة للأجهزة المحمولة. من ناحية، اتضح أن إنشاء معيار مؤسسي للأجهزة المحمولة أرخص من فهم الاختلافات بين Android من الشركات المصنعة المختلفة وميزات عرض واجهة مستخدم الهاتف المحمول على شاشات ذات أقطار مختلفة. من ناحية أخرى، يصبح شراء أجهزة الشركات أثناء الوباء أكثر صعوبة، ويتعين على الشركات السماح باستخدام الأجهزة الشخصية. ويتفاقم الوضع في روسيا بشكل أكبر بسبب وجود منصات متنقلة وطنية لا تدعمها حلول EMM الغربية.
كل هذا يؤدي غالبًا إلى حقيقة أنه بدلاً من حل مركزي واحد لإدارة تنقل المؤسسات، يتم تشغيل حديقة حيوانات متنوعة من أنظمة EMM وMDM وMAM، ويتم صيانة كل منها بواسطة موظفيها وفقًا لقواعد فريدة.
ما هي الميزات في روسيا؟
في روسيا، كما هو الحال في أي دولة أخرى، هناك تشريعات وطنية بشأن حماية المعلومات، والتي لا تتغير تبعا للحالة الوبائية. ومن ثم، يجب أن تستخدم أنظمة المعلومات الحكومية (GIS) إجراءات أمنية معتمدة وفقًا للمتطلبات الأمنية. لتلبية هذا المطلب، يجب إدارة الأجهزة التي تصل إلى بيانات GIS من خلال حلول EMM المعتمدة، والتي تتضمن منتج SafePhone الخاص بنا.
طويلة وغير واضحة؟ ليس حقيقيًا
غالبًا ما ترتبط الأدوات المخصصة للمؤسسات مثل EMM بالتنفيذ البطيء ووقت ما قبل الإنتاج الطويل. الآن ببساطة لا يوجد وقت لذلك - يتم تقديم القيود بسبب الفيروس بسرعة، لذلك لا يوجد وقت للتكيف مع العمل عن بعد.
ومن خلال خبرتنا، وقمنا بتنفيذ العديد من المشاريع لتطبيق SafePhone في الشركات بمختلف أحجامها، وحتى مع النشر المحلي، يمكن إطلاق الحل في غضون أسبوع (دون احتساب وقت الاتفاق وتوقيع العقود). سيتمكن الموظفون العاديون من استخدام النظام خلال يوم أو يومين بعد التنفيذ. نعم، من أجل التكوين المرن للمنتج، من الضروري تدريب المسؤولين، ولكن يمكن إجراء التدريب بالتوازي مع بدء تشغيل النظام.
لكي لا نضيع الوقت في التثبيت في البنية التحتية للعميل، فإننا نقدم لعملائنا خدمة SaaS السحابية لإدارة الأجهزة المحمولة عن بعد باستخدام SafePhone. علاوة على ذلك، فإننا نقدم هذه الخدمة من مركز البيانات الخاص بنا، والمعتمد لتلبية الحد الأقصى من متطلبات نظم المعلومات الجغرافية ونظم معلومات البيانات الشخصية.
كمساهمة في مكافحة فيروس كورونا، يقوم معهد أبحاث SOKB بربط الشركات الصغيرة والمتوسطة بالخادم مجانًا لضمان التشغيل الآمن للموظفين الذين يعملون عن بعد.
المصدر: www.habr.com