Preko noći je rad na daljinu postao popularan i neophodan format. Sve zbog COVID-19. Svakodnevno se pojavljuju nove mjere za sprječavanje infekcije. U kancelarijama se mjere temperature, a neke kompanije, uključujući i velike, premještaju radnike na daljinski rad kako bi smanjili gubitke zbog zastoja i bolovanja. I u tom smislu je IT sektor, sa svojim iskustvom rada sa raspoređenim timovima, pobjednik.
Mi u Naučno-istraživačkom institutu SOKB već nekoliko godina organizujemo daljinski pristup korporativnim podacima sa mobilnih uređaja i znamo da rad na daljinu nije lak problem. U nastavku ćemo vam reći kako vam naša rješenja pomažu da bezbedno upravljate mobilnim uređajima zaposlenih i zašto je to važno za rad na daljinu.
Šta je potrebno zaposleniku da radi na daljinu?
Tipičan skup usluga kojima morate omogućiti daljinski pristup za punopravan rad su komunikacijske usluge (e-pošta, instant messenger), web resursi (razni portali, na primjer, servisna služba ili sistem za upravljanje projektima) i datoteke (elektronski sistemi za upravljanje dokumentima, kontrola verzija itd.).
Ne možemo očekivati da će sigurnosne prijetnje čekati dok ne završimo borbu protiv korona virusa. Prilikom rada na daljinu postoje sigurnosna pravila koja se moraju poštovati čak i tokom pandemije.
Poslovno važne informacije ne mogu se jednostavno poslati na ličnu e-poštu zaposlenog kako bi ih on mogao lako pročitati i obraditi na svom ličnom pametnom telefonu. Pametni telefon se može izgubiti, na njega se mogu instalirati aplikacije koje kradu informacije i, na kraju, mogu ga igrati djeca koja sjede kod kuće sve zbog istog virusa. Dakle, što su važniji podaci sa kojima zaposleni radi, to ih treba bolje zaštititi. A zaštita mobilnih uređaja ne bi trebala biti gora od one stacionarnih.
Zašto antivirus i VPN nisu dovoljni?
Za stacionarne radne stanice i laptop računare sa operativnim sistemom Windows, instaliranje antivirusnog programa je opravdana i neophodna mera. Ali za mobilne uređaje - ne uvijek.
Arhitektura Apple uređaja sprječava komunikaciju između aplikacija. Ovo ograničava mogući opseg posljedica zaraženog softvera: ako se iskoristi ranjivost u klijentu e-pošte, tada radnje ne mogu ići dalje od tog klijenta e-pošte. Istovremeno, ova politika smanjuje efikasnost antivirusnih programa. Više neće biti moguće automatski provjeriti datoteku primljenu poštom.
Na Android platformi i virusi i antivirusi imaju više izgleda. Ali još uvijek se postavlja pitanje svrsishodnosti. Da biste instalirali zlonamjerni softver iz trgovine aplikacija, morat ćete ručno dati mnogo dozvola. Napadači dobijaju prava pristupa samo od onih korisnika koji aplikacijama dozvoljavaju sve. U praksi je dovoljno zabraniti korisnicima da instaliraju aplikacije iz nepoznatih izvora kako “pilule” za besplatno instalirane plaćene aplikacije ne bi “tretirale” korporativne tajne od povjerljivosti. Ali ova mjera nadilazi funkcije antivirusa i VPN-a.
Osim toga, VPN i antivirus neće moći kontrolirati kako se korisnik ponaša. Logika nalaže da se na korisničkom uređaju postavi barem lozinka (kao zaštita od gubitka). Ali prisutnost lozinke i njena pouzdanost zavise samo od svijesti korisnika, na koju kompanija ne može ni na koji način utjecati.
Naravno, postoje administrativne metode. Na primjer, interni dokumenti prema kojima će zaposleni biti lično odgovorni za nepostojanje lozinki na uređajima, instalaciju aplikacija iz nepouzdanih izvora itd. Možete čak i natjerati sve zaposlenike da potpišu izmijenjen opis posla koji sadrži ove točke prije odlaska na daljinski posao . Ali da se razumijemo: kompanija neće moći provjeriti kako se ova uputstva implementiraju u praksi. Ona će biti zauzeta hitnim restrukturiranjem glavnih procesa, dok će zaposleni, uprkos primijenjenim politikama, kopirati povjerljive dokumente na svoj lični Google Drive i otvoriti im pristup putem linka, jer je praktičnije raditi zajedno na dokumentu.
Stoga je iznenadni daljinski rad kancelarije test stabilnosti kompanije.
Upravljanje mobilnošću preduzeća
Sa stanovišta informacione sigurnosti, mobilni uređaji predstavljaju prijetnju i potencijalnu prazninu u sigurnosnom sistemu. Rešenja klase EMM (upravljanje mobilnošću preduzeća) su dizajnirana da popune ovaj jaz.
Upravljanje mobilnošću preduzeća (EMM) uključuje funkcije za upravljanje uređajima (MDM, upravljanje mobilnim uređajima), njihovim aplikacijama (MAM, upravljanje mobilnim aplikacijama) i sadržajem (MCM, upravljanje mobilnim sadržajem).
MDM je neophodan "štap". Koristeći MDM funkcije, administrator može resetirati ili blokirati uređaj ako je izgubljen, konfigurirati sigurnosna pravila: prisutnost i složenost lozinke, zabranu funkcija za otklanjanje grešaka, instaliranje aplikacija iz apk-a, itd. Ove osnovne funkcije su podržane na svim mobilnim uređajima proizvođača i platformi. Suptilnije postavke, na primjer, zabrana instaliranja prilagođenih oporavka, dostupne su samo na uređajima određenih proizvođača.
MAM i MCM su „šargarepa“ u obliku aplikacija i servisa kojima omogućavaju pristup. Uz dovoljnu MDM sigurnost, možete osigurati siguran daljinski pristup korporativnim resursima pomoću aplikacija instaliranih na mobilnim uređajima.
Na prvi pogled, čini se da je upravljanje aplikacijama čisto IT zadatak koji se svodi na osnovne operacije poput „instaliranja aplikacije, konfiguriranja aplikacije, ažuriranja aplikacije na novu verziju ili vraćanja na prethodnu“. U stvari, i ovdje postoji sigurnost. Potrebno je ne samo instalirati i konfigurirati aplikacije potrebne za rad na uređajima, već i zaštititi korporativne podatke od učitavanja na osobni Dropbox ili Yandex.Disk.
Za razdvajanje korporativnih i ličnih, moderni EMM sistemi nude kreiranje kontejnera na uređaju za korporativne aplikacije i njihove podatke. Korisnik ne može neovlašteno ukloniti podatke iz kontejnera, tako da služba sigurnosti ne mora zabraniti „ličnu“ upotrebu mobilnog uređaja. Naprotiv, ovo je korisno za poslovanje. Što više korisnik razumije svoj uređaj, učinkovitije će koristiti alate za rad.
Vratimo se IT zadacima. Postoje dva zadatka koja se ne mogu riješiti bez EMM-a: vraćanje verzije aplikacije i daljinsko konfiguriranje iste. Vraćanje je potrebno kada nova verzija aplikacije ne odgovara korisnicima - ima ozbiljnih grešaka ili je jednostavno nezgodna. U slučaju aplikacija na Google Play-u i App Store-u, vraćanje unazad nije moguće - u trgovini je uvijek dostupna samo najnovija verzija aplikacije. Uz aktivni interni razvoj, verzije se mogu objavljivati gotovo svaki dan, a ne ispadaju sve stabilne.
Konfiguracija udaljene aplikacije može se implementirati bez EMM-a. Na primjer, napravite različite verzije aplikacije za različite adrese servera ili sačuvajte datoteku sa postavkama u javnoj memoriji telefona kako biste je kasnije ručno promijenili. Sve se to dešava, ali se to teško može nazvati najboljom praksom. Zauzvrat, Apple i Google nude standardizirane pristupe rješavanju ovog problema. Programer treba samo jednom da ugradi traženi mehanizam, a aplikacija će moći konfigurirati bilo koji EMM.
Kupili smo zoološki vrt!
Nisu svi slučajevi upotrebe mobilnih uređaja jednaki. Različite kategorije korisnika imaju različite zadatke i treba ih rješavati na svoj način. Programeru i finansijeru su potrebni specifični skupovi aplikacija i možda skupovi sigurnosnih politika zbog različite osjetljivosti podataka s kojima rade.
Nije uvijek moguće ograničiti broj modela i proizvođača mobilnih uređaja. S jedne strane, ispada da je jeftinije napraviti korporativni standard za mobilne uređaje nego razumjeti razlike između Androida različitih proizvođača i mogućnosti prikazivanja mobilnog korisničkog sučelja na ekranima različitih dijagonala. S druge strane, kupovina korporativnih uređaja tokom pandemije postaje teža, a kompanije moraju dozvoliti korištenje ličnih uređaja. Situaciju u Rusiji dodatno pogoršava prisustvo nacionalnih mobilnih platformi koje nisu podržane zapadnim EMM rješenjima.
Sve to često dovodi do toga da umjesto jednog centraliziranog rješenja za upravljanje mobilnošću preduzeća, radi šaroliki zoološki vrt EMM, MDM i MAM sistema, od kojih svaki održava svoje osoblje po jedinstvenim pravilima.
Koje su karakteristike u Rusiji?
U Rusiji, kao iu svakoj drugoj zemlji, postoji nacionalno zakonodavstvo o zaštiti informacija, koje se ne mijenja ovisno o epidemiološkoj situaciji. Stoga, vladini informacioni sistemi (GIS) moraju koristiti sigurnosne mjere sertifikovane u skladu sa sigurnosnim zahtjevima. Da bi se ispunio ovaj zahtjev, uređajima koji pristupaju GIS podacima moraju upravljati certificirana EMM rješenja, koja uključuju naš SafePhone proizvod.
Dugo i nejasno? Ne baš
Alati za preduzeća kao što je EMM često su povezani sa sporom implementacijom i dugim vremenom pre proizvodnje. Sada za to jednostavno nema vremena - brzo se uvode ograničenja zbog virusa, pa nema vremena za prilagođavanje radu na daljinu.
Prema našem iskustvu, a implementirali smo mnoge projekte implementacije SafePhone-a u kompanije različitih veličina, čak i sa lokalnom implementacijom, rješenje se može pokrenuti za tjedan dana (ne računajući vrijeme za dogovaranje i potpisivanje ugovora). Obični zaposleni će moći koristiti sistem u roku od 1-2 dana nakon implementacije. Da, za fleksibilnu konfiguraciju proizvoda potrebno je obučiti administratore, ali se obuka može odvijati paralelno sa početkom rada sistema.
Kako ne bismo gubili vrijeme na instalaciju u infrastrukturu korisnika, našim korisnicima nudimo cloud SaaS uslugu za daljinsko upravljanje mobilnim uređajima koristeći SafePhone. Osim toga, ovu uslugu pružamo iz vlastitog data centra, certificiranog da ispunjava maksimalne zahtjeve za GIS i informacione sisteme ličnih podataka.
Kao doprinos borbi protiv korona virusa, Istraživački institut SOKB besplatno povezuje mala i srednja preduzeća na server kako bi se osigurao siguran rad zaposlenih koji rade na daljinu.
izvor: www.habr.com