De la nit al dia, el treball a distància s'ha convertit en un format popular i necessari. Tot a causa del COVID-19. Cada dia apareixen noves mesures per prevenir la infecció. Les temperatures s'estan mesurant a les oficines i algunes empreses, incloses les grans, estan traslladant els treballadors al treball a distància per reduir les pèrdues per temps d'inactivitat i baixes per malaltia. I en aquest sentit, el sector informàtic, amb la seva experiència de treball amb equips distribuïts, és un guanyador.
Des de l'Institut d'Investigació Científica SOKB portem diversos anys organitzant l'accés remot a les dades corporatives des de dispositius mòbils i sabem que el treball remot no és un tema fàcil. A continuació us explicarem com les nostres solucions us ajuden a gestionar de manera segura els dispositius mòbils dels empleats i per què això és important per al treball remot.
Què necessita un empleat per treballar a distància?
Un conjunt típic de serveis als quals cal proporcionar accés remot per a un treball complet són els serveis de comunicació (correu electrònic, missatgeria instantània), recursos web (diversos portals, per exemple, un servei de servei o un sistema de gestió de projectes) i fitxers. (sistemes electrònics de gestió de documents, control de versions, etc.).
No podem esperar que les amenaces a la seguretat esperen fins que acabem de lluitar contra el coronavirus. Quan es treballa a distància, hi ha normes de seguretat que s'han de seguir fins i tot durant una pandèmia.
La informació important per a l'empresa no es pot enviar simplement al correu electrònic personal d'un empleat perquè pugui llegir-la i processar-la fàcilment al seu telèfon intel·ligent personal. Es pot perdre un telèfon intel·ligent, s'hi poden instal·lar aplicacions que roben informació i, al final, poden jugar-hi nens que estan asseguts a casa tot pel mateix virus. Així, com més importants siguin les dades amb què treballa un empleat, millor s'ha de protegir. I la protecció dels dispositius mòbils no hauria de ser pitjor que la dels estacionaris.
Per què l'antivirus i la VPN no són suficients?
Per a estacions de treball fixes i ordinadors portàtils amb sistema operatiu Windows, la instal·lació d'un antivirus és una mesura justificada i necessària. Però per a dispositius mòbils, no sempre.
L'arquitectura dels dispositius Apple impedeix la comunicació entre aplicacions. Això limita el possible abast de les conseqüències del programari infectat: si s'explota una vulnerabilitat en un client de correu electrònic, les accions no poden anar més enllà d'aquest client de correu electrònic. Al mateix temps, aquesta política redueix l'eficàcia dels antivirus. Ja no serà possible comprovar automàticament un fitxer rebut per correu.
A la plataforma Android, tant els virus com els antivirus tenen més perspectives. Però encara es planteja la qüestió de la conveniència. Per instal·lar programari maliciós des de la botiga d'aplicacions, haureu de donar molts permisos manualment. Els atacants obtenen drets d'accés només d'aquells usuaris que ho permeten tot. A la pràctica, n'hi ha prou amb prohibir als usuaris instal·lar aplicacions de fonts desconegudes perquè les "píndoles" per a aplicacions de pagament instal·lades lliurement no "tractin" secrets corporatius des de la confidencialitat. Però aquesta mesura va més enllà de les funcions d'antivirus i VPN.
A més, la VPN i l'antivirus no podran controlar com es comporta l'usuari. La lògica dicta que almenys s'ha d'establir una contrasenya al dispositiu de l'usuari (com a protecció contra la pèrdua). Però la presència d'una contrasenya i la seva fiabilitat només depenen de la consciència de l'usuari, que l'empresa no pot influir de cap manera.
Per descomptat, hi ha mètodes administratius. Per exemple, documents interns segons els quals els empleats seran personalment responsables de l'absència de contrasenyes als dispositius, instal·lació d'aplicacions de fonts no fiables, etc. Fins i tot podeu obligar a tots els empleats a signar una descripció de feina modificada que contingui aquests punts abans d'anar a treballar a distància. . Però siguem sincers: l'empresa no podrà comprovar com s'apliquen aquestes instruccions a la pràctica. Estarà ocupada amb la reestructuració urgent dels principals processos, mentre que els empleats, malgrat les polítiques implementades, copiaran documents confidencials al seu Google Drive personal i hi obriran l'accés mitjançant un enllaç, perquè és més convenient treballar junts en el document.
Per tant, el treball a distància sobtat de l'oficina és una prova de l'estabilitat de l'empresa.
Gestió de la mobilitat empresarial
Des del punt de vista de la seguretat de la informació, els dispositius mòbils són una amenaça i un buit potencial en el sistema de seguretat. Les solucions de classe EMM (gestion de la mobilitat empresarial) estan dissenyades per tancar aquesta bretxa.
La gestió de la mobilitat empresarial (EMM) inclou funcions per gestionar dispositius (MDM, gestió de dispositius mòbils), les seves aplicacions (MAM, gestió d'aplicacions mòbils) i contingut (MCM, gestió de continguts mòbils).
MDM és un "stick" necessari. Mitjançant les funcions de MDM, l'administrador pot restablir o bloquejar el dispositiu si es perd, configurar polítiques de seguretat: presència i complexitat d'una contrasenya, prohibició de funcions de depuració, instal·lació d'aplicacions des d'apk, etc. Aquestes funcions bàsiques són compatibles amb els dispositius mòbils de tots. fabricants i plataformes. Les configuracions més subtils, per exemple, que prohibeixen la instal·lació de recuperacions personalitzades, només estan disponibles en dispositius de determinats fabricants.
MAM i MCM són la "pastanaga" en forma d'aplicacions i serveis als quals donen accés. Amb una seguretat MDM suficient, podeu proporcionar accés remot segur als recursos corporatius mitjançant aplicacions instal·lades en dispositius mòbils.
A primer cop d'ull, sembla que la gestió d'aplicacions és una tasca purament informàtica que es redueix a operacions bàsiques com "instal·lar una aplicació, configurar una aplicació, actualitzar una aplicació a una versió nova o tornar-la a una d'anterior". De fet, aquí també hi ha seguretat. Cal no només instal·lar i configurar les aplicacions necessàries per al funcionament en dispositius, sinó també protegir les dades corporatives perquè no es pugin a Dropbox o Yandex.Disk personal.
Per separar l'empresa i la personal, els sistemes EMM moderns ofereixen crear un contenidor al dispositiu per a aplicacions corporatives i les seves dades. L'usuari no pot eliminar dades del contenidor sense autorització, per la qual cosa el servei de seguretat no necessita prohibir l'ús “personal” del dispositiu mòbil. Al contrari, això és beneficiós per a les empreses. Com més entengui l'usuari el seu dispositiu, més eficaç utilitzarà les eines de treball.
Tornem a les tasques de TI. Hi ha dues tasques que no es poden resoldre sense EMM: retrocedir una versió de l'aplicació i configurar-la de forma remota. Es necessita una recuperació quan la nova versió de l'aplicació no s'adapta als usuaris: té errors greus o simplement és incòmode. En el cas de les aplicacions a Google Play i a l'App Store, no és possible la recuperació: només la darrera versió de l'aplicació està sempre disponible a la botiga. Amb un desenvolupament intern actiu, les versions es poden llançar gairebé cada dia i no totes resulten estables.
La configuració de l'aplicació remota es pot implementar sense EMM. Per exemple, feu diferents compilacions de l'aplicació per a diferents adreces de servidor o deseu un fitxer amb la configuració a la memòria pública del telèfon per canviar-lo manualment més tard. Tot això passa, però difícilment es pot anomenar millor pràctica. Al seu torn, Apple i Google ofereixen enfocaments estandarditzats per resoldre aquest problema. El desenvolupador només ha d'incrustar el mecanisme requerit una vegada i l'aplicació podrà configurar qualsevol EMM.
Hem comprat un zoològic!
No tots els casos d'ús de dispositius mòbils es creen iguals. Les diferents categories d'usuaris tenen tasques diferents i s'han de resoldre a la seva manera. El desenvolupador i el financer necessiten conjunts específics d'aplicacions i potser conjunts de polítiques de seguretat a causa de la diferent sensibilitat de les dades amb què treballen.
No sempre és possible limitar el nombre de models i fabricants de dispositius mòbils. D'una banda, resulta més barat fer un estàndard corporatiu per a dispositius mòbils que entendre les diferències entre Android de diferents fabricants i les característiques de mostrar la interfície d'usuari mòbil en pantalles de diferents diagonals. D'altra banda, la compra de dispositius corporatius durant la pandèmia es fa més difícil i les empreses han de permetre l'ús de dispositius personals. La situació a Rússia s'agreuja encara més per la presència de plataformes mòbils nacionals que no són compatibles amb les solucions EMM occidentals.
Tot això sovint porta al fet que, en lloc d'una solució centralitzada per gestionar la mobilitat empresarial, s'explota un zoològic variat de sistemes EMM, MDM i MAM, cadascun dels quals és mantingut pel seu propi personal segons regles úniques.
Quines són les característiques a Rússia?
A Rússia, com a qualsevol altre país, hi ha una legislació nacional sobre protecció de la informació, que no canvia en funció de la situació epidemiològica. Així, els sistemes d'informació governamentals (SIG) han d'utilitzar mesures de seguretat certificades segons els requisits de seguretat. Per complir amb aquest requisit, els dispositius que accedeixen a dades SIG han de ser gestionats per solucions EMM certificades, que inclouen el nostre producte SafePhone.
Llarg i poc clar? No realment
Les eines de nivell empresarial com EMM s'associen sovint amb una implementació lenta i un llarg temps de preproducció. Ara simplement no hi ha temps per a això: les restriccions a causa del virus s'estan introduint ràpidament, de manera que no hi ha temps per adaptar-se al treball a distància.
Per la nostra experiència, i hem implementat molts projectes per implementar SafePhone en empreses de diferents mides, fins i tot amb desplegament local, la solució es pot posar en marxa en una setmana (sense comptar el temps per acordar i signar contractes). Els empleats habituals podran utilitzar el sistema en un termini d'1 a 2 dies després de la implementació. Sí, per a una configuració flexible del producte és necessari formar administradors, però la formació es pot dur a terme paral·lelament a l'inici de funcionament del sistema.
Per no perdre temps en la instal·lació a la infraestructura del client, oferim als nostres clients un servei SaaS al núvol per a la gestió remota de dispositius mòbils mitjançant SafePhone. A més, oferim aquest servei des del nostre propi centre de dades, certificat per complir amb els màxims requisits de sistemes d'informació de dades personals i SIG.
Com a contribució a la lluita contra el coronavirus, el SOKB Research Institute connecta les petites i mitjanes empreses al servidor de manera gratuïta per garantir el funcionament segur dels empleats que treballen a distància.
Font: www.habr.com