De la noche a la mañana, el trabajo remoto se ha convertido en un formato popular y necesario. Todo por culpa del COVID-19. Cada día aparecen nuevas medidas para prevenir la infección. Se están midiendo las temperaturas en las oficinas y algunas empresas, incluidas las grandes, están transfiriendo trabajadores al trabajo remoto para reducir las pérdidas por tiempos de inactividad y bajas por enfermedad. Y en este sentido, el sector TI, con su experiencia de trabajar con equipos distribuidos, es un ganador.
En el Instituto de Investigación Científica SOKB llevamos varios años organizando el acceso remoto a datos corporativos desde dispositivos móviles y sabemos que el trabajo remoto no es un tema fácil. A continuación le contamos cómo nuestras soluciones le ayudan a gestionar de forma segura los dispositivos móviles de los empleados y por qué esto es importante para el trabajo remoto.
¿Qué necesita un empleado para trabajar de forma remota?
Un conjunto típico de servicios a los que es necesario proporcionar acceso remoto para un trabajo completo son los servicios de comunicación (correo electrónico, mensajería instantánea), recursos web (varios portales, por ejemplo, una mesa de servicio o un sistema de gestión de proyectos) y archivos. (sistemas de gestión documental electrónica, control de versiones, etc.).
No podemos esperar que las amenazas a la seguridad esperen hasta que terminemos de luchar contra el coronavirus. Cuando se trabaja de forma remota, existen reglas de seguridad que se deben seguir incluso durante una pandemia.
La información importante para el negocio no puede simplemente enviarse al correo electrónico personal de un empleado para que pueda leerla y procesarla fácilmente en su teléfono inteligente personal. Un teléfono inteligente se puede perder, se pueden instalar aplicaciones que roban información en él y, al final, pueden jugarlo niños que están sentados en casa, todo por culpa del mismo virus. Por lo tanto, cuanto más importantes sean los datos con los que trabaja un empleado, mejor deberán protegerse. Y la protección de los dispositivos móviles no debería ser peor que la de los dispositivos fijos.
¿Por qué los antivirus y las VPN no son suficientes?
Para estaciones de trabajo estacionarias y portátiles con sistema operativo Windows, la instalación de un antivirus es una medida justificada y necesaria. Pero para dispositivos móviles, no siempre.
La arquitectura de los dispositivos Apple impide la comunicación entre aplicaciones. Esto limita el posible alcance de las consecuencias del software infectado: si se explota una vulnerabilidad en un cliente de correo electrónico, las acciones no pueden ir más allá de ese cliente de correo electrónico. Al mismo tiempo, esta política reduce la eficacia de los antivirus. Ya no será posible comprobar automáticamente un archivo recibido por correo.
En la plataforma Android, tanto los virus como los antivirus tienen más perspectivas. Pero todavía surge la cuestión de la conveniencia. Para instalar malware desde la tienda de aplicaciones, deberá otorgar muchos permisos manualmente. Los atacantes obtienen derechos de acceso sólo de aquellos usuarios que permiten todo a las aplicaciones. En la práctica, basta con prohibir a los usuarios instalar aplicaciones de fuentes desconocidas para que las "píldoras" de las aplicaciones pagas instaladas libremente no "traten" los secretos corporativos como confidenciales. Pero esta medida va más allá de las funciones de antivirus y VPN.
Además, las VPN y los antivirus no podrán controlar el comportamiento del usuario. La lógica dicta que se debe establecer al menos una contraseña en el dispositivo del usuario (como protección contra pérdidas). Pero la presencia de una contraseña y su fiabilidad dependen únicamente de la conciencia del usuario, sobre la que la empresa no puede influir de ninguna manera.
Por supuesto, existen métodos administrativos. Por ejemplo, documentos internos según los cuales los empleados serán personalmente responsables de la ausencia de contraseñas en los dispositivos, la instalación de aplicaciones de fuentes no confiables, etc. Incluso puede obligar a todos los empleados a firmar una descripción de trabajo modificada que contenga estos puntos antes de comenzar a trabajar de forma remota. . Pero seamos realistas: la empresa no podrá comprobar cómo se implementan estas instrucciones en la práctica. Ella estará ocupada reestructurando urgentemente los procesos principales, mientras que los empleados, a pesar de las políticas implementadas, copiarán documentos confidenciales en su Google Drive personal y abrirán el acceso a ellos a través de un enlace, porque es más conveniente trabajar juntos en el documento.
Por tanto, el repentino trabajo remoto de la oficina es una prueba de estabilidad de la empresa.
Gestión de la movilidad empresarial
Desde el punto de vista de la seguridad de la información, los dispositivos móviles son una amenaza y una brecha potencial en el sistema de seguridad. Las soluciones de clase EMM (gestión de movilidad empresarial) están diseñadas para cerrar esta brecha.
La gestión de movilidad empresarial (EMM) incluye funciones para gestionar dispositivos (MDM, gestión de dispositivos móviles), sus aplicaciones (MAM, gestión de aplicaciones móviles) y contenidos (MCM, gestión de contenidos móviles).
MDM es un "palo" necesario. Usando las funciones de MDM, el administrador puede restablecer o bloquear el dispositivo en caso de pérdida, configurar políticas de seguridad: la presencia y complejidad de una contraseña, prohibir funciones de depuración, instalar aplicaciones desde apk, etc. Estas funciones básicas son compatibles con todos los dispositivos móviles. fabricantes y plataformas. Configuraciones más sutiles, por ejemplo, que prohíben la instalación de recuperaciones personalizadas, solo están disponibles en dispositivos de ciertos fabricantes.
MAM y MCM son la “zanahoria” en forma de aplicaciones y servicios a los que brindan acceso. Con suficiente seguridad MDM implementada, puede proporcionar acceso remoto seguro a los recursos corporativos mediante aplicaciones instaladas en dispositivos móviles.
A primera vista, parece que la gestión de aplicaciones es una tarea puramente de TI que se reduce a operaciones básicas como "instalar una aplicación, configurar una aplicación, actualizar una aplicación a una nueva versión o revertirla a una anterior". De hecho, aquí también hay seguridad. Es necesario no solo instalar y configurar las aplicaciones necesarias para el funcionamiento en los dispositivos, sino también proteger los datos corporativos para que no se carguen en un Dropbox personal o Yandex.Disk.
Para separar lo corporativo y lo personal, los sistemas EMM modernos ofrecen crear un contenedor en el dispositivo para las aplicaciones corporativas y sus datos. El usuario no puede eliminar datos del contenedor sin autorización, por lo que el servicio de seguridad no necesita prohibir el uso "personal" del dispositivo móvil. Al contrario, esto es beneficioso para las empresas. Cuanto más comprenda el usuario su dispositivo, más eficazmente utilizará las herramientas de trabajo.
Volvamos a las tareas de TI. Hay dos tareas que no se pueden resolver sin EMM: revertir la versión de una aplicación y configurarla de forma remota. Es necesaria una reversión cuando la nueva versión de la aplicación no es adecuada para los usuarios: tiene errores graves o simplemente es inconveniente. En el caso de las aplicaciones de Google Play y App Store, la reversión no es posible: en la tienda solo está siempre disponible la última versión de la aplicación. Con un desarrollo interno activo, se pueden lanzar versiones casi todos los días y no todas resultan estables.
La configuración de la aplicación remota se puede implementar sin EMM. Por ejemplo, cree diferentes compilaciones de la aplicación para diferentes direcciones de servidor o guarde un archivo con la configuración en la memoria pública del teléfono para cambiarlo manualmente más tarde. Todo esto ocurre, pero difícilmente se le puede llamar la mejor práctica. A su vez, Apple y Google ofrecen enfoques estandarizados para resolver este problema. El desarrollador solo necesita integrar el mecanismo requerido una vez y la aplicación podrá configurar cualquier EMM.
¡Compramos un zoo!
No todos los casos de uso de dispositivos móviles son iguales. Las diferentes categorías de usuarios tienen diferentes tareas y deben resolverse a su manera. El desarrollador y el financiero necesitan conjuntos específicos de aplicaciones y quizás conjuntos de políticas de seguridad debido a la diferente sensibilidad de los datos con los que trabajan.
No siempre es posible limitar la cantidad de modelos y fabricantes de dispositivos móviles. Por un lado, resulta más barato crear un estándar corporativo para dispositivos móviles que comprender las diferencias entre Android de diferentes fabricantes y las posibilidades de mostrar la interfaz de usuario móvil en pantallas de diferentes diagonales. Por otro lado, la compra de dispositivos corporativos durante la pandemia se vuelve más difícil y las empresas tienen que permitir el uso de dispositivos personales. La situación en Rusia se ve agravada aún más por la presencia de plataformas móviles nacionales que no son compatibles con las soluciones EMM occidentales.
Todo esto lleva a menudo al hecho de que en lugar de una solución centralizada para gestionar la movilidad empresarial, se utiliza un zoológico heterogéneo de sistemas EMM, MDM y MAM, cada uno de los cuales es mantenido por su propio personal según reglas únicas.
¿Cuáles son las características en Rusia?
En Rusia, como en cualquier otro país, existe una legislación nacional sobre protección de la información, que no cambia según la situación epidemiológica. Así, los sistemas de información gubernamentales (SIG) deben utilizar medidas de seguridad certificadas según los requisitos de seguridad. Para cumplir con este requisito, los dispositivos que acceden a datos GIS deben ser administrados por soluciones EMM certificadas, que incluyen nuestro producto SafePhone.
¿Largo y poco claro? No precisamente
Las herramientas de nivel empresarial como EMM a menudo se asocian con una implementación lenta y un tiempo de preproducción prolongado. Ahora simplemente no hay tiempo para esto: las restricciones debido al virus se están introduciendo rápidamente, por lo que no hay tiempo para adaptarse al trabajo remoto.
Según nuestra experiencia, y hemos implementado muchos proyectos para implementar SafePhone en empresas de varios tamaños, incluso con implementación local, la solución se puede lanzar en una semana (sin contar el tiempo para acordar y firmar contratos). Los empleados comunes podrán utilizar el sistema entre 1 y 2 días después de su implementación. Sí, para una configuración flexible del producto es necesario capacitar a los administradores, pero la capacitación se puede realizar en paralelo con el inicio de la operación del sistema.
Para no perder tiempo en la instalación en la infraestructura del cliente, ofrecemos a nuestros clientes un servicio SaaS en la nube para la gestión remota de dispositivos móviles mediante SafePhone. Además, brindamos este servicio desde nuestro propio centro de datos, certificado para cumplir con los máximos requisitos de sistemas de información GIS y de datos personales.
Como contribución a la lucha contra el coronavirus, el Instituto de Investigación SOKB conecta de forma gratuita a las pequeñas y medianas empresas al servidor para garantizar la operación segura de los empleados que trabajan de forma remota.
Fuente: habr.com