Durante a noite, o traballo remoto converteuse nun formato popular e necesario. Todo debido ao COVID-19. Cada día aparecen novas medidas para previr a infección. As temperaturas estanse a medir nas oficinas, e algunhas empresas, incluídas as grandes, están a trasladar aos traballadores ao traballo remoto para reducir as perdas por tempo de inactividade e baixas por enfermidade. E neste sentido, o sector informático, coa súa experiencia de traballo con equipos distribuídos, resulta gañador.
Dende o Instituto de Investigación Científica SOKB levamos varios anos organizando o acceso remoto aos datos corporativos desde dispositivos móbiles e sabemos que o traballo remoto non é un problema sinxelo. A continuación, dirémosche como as nosas solucións che axudan a xestionar de forma segura os dispositivos móbiles dos empregados e por que é importante para o traballo remoto.
Que necesita un empregado para traballar a distancia?
Un conxunto típico de servizos aos que cómpre proporcionar acceso remoto para un traballo completo son os servizos de comunicación (correo electrónico, mensaxería instantánea), recursos web (varios portais, por exemplo, unha mesa de servizo ou un sistema de xestión de proxectos) e ficheiros. (sistemas electrónicos de xestión de documentos, control de versións, etc.).
Non podemos esperar que as ameazas de seguridade esperen ata que rematemos de loitar contra o coronavirus. Cando se traballa a distancia, hai normas de seguridade que se deben seguir mesmo durante unha pandemia.
A información importante para a empresa non se pode enviar simplemente ao correo electrónico persoal dun empregado para que poida lela e procesala facilmente no seu teléfono intelixente persoal. Pódese perder un smartphone, instalar nel aplicacións que rouban información e, ao final, poden xogar os nenos que están sentados na casa todos por culpa do mesmo virus. Polo tanto, canto máis importantes sexan os datos cos que traballa un empregado, mellor hai que protexerlos. E a protección dos dispositivos móbiles non debe ser peor que a dos dispositivos estacionarios.
Por que antivirus e VPN non son suficientes?
Para estacións de traballo estacionarias e portátiles con sistema operativo Windows, a instalación dun antivirus é unha medida xustificada e necesaria. Pero para dispositivos móbiles, non sempre.
A arquitectura dos dispositivos Apple impide a comunicación entre aplicacións. Isto limita o posible alcance das consecuencias do software infectado: se se explota unha vulnerabilidade nun cliente de correo electrónico, as accións non poden ir máis aló dese cliente de correo electrónico. Ao mesmo tempo, esta política reduce a eficacia dos antivirus. Xa non será posible comprobar automaticamente un ficheiro recibido por correo.
Na plataforma Android, tanto os virus como os antivirus teñen máis perspectivas. Pero a cuestión da conveniencia aínda xorde. Para instalar malware da tenda de aplicacións, terás que dar manualmente moitos permisos. Os atacantes obteñen dereitos de acceso só daqueles usuarios que permiten todo ás aplicacións. Na práctica, abonda con prohibir aos usuarios instalar aplicacións de fontes descoñecidas para que as "pílulas" para aplicacións de pago instaladas libremente non "traten" os segredos corporativos desde a confidencialidade. Pero esta medida vai máis aló das funcións de antivirus e VPN.
Ademais, VPN e antivirus non poderán controlar como se comporta o usuario. A lóxica indica que polo menos debe establecerse un contrasinal no dispositivo do usuario (como protección contra a perda). Pero a presenza dun contrasinal e a súa fiabilidade dependen só da conciencia do usuario, que a empresa non pode influír de ningún xeito.
Por suposto, hai métodos administrativos. Por exemplo, documentos internos segundo os cales os empregados serán persoalmente responsables da ausencia de contrasinais nos dispositivos, instalación de aplicacións de fontes non fiables, etc. Incluso podes obrigar a todos os empregados a asinar unha descrición do traballo modificada que conteña estes puntos antes de ir traballar de forma remota. . Pero sexamos realistas: a empresa non poderá comprobar como se implementan estas instrucións na práctica. Ela estará ocupada na reestruturación urxente dos principais procesos, mentres que os empregados, a pesar das políticas implementadas, copiarán documentos confidenciais no seu Google Drive persoal e abrirán o acceso a eles mediante unha ligazón, porque é máis cómodo traballar xuntos no documento.
Polo tanto, o traballo remoto repentino da oficina é unha proba da estabilidade da empresa.
Xestión da mobilidade empresarial
Desde o punto de vista da seguridade da información, os dispositivos móbiles son unha ameaza e unha posible violación da seguridade. As solucións de clase EMM (Enterprise Mobility Management) están deseñadas para cerrar esta brecha.
A xestión da mobilidade empresarial (EMM) inclúe funcións para xestionar dispositivos (MDM, xestión de dispositivos móbiles), as súas aplicacións (MAM, xestión de aplicacións móbiles) e contidos (MCM, xestión de contidos móbiles).
MDM é un "pau" necesario. Mediante as funcións de MDM, o administrador pode reiniciar ou bloquear o dispositivo se se perde, configurar políticas de seguridade: presenza e complexidade dun contrasinal, prohibición de funcións de depuración, instalación de aplicacións desde apk, etc. Estas funcións básicas son compatibles con dispositivos móbiles de todos os tipos. fabricantes e plataformas. As configuracións máis sutís, por exemplo, que prohiben a instalación de recuperacións personalizadas, só están dispoñibles en dispositivos de determinados fabricantes.
MAM e MCM son a "cenoria" en forma de aplicacións e servizos aos que proporcionan acceso. Con suficiente seguridade MDM, pode proporcionar acceso remoto seguro aos recursos corporativos mediante aplicacións instaladas en dispositivos móbiles.
A primeira vista, parece que a xestión de aplicacións é unha tarefa puramente informática que se reduce a operacións básicas como "instalar unha aplicación, configurar unha aplicación, actualizar unha aplicación a unha nova versión ou devolvela a unha anterior". De feito, aquí tamén hai seguridade. É necesario non só instalar e configurar as aplicacións necesarias para o funcionamento dos dispositivos, senón tamén protexer os datos corporativos para que non se carguen nun Dropbox ou Yandex.Disk persoal.
Para separar a empresa e a persoa, os sistemas EMM modernos ofrecen crear un contedor no dispositivo para aplicacións corporativas e os seus datos. O usuario non pode eliminar datos do contedor sen autorización, polo que o servizo de seguridade non precisa prohibir o uso "persoal" do dispositivo móbil. Pola contra, isto é beneficioso para as empresas. Canto máis entenda o usuario o seu dispositivo, máis eficaz utilizará as ferramentas de traballo.
Volvamos ás tarefas informáticas. Hai dúas tarefas que non se poden resolver sen EMM: retrotraer a versión dunha aplicación e configurala de forma remota. É necesaria unha recuperación cando a nova versión da aplicación non se adapta aos usuarios: ten erros graves ou é simplemente inconveniente. No caso das aplicacións en Google Play e na App Store, non é posible a recuperación: só a última versión da aplicación sempre está dispoñible na tenda. Cun desenvolvemento interno activo, pódense lanzar versións case todos os días e non todas resultan estables.
A configuración remota da aplicación pódese implementar sen EMM. Por exemplo, fai diferentes compilacións da aplicación para diferentes enderezos de servidor ou garda un ficheiro con configuracións na memoria pública do teléfono para cambialo manualmente máis tarde. Todo isto ocorre, pero dificilmente se pode chamar mellor práctica. Pola súa banda, Apple e Google ofrecen enfoques estandarizados para resolver este problema. O programador só precisa incorporar o mecanismo necesario unha vez e a aplicación poderá configurar calquera EMM.
Compramos un zoolóxico!
Non todos os casos de uso de dispositivos móbiles son iguais. As diferentes categorías de usuarios teñen tarefas diferentes, e deben ser resoltas á súa maneira. O desenvolvedor e o financiador necesitan conxuntos específicos de aplicacións e quizais conxuntos de políticas de seguridade debido á diferente sensibilidade dos datos cos que traballan.
Non sempre é posible limitar o número de modelos e fabricantes de dispositivos móbiles. Por unha banda, resulta máis barato facer un estándar corporativo para dispositivos móbiles que comprender as diferenzas entre Android de diferentes fabricantes e as características de mostrar a IU móbil en pantallas de diferentes diagonais. Por outra banda, a compra de dispositivos corporativos durante a pandemia faise máis difícil e as empresas teñen que permitir o uso de dispositivos persoais. A situación en Rusia agrávase aínda máis pola presenza de plataformas móbiles nacionais que non son compatibles coas solucións EMM occidentais.
Todo isto adoita levar ao feito de que, en lugar dunha solución centralizada para xestionar a mobilidade empresarial, úsase un zoolóxico variado de sistemas EMM, MDM e MAM, cada un dos cales é mantido polo seu propio persoal segundo regras únicas.
Cales son as características en Rusia?
En Rusia, como en calquera outro país, existe unha lexislación nacional sobre protección da información, que non cambia dependendo da situación epidemiolóxica. Así, os sistemas de información gobernamentais (GIS) deben utilizar medidas de seguridade certificadas segundo os requisitos de seguridade. Para cumprir este requisito, os dispositivos que acceden a datos SIX deben ser xestionados por solucións EMM certificadas, que inclúen o noso produto SafePhone.
Longo e pouco claro? En realidade non
As ferramentas de nivel empresarial como EMM adoitan asociarse cunha implementación lenta e un longo tempo de preprodución. Agora simplemente non hai tempo para iso: as restricións debido ao virus estanse introducindo rapidamente, polo que non hai tempo para adaptarse ao traballo remoto.
Na nosa experiencia, e levamos en marcha moitos proxectos para implantar SafePhone en empresas de varios tamaños, aínda que teñan implantación local, a solución pódese lanzar nunha semana (sen contar o tempo para acordar e asinar contratos). Os empregados normais poderán utilizar o sistema nun prazo de 1 a 2 días despois da implantación. Si, para a configuración flexible do produto é necesario formar administradores, pero a formación pódese realizar en paralelo ao inicio da operación do sistema.
Para non perder tempo na instalación na infraestrutura do cliente, ofrecemos aos nosos clientes un servizo SaaS na nube para a xestión remota de dispositivos móbiles mediante SafePhone. Ademais, prestamos este servizo desde o noso propio centro de datos, certificado para cumprir os máximos requisitos para os sistemas de información GIS e de datos persoais.
Como contribución á loita contra o coronavirus, o Instituto de Investigación SOKB conecta as pequenas e medianas empresas ao servidor de forma gratuíta para garantir a operación segura dos empregados que traballan a distancia.
Fonte: www.habr.com