Dalam semalam, pekerjaan jarak jauh telah menjadi format yang populer dan diperlukan. Semua karena COVID-19. Langkah-langkah baru untuk mencegah infeksi muncul setiap hari. Suhu diukur di kantor-kantor, dan beberapa perusahaan, termasuk perusahaan besar, memindahkan pekerjanya ke pekerjaan jarak jauh untuk mengurangi kerugian akibat waktu henti dan cuti sakit. Dan dalam hal ini, sektor TI, dengan pengalaman bekerja dengan tim terdistribusi, adalah pemenangnya.
Kami di Lembaga Penelitian Ilmiah SOKB telah mengatur akses jarak jauh ke data perusahaan dari perangkat seluler selama beberapa tahun dan kami tahu bahwa pekerjaan jarak jauh bukanlah masalah yang mudah. Di bawah ini kami akan memberi tahu Anda bagaimana solusi kami membantu Anda mengelola perangkat seluler karyawan dengan aman dan mengapa hal ini penting untuk pekerjaan jarak jauh.
Apa yang dibutuhkan seorang karyawan untuk bekerja dari jarak jauh?
Serangkaian layanan umum yang perlu Anda sediakan akses jarak jauh untuk pekerjaan penuh adalah layanan komunikasi (email, pesan instan), sumber daya web (berbagai portal, misalnya, meja layanan atau sistem manajemen proyek) dan file (sistem manajemen dokumen elektronik, kontrol versi, dan sebagainya.).
Kita tidak bisa mengharapkan ancaman keamanan menunggu sampai kita selesai memerangi virus corona. Saat bekerja jarak jauh, ada aturan keselamatan yang harus dipatuhi bahkan di masa pandemi.
Informasi penting bisnis tidak bisa begitu saja dikirimkan ke email pribadi karyawan sehingga ia dapat dengan mudah membaca dan mengolahnya di ponsel pintar pribadinya. Sebuah smartphone bisa hilang, aplikasi pencuri informasi bisa terinstall di dalamnya, dan ujung-ujungnya bisa dimainkan oleh anak-anak yang duduk di rumah semua karena virus yang sama. Jadi, semakin penting data yang digunakan oleh seorang karyawan, semakin baik pula data tersebut perlu dilindungi. Dan perlindungan perangkat seluler seharusnya tidak lebih buruk dari perangkat stasioner.
Mengapa antivirus dan VPN saja tidak cukup?
Untuk workstation stasioner dan laptop yang menjalankan OS Windows, menginstal antivirus adalah tindakan yang dibenarkan dan perlu. Namun untuk perangkat seluler - tidak selalu.
Arsitektur perangkat Apple mencegah komunikasi antar aplikasi. Hal ini membatasi kemungkinan dampak dari perangkat lunak yang terinfeksi: jika kerentanan dalam klien email dieksploitasi, maka tindakan tidak dapat melampaui klien email tersebut. Pada saat yang sama, kebijakan ini mengurangi efektivitas antivirus. Tidak mungkin lagi memeriksa file yang diterima melalui surat secara otomatis.
Di platform Android, baik virus maupun antivirus memiliki prospek lebih besar. Namun pertanyaan tentang kemanfaatan masih muncul. Untuk menginstal malware dari app store, Anda harus memberikan banyak izin secara manual. Penyerang mendapatkan hak akses hanya dari pengguna yang mengizinkan aplikasi segalanya. Dalam praktiknya, cukup dengan melarang pengguna menginstal aplikasi dari sumber yang tidak dikenal sehingga “pil” untuk aplikasi berbayar yang diinstal secara gratis tidak “mengobati” rahasia perusahaan dari kerahasiaan. Namun tindakan ini melampaui fungsi antivirus dan VPN.
Selain itu, VPN dan antivirus tidak akan dapat mengontrol perilaku pengguna. Logikanya menyatakan bahwa setidaknya kata sandi harus ditetapkan pada perangkat pengguna (sebagai perlindungan terhadap kehilangan). Namun keberadaan kata sandi dan keandalannya hanya bergantung pada kesadaran pengguna, yang tidak dapat dipengaruhi oleh perusahaan dengan cara apa pun.
Tentu saja ada cara administratifnya. Misalnya, dokumen internal yang menurutnya karyawan akan bertanggung jawab secara pribadi atas tidak adanya kata sandi pada perangkat, pemasangan aplikasi dari sumber yang tidak tepercaya, dll. Anda bahkan dapat memaksa semua karyawan untuk menandatangani deskripsi pekerjaan yang dimodifikasi yang berisi poin-poin ini sebelum mulai bekerja dari jarak jauh . Namun jujur saja: perusahaan tidak akan dapat memeriksa bagaimana instruksi ini diterapkan dalam praktiknya. Dia akan sibuk segera merestrukturisasi proses utama, sementara karyawan, terlepas dari kebijakan yang diterapkan, akan menyalin dokumen rahasia ke Google Drive pribadi mereka dan membuka akses ke dokumen tersebut melalui tautan, karena lebih nyaman untuk bekerja sama dalam dokumen tersebut.
Oleh karena itu, pekerjaan kantor jarak jauh yang tiba-tiba merupakan ujian bagi stabilitas perusahaan.
Manajemen Mobilitas Perusahaan
Dari sudut pandang keamanan informasi, perangkat seluler merupakan ancaman dan potensi celah dalam sistem keamanan. Solusi kelas EMM (manajemen mobilitas perusahaan) dirancang untuk menutup kesenjangan ini.
Manajemen mobilitas perusahaan (EMM) mencakup fungsi untuk mengelola perangkat (MDM, manajemen perangkat seluler), aplikasinya (MAM, manajemen aplikasi seluler) dan konten (MCM, manajemen konten seluler).
MDM adalah "tongkat" yang diperlukan. Dengan menggunakan fungsi MDM, administrator dapat mengatur ulang atau memblokir perangkat jika hilang, mengonfigurasi kebijakan keamanan: keberadaan dan kerumitan kata sandi, melarang fungsi debugging, menginstal aplikasi dari apk, dll. Fitur dasar ini didukung di semua perangkat seluler produsen dan platform. Pengaturan yang lebih halus, misalnya, melarang instalasi pemulihan khusus, hanya tersedia pada perangkat dari produsen tertentu.
MAM dan MCM adalah “wortel” dalam bentuk aplikasi dan layanan yang aksesnya disediakan. Dengan keamanan MDM yang memadai, Anda dapat memberikan akses jarak jauh yang aman ke sumber daya perusahaan menggunakan aplikasi yang diinstal pada perangkat seluler.
Pada pandangan pertama, tampaknya manajemen aplikasi hanyalah tugas TI yang mencakup operasi dasar seperti “menginstal aplikasi, mengkonfigurasi aplikasi, memperbarui aplikasi ke versi baru, atau mengembalikannya ke versi sebelumnya.” Faktanya, ada keamanan di sini juga. Penting tidak hanya untuk menginstal dan mengkonfigurasi aplikasi yang diperlukan untuk pengoperasian pada perangkat, tetapi juga untuk melindungi data perusahaan agar tidak diunggah ke Dropbox pribadi atau Yandex.Disk.
Untuk memisahkan perusahaan dan pribadi, sistem EMM modern menawarkan pembuatan wadah pada perangkat untuk aplikasi perusahaan dan datanya. Pengguna tidak dapat menghapus data dari wadah secara tidak sah, sehingga layanan keamanan tidak perlu melarang penggunaan perangkat seluler secara “pribadi”. Sebaliknya, hal ini menguntungkan bisnis. Semakin pengguna memahami perangkatnya, semakin efektif dia menggunakan alat kerja tersebut.
Mari kembali ke tugas TI. Ada dua tugas yang tidak dapat diselesaikan tanpa EMM: mengembalikan versi aplikasi dan mengonfigurasinya dari jarak jauh. Rollback diperlukan ketika versi baru aplikasi tidak sesuai dengan pengguna - aplikasi tersebut memiliki kesalahan serius atau tidak nyaman. Dalam hal aplikasi di Google Play dan App Store, rollback tidak dapat dilakukan - hanya aplikasi versi terbaru yang selalu tersedia di toko. Dengan pengembangan internal yang aktif, versi dapat dirilis hampir setiap hari, dan tidak semuanya stabil.
Konfigurasi aplikasi jarak jauh dapat diimplementasikan tanpa EMM. Misalnya, membuat versi aplikasi yang berbeda untuk alamat server yang berbeda atau menyimpan file dengan pengaturan di memori publik telepon untuk mengubahnya secara manual nanti. Semua ini terjadi, namun sulit disebut sebagai praktik terbaik. Pada gilirannya, Apple dan Google menawarkan pendekatan standar untuk memecahkan masalah ini. Pengembang hanya perlu menyematkan mekanisme yang diperlukan satu kali, dan aplikasi akan dapat mengonfigurasi EMM apa pun.
Kami membeli kebun binatang!
Tidak semua kasus penggunaan perangkat seluler diciptakan sama. Kategori pengguna yang berbeda memiliki tugas yang berbeda, dan tugas tersebut harus diselesaikan dengan caranya sendiri. Pengembang dan pemodal memerlukan serangkaian aplikasi tertentu dan mungkin serangkaian kebijakan keamanan karena perbedaan sensitivitas data yang mereka gunakan.
Tidak selalu mungkin membatasi jumlah model dan produsen perangkat seluler. Di satu sisi, membuat standar korporat untuk perangkat seluler ternyata lebih murah daripada memahami perbedaan antara Android dari produsen berbeda dan fitur menampilkan UI seluler pada layar dengan diagonal berbeda. Di sisi lain, pembelian perangkat perusahaan selama pandemi menjadi lebih sulit dan perusahaan harus mengizinkan penggunaan perangkat pribadi. Situasi di Rusia semakin diperparah dengan hadirnya platform seluler nasional yang tidak didukung oleh solusi EMM Barat.
Semua ini sering kali mengarah pada fakta bahwa alih-alih satu solusi terpusat untuk mengelola mobilitas perusahaan, yang dioperasikan adalah kebun binatang yang terdiri dari berbagai sistem EMM, MDM, dan MAM, yang masing-masing dikelola oleh stafnya sendiri sesuai dengan aturan unik.
Apa saja keistimewaan di Rusia?
Di Rusia, seperti di negara lain, terdapat undang-undang nasional tentang perlindungan informasi, yang tidak berubah tergantung pada situasi epidemiologi. Oleh karena itu, sistem informasi pemerintah (GIS) harus menggunakan langkah-langkah keamanan yang disertifikasi sesuai dengan persyaratan keamanan. Untuk memenuhi persyaratan ini, perangkat yang mengakses data GIS harus dikelola oleh solusi EMM bersertifikat, termasuk produk SafePhone kami.
Panjang dan tidak jelas? Tidak terlalu
Alat tingkat perusahaan seperti EMM sering dikaitkan dengan implementasi yang lambat dan waktu praproduksi yang lama. Sekarang tidak ada waktu untuk melakukan hal ini - pembatasan akibat virus diberlakukan dengan cepat, sehingga tidak ada waktu untuk beradaptasi dengan pekerjaan jarak jauh.
Berdasarkan pengalaman kami, dan kami telah mengimplementasikan banyak proyek untuk mengimplementasikan SafePhone di perusahaan dengan berbagai ukuran, bahkan dengan penerapan lokal, solusinya dapat diluncurkan dalam seminggu (tidak termasuk waktu untuk menyetujui dan menandatangani kontrak). Karyawan biasa akan dapat menggunakan sistem ini dalam waktu 1–2 hari setelah penerapan. Ya, untuk konfigurasi produk yang fleksibel, administrator perlu dilatih, tetapi pelatihan dapat dilakukan secara paralel dengan dimulainya pengoperasian sistem.
Agar tidak membuang waktu pada instalasi di infrastruktur pelanggan, kami menawarkan layanan cloud SaaS kepada pelanggan kami untuk manajemen jarak jauh perangkat seluler menggunakan SafePhone. Selain itu, kami menyediakan layanan ini dari pusat data kami sendiri, yang disertifikasi untuk memenuhi persyaratan maksimum untuk GIS dan sistem informasi data pribadi.
Sebagai kontribusi dalam memerangi virus corona, SOKB Research Institute menghubungkan usaha kecil dan menengah ke server secara gratis untuk memastikan pengoperasian yang aman bagi karyawan yang bekerja dari jarak jauh.
Sumber: www.habr.com