Per naktį nuotolinis darbas tapo populiariu ir reikalingu formatu. Viskas dėl COVID-19. Kasdien atsiranda naujų priemonių užkirsti kelią infekcijai. Biuruose matuojama temperatūra, o kai kurios įmonės, tarp jų ir didelės, perkelia darbuotojus dirbti nuotoliniu būdu, kad sumažintų nuostolius dėl prastovų ir nedarbingumo atostogų. Ir šia prasme IT sektorius, turintis darbo su paskirstytomis komandomis patirtį, yra nugalėtojas.
Mes, Mokslinių tyrimų institutas SOKB, jau keletą metų organizuojame nuotolinę prieigą prie įmonės duomenų iš mobiliųjų įrenginių ir žinome, kad nuotolinis darbas nėra lengvas dalykas. Žemiau papasakosime, kaip mūsų sprendimai padeda saugiai valdyti darbuotojų mobiliuosius įrenginius ir kodėl tai svarbu dirbant nuotoliniu būdu.
Ko reikia darbuotojui, norint dirbti nuotoliniu būdu?
Įprastas paslaugų rinkinys, prie kurio reikia suteikti nuotolinę prieigą, norint atlikti visavertį darbą, yra komunikacijos paslaugos (el. paštas, momentinių pranešimų programa), žiniatinklio ištekliai (įvairūs portalai, pavyzdžiui, aptarnavimo stalas ar projektų valdymo sistema) ir failai. (elektroninės dokumentų valdymo sistemos, versijų kontrolė ir pan.).
Negalime tikėtis, kad grėsmės saugumui lauks, kol baigsime kovą su koronavirusu. Dirbant nuotoliniu būdu, galioja saugos taisyklės, kurių privalu laikytis net pandemijos metu.
Verslui svarbi informacija negali būti tiesiog siunčiama darbuotojo asmeniniu el. paštu, kad jis galėtų lengvai ją perskaityti ir apdoroti savo asmeniniame išmaniajame telefone. Išmanusis telefonas gali būti pamestas, jame gali būti įdiegtos informaciją vagiančios programos, o galų gale dėl to paties viruso gali žaisti namuose sėdintys vaikai. Taigi kuo svarbesniais duomenimis darbuotojas dirba, tuo geriau juos reikia apsaugoti. O mobiliųjų įrenginių apsauga turėtų būti ne prastesnė nei stacionarių.
Kodėl neužtenka antivirusinės ir VPN?
Stacionariose darbo vietose ir nešiojamuosiuose kompiuteriuose, kuriuose veikia Windows OS, antivirusinės programos įdiegimas yra pagrįsta ir būtina priemonė. Tačiau mobiliesiems įrenginiams – ne visada.
Apple įrenginių architektūra neleidžia bendrauti tarp programų. Tai apriboja galimą užkrėstos programinės įrangos pasekmių apimtį: jei išnaudojamas el. pašto programos pažeidžiamumas, veiksmai negali viršyti šios el. pašto programos. Kartu ši politika mažina antivirusinių programų efektyvumą. Automatiškai patikrinti paštu gauto failo nebebus galima.
Android platformoje tiek virusai, tiek antivirusai turi daugiau perspektyvų. Tačiau vis tiek iškyla tikslingumo klausimas. Norėdami įdiegti kenkėjišką programą iš programų parduotuvės, turėsite rankiniu būdu suteikti daugybę leidimų. Užpuolikai prieigos teises gauna tik iš tų vartotojų, kurie leidžia programoms viską. Praktiškai pakanka uždrausti vartotojams diegti programas iš nežinomų šaltinių, kad laisvai įdiegtų mokamų programų „tabletės“ „neapdorotų“ įmonės paslapčių nuo konfidencialumo. Tačiau ši priemonė viršija antivirusinės ir VPN funkcijas.
Be to, VPN ir antivirusinė programa negalės kontroliuoti vartotojo elgesio. Logika reikalauja, kad vartotojo įrenginyje būtų nustatytas bent slaptažodis (kaip apsauga nuo praradimo). Tačiau slaptažodžio buvimas ir jo patikimumas priklauso tik nuo vartotojo sąmonės, kurios įmonė niekaip negali paveikti.
Žinoma, yra administracinių metodų. Pavyzdžiui, vidiniai dokumentai, pagal kuriuos darbuotojai bus asmeniškai atsakingi už slaptažodžių nebuvimą įrenginiuose, programų įdiegimą iš nepatikimų šaltinių ir pan. Jūs netgi galite priversti visus darbuotojus pasirašyti pakeistą pareigybės aprašymą, kuriame yra šie punktai prieš einant dirbti nuotoliniu būdu. . Tačiau pripažinkime: kaip šios instrukcijos įgyvendinamos praktiškai, įmonė negalės patikrinti. Ji bus užsiėmusi skubiai pertvarkydama pagrindinius procesus, o darbuotojai, nepaisydami įgyvendintų strategijų, kopijuos konfidencialius dokumentus į savo asmeninį „Google“ diską ir atvers prieigą prie jų per nuorodą, nes taip patogiau dirbti kartu su dokumentu.
Todėl staigus nuotolinis biuro darbas yra įmonės stabilumo išbandymas.
Įmonės mobilumo valdymas
Informacijos saugumo požiūriu mobilieji įrenginiai yra grėsmė ir galimas spragas saugumo sistemoje. EMM (įmonės mobilumo valdymo) klasės sprendimai yra sukurti siekiant užpildyti šią spragą.
Įmonių mobilumo valdymas (EMM) apima įrenginių (MDM, mobiliųjų įrenginių valdymas), jų taikomųjų programų (MAM, mobiliųjų aplikacijų valdymas) ir turinio (MCM, mobiliojo turinio valdymas) valdymo funkcijas.
MDM yra būtina „lazda“. Naudodamas MDM funkcijas, administratorius gali iš naujo nustatyti arba užblokuoti įrenginį, jei jis pamestas, sukonfigūruoti saugos politiką: slaptažodžio buvimą ir sudėtingumą, uždrausti derinimo funkcijas, diegti programas iš apk ir kt. Šios pagrindinės funkcijos palaikomos visų mobiliųjų įrenginių įrenginiuose. gamintojai ir platformos. Subtilesni nustatymai, pavyzdžiui, draudimas įdiegti pasirinktinius atkūrimus, galimi tik tam tikrų gamintojų įrenginiuose.
MAM ir MCM yra „morka“ programų ir paslaugų, prie kurių jie suteikia prieigą, forma. Įdiegę pakankamą MDM apsaugą, galite užtikrinti saugią nuotolinę prieigą prie įmonės išteklių naudodami mobiliuosiuose įrenginiuose įdiegtas programas.
Iš pirmo žvilgsnio atrodo, kad programų valdymas yra grynai IT užduotis, kurią sudaro pagrindinės operacijos, pvz., „įdiegti programą, sukonfigūruoti programą, atnaujinti programą į naują versiją arba grąžinti ją į ankstesnę“. Tiesą sakant, čia taip pat yra saugumas. Būtina ne tik įdiegti ir konfigūruoti programas, reikalingas darbui įrenginiuose, bet ir apsaugoti įmonės duomenis nuo įkėlimo į asmeninį Dropbox ar Yandex.Disk.
Norėdami atskirti įmonės ir asmenines, šiuolaikinės EMM sistemos siūlo įrenginyje sukurti konteinerį įmonių programoms ir jų duomenims. Vartotojas negali neteisėtai išimti duomenų iš konteinerio, todėl saugos tarnybai nereikia drausti „asmeniškai“ naudotis mobiliuoju įrenginiu. Atvirkščiai, tai naudinga verslui. Kuo geriau vartotojas supras savo įrenginį, tuo efektyviau naudosis darbo įrankiais.
Grįžkime prie IT užduočių. Yra dvi užduotys, kurių negalima išspręsti be EMM: programos versijos grąžinimas ir nuotolinis jos konfigūravimas. Atšaukti reikia, kai naujoji programos versija netinka vartotojams – joje yra rimtų klaidų arba ji tiesiog nepatogi. „Google Play“ ir „App Store“ programų atveju atšaukimas negalimas – parduotuvėje visada yra tik naujausia programos versija. Vykdant aktyvų vidinį kūrimą, versijos gali būti išleistos beveik kiekvieną dieną, ir ne visos jos pasirodo stabilios.
Nuotolinės programos konfigūracija gali būti įdiegta be EMM. Pavyzdžiui, sukurkite skirtingus programos versijų skirtingiems serverių adresams arba išsaugokite failą su nustatymais viešojoje telefono atmintyje, kad vėliau jį pakeistumėte rankiniu būdu. Visa tai vyksta, bet vargu ar tai galima pavadinti geriausia praktika. Savo ruožtu „Apple“ ir „Google“ siūlo standartizuotus šios problemos sprendimo būdus. Kūrėjas tik vieną kartą turi įterpti reikiamą mechanizmą, o programa galės sukonfigūruoti bet kurią EMM.
Nusipirkome zoologijos sodą!
Ne visi mobiliųjų įrenginių naudojimo atvejai yra vienodi. Skirtingų kategorijų naudotojai turi skirtingas užduotis ir jas reikia išspręsti savaip. Kūrėjams ir finansuotojams reikia konkrečių programų rinkinių ir galbūt saugos politikos rinkinių dėl skirtingo duomenų, su kuriais jie dirba, jautrumo.
Ne visada įmanoma apriboti mobiliųjų įrenginių modelių ir gamintojų skaičių. Viena vertus, pigiau yra sukurti įmonės standartą mobiliesiems įrenginiams, nei suprasti skirtumus tarp skirtingų gamintojų Android ir mobiliojo vartotojo sąsajos rodymo skirtingų įstrižainių ekranuose ypatybes. Kita vertus, įsigyti įmonių įrenginius pandemijos metu tampa sunkiau, o įmonės turi leisti naudoti asmeninius įrenginius. Padėtį Rusijoje dar labiau apsunkina nacionalinių mobiliųjų platformų, kurių nepalaiko Vakarų EMM sprendimai, buvimas.
Visa tai dažnai priveda prie to, kad vietoj vieno centralizuoto įmonės mobilumo valdymo sprendimo veikia margas EMM, MDM ir MAM sistemų zoologijos sodas, kurių kiekvieną pagal unikalias taisykles prižiūri savo darbuotojai.
Kokios savybės yra Rusijoje?
Rusijoje, kaip ir bet kurioje kitoje šalyje, galioja nacionaliniai informacijos apsaugos teisės aktai, kurie nesikeičia priklausomai nuo epidemiologinės situacijos. Taigi valstybinėse informacinėse sistemose (GIS) turi būti naudojamos saugumo priemonės, sertifikuotos pagal saugumo reikalavimus. Kad būtų laikomasi šio reikalavimo, įrenginiai, pasiekiantys GIS duomenis, turi būti tvarkomi naudojant sertifikuotus EMM sprendimus, įskaitant mūsų „SafePhone“ produktą.
Ilgas ir neaiškus? Ne visai
Įmonės lygio įrankiai, tokie kaip EMM, dažnai siejami su lėtu diegimu ir ilgu pasirengimo gamybai laiku. Dabar tam tiesiog nėra laiko – apribojimai dėl viruso įvedami sparčiai, tad prisitaikyti prie nuotolinio darbo nebelieka laiko.
Mūsų patirtis rodo, kad įgyvendinome daugybę projektų, skirtų SafePhone diegti įvairaus dydžio įmonėse, net ir su vietiniu diegimu, sprendimas gali būti paleistas per savaitę (neskaičiuojant sutarčių susitarimo ir pasirašymo laiko). Paprasti darbuotojai sistema galės naudotis per 1–2 dienas po įdiegimo. Taip, norint lanksčiai konfigūruoti gaminį, būtina apmokyti administratorius, tačiau mokymai gali būti vykdomi lygiagrečiai su sistemos veikimo pradžia.
Kad nebūtų gaištas laikas diegimui kliento infrastruktūroje, savo klientams siūlome debesies SaaS paslaugą, skirtą nuotoliniam mobiliųjų įrenginių valdymui naudojant SafePhone. Be to, šią paslaugą teikiame iš savo duomenų centro, sertifikuoto atitinkančio maksimalius GIS ir asmens duomenų informacinių sistemų reikalavimus.
Prisidėdamas prie kovos su koronavirusu, SOKB tyrimų institutas prie serverio nemokamai prijungia smulkųjį ir vidutinį verslą. užtikrinti saugią nuotoliniu būdu dirbančių darbuotojų veiklą.
Šaltinis: www.habr.com