Semalaman, kerja jauh telah menjadi format yang popular dan perlu. Semuanya disebabkan COVID-19. Langkah-langkah baru untuk mencegah jangkitan muncul setiap hari. Suhu sedang diukur di pejabat, dan beberapa syarikat, termasuk yang besar, memindahkan pekerja ke kerja jauh untuk mengurangkan kerugian akibat waktu henti dan cuti sakit. Dan dalam pengertian ini, sektor IT, dengan pengalamannya bekerja dengan pasukan yang diedarkan, adalah pemenang.
Kami di Institut Penyelidikan Saintifik SOKB telah mengatur akses jauh kepada data korporat daripada peranti mudah alih selama beberapa tahun dan kami tahu bahawa kerja jauh bukanlah satu isu yang mudah. Di bawah kami akan memberitahu anda cara penyelesaian kami membantu anda mengurus peranti mudah alih pekerja dengan selamat dan sebab ini penting untuk kerja jauh.
Apakah yang diperlukan oleh pekerja untuk bekerja dari jauh?
Satu set perkhidmatan biasa yang anda perlukan untuk menyediakan akses jauh untuk kerja sepenuhnya ialah perkhidmatan komunikasi (e-mel, penghantar segera), sumber web (pelbagai portal, contohnya, meja perkhidmatan atau sistem pengurusan projek) dan fail (sistem pengurusan dokumen elektronik, kawalan versi dan sebagainya.).
Kita tidak boleh mengharapkan ancaman keselamatan menunggu sehingga kita selesai memerangi coronavirus. Apabila bekerja dari jauh, terdapat peraturan keselamatan yang mesti dipatuhi walaupun semasa wabak.
Maklumat penting perniagaan tidak boleh hanya dihantar ke e-mel peribadi pekerja supaya dia boleh membaca dan memprosesnya dengan mudah pada telefon pintar peribadinya. Telefon pintar boleh hilang, aplikasi yang mencuri maklumat boleh dipasang padanya, dan, pada akhirnya, ia boleh dimainkan oleh kanak-kanak yang duduk di rumah semuanya kerana virus yang sama. Jadi lebih penting data yang digunakan oleh pekerja, lebih baik ia perlu dilindungi. Dan perlindungan peranti mudah alih sepatutnya tidak lebih buruk daripada peranti pegun.
Mengapa antivirus dan VPN tidak mencukupi?
Untuk stesen kerja dan komputer riba pegun yang menjalankan OS Windows, memasang antivirus adalah langkah yang wajar dan perlu. Tetapi untuk peranti mudah alih - tidak selalu.
Seni bina peranti Apple menghalang komunikasi antara aplikasi. Ini mengehadkan skop kemungkinan akibat perisian yang dijangkiti: jika kelemahan dalam klien e-mel dieksploitasi, maka tindakan tidak boleh melangkaui klien e-mel tersebut. Pada masa yang sama, dasar ini mengurangkan keberkesanan antivirus. Ia tidak lagi boleh menyemak fail yang diterima melalui mel secara automatik.
Pada platform Android, kedua-dua virus dan antivirus mempunyai lebih banyak prospek. Tetapi persoalan kesesuaian masih timbul. Untuk memasang perisian hasad daripada gedung aplikasi, anda perlu memberikan banyak kebenaran secara manual. Penyerang memperoleh hak akses hanya daripada pengguna yang membenarkan aplikasi segala-galanya. Dalam amalan, sudah cukup untuk melarang pengguna memasang aplikasi daripada sumber yang tidak diketahui supaya "pil" untuk aplikasi berbayar yang dipasang secara percuma tidak "menyembuhkan" rahsia korporat daripada kerahsiaan. Tetapi langkah ini melangkaui fungsi antivirus dan VPN.
Selain itu, VPN dan antivirus tidak akan dapat mengawal tingkah laku pengguna. Logik menetapkan bahawa sekurang-kurangnya kata laluan harus ditetapkan pada peranti pengguna (sebagai perlindungan daripada kehilangan). Tetapi kehadiran kata laluan dan kebolehpercayaannya hanya bergantung pada kesedaran pengguna, yang mana syarikat tidak boleh mempengaruhi dalam apa cara sekalipun.
Sudah tentu, terdapat kaedah pentadbiran. Sebagai contoh, dokumen dalaman yang mana pekerja akan bertanggungjawab secara peribadi untuk ketiadaan kata laluan pada peranti, pemasangan aplikasi daripada sumber yang tidak dipercayai, dll. Anda juga boleh memaksa semua pekerja menandatangani perihalan kerja yang diubah suai yang mengandungi perkara ini sebelum pergi bekerja dari jauh . Tetapi mari kita hadapi: syarikat tidak akan dapat menyemak bagaimana arahan ini dilaksanakan dalam amalan. Dia akan sibuk dengan segera menyusun semula proses utama, manakala pekerja, walaupun dasar yang dilaksanakan, akan menyalin dokumen sulit ke Google Drive peribadi mereka dan membuka akses kepada mereka melalui pautan, kerana lebih mudah untuk bekerja bersama pada dokumen itu.
Oleh itu, kerja jauh secara tiba-tiba di pejabat adalah ujian kestabilan syarikat.
Pengurusan Mobiliti Perusahaan
Dari sudut keselamatan maklumat, peranti mudah alih adalah ancaman dan potensi jurang dalam sistem keselamatan. Penyelesaian kelas EMM (pengurusan mobiliti perusahaan) direka untuk merapatkan jurang ini.
Pengurusan mobiliti perusahaan (EMM) termasuk fungsi untuk mengurus peranti (MDM, pengurusan peranti mudah alih), aplikasinya (MAM, pengurusan aplikasi mudah alih) dan kandungan (MCM, pengurusan kandungan mudah alih).
MDM ialah "tongkat" yang diperlukan. Menggunakan fungsi MDM, pentadbir boleh menetapkan semula atau menyekat peranti jika ia hilang, mengkonfigurasi dasar keselamatan: kehadiran dan kerumitan kata laluan, melarang fungsi penyahpepijatan, memasang aplikasi daripada apk, dll. Ciri asas ini disokong pada peranti mudah alih semua pengeluar dan platform. Tetapan yang lebih halus, contohnya, melarang pemasangan pemulihan tersuai, hanya tersedia pada peranti daripada pengeluar tertentu.
MAM dan MCM adalah "lobak merah" dalam bentuk aplikasi dan perkhidmatan yang mereka berikan akses. Dengan keselamatan MDM yang mencukupi, anda boleh menyediakan akses jauh yang selamat kepada sumber korporat menggunakan aplikasi yang dipasang pada peranti mudah alih.
Pada pandangan pertama, nampaknya pengurusan aplikasi adalah tugas IT semata-mata yang melibatkan operasi asas seperti "memasang aplikasi, mengkonfigurasi aplikasi, mengemas kini aplikasi kepada versi baharu atau melancarkannya semula kepada yang sebelumnya." Malah, terdapat keselamatan di sini juga. Ia adalah perlu bukan sahaja untuk memasang dan mengkonfigurasi aplikasi yang diperlukan untuk operasi pada peranti, tetapi juga untuk melindungi data korporat daripada dimuat naik ke Dropbox peribadi atau Yandex.Disk.
Untuk memisahkan korporat dan peribadi, sistem EMM moden menawarkan untuk mencipta bekas pada peranti untuk aplikasi korporat dan datanya. Pengguna tidak boleh mengeluarkan data daripada bekas tanpa kebenaran, jadi perkhidmatan keselamatan tidak perlu melarang penggunaan "peribadi" peranti mudah alih itu. Sebaliknya, ini bermanfaat untuk perniagaan. Lebih banyak pengguna memahami perantinya, lebih berkesan dia akan menggunakan alatan kerja.
Mari kita kembali kepada tugas IT. Terdapat dua tugas yang tidak boleh diselesaikan tanpa EMM: melancarkan versi aplikasi dan mengkonfigurasinya dari jauh. Pemulihan semula diperlukan apabila versi baharu aplikasi tidak sesuai dengan pengguna - ia mempunyai ralat yang serius atau hanya menyusahkan. Dalam kes aplikasi di Google Play dan App Store, rollback tidak boleh dilakukan - hanya versi terkini aplikasi yang sentiasa tersedia di kedai. Dengan pembangunan dalaman yang aktif, versi boleh dikeluarkan hampir setiap hari, dan tidak semuanya berubah menjadi stabil.
Konfigurasi aplikasi jauh boleh dilaksanakan tanpa EMM. Contohnya, buat binaan aplikasi yang berbeza untuk alamat pelayan yang berbeza atau simpan fail dengan tetapan dalam ingatan awam telefon untuk menukarnya secara manual kemudian. Semua ini berlaku, tetapi ia tidak boleh dipanggil amalan terbaik. Sebaliknya, Apple dan Google menawarkan pendekatan piawai untuk menyelesaikan masalah ini. Pembangun hanya perlu membenamkan mekanisme yang diperlukan sekali, dan aplikasi akan dapat mengkonfigurasi mana-mana EMM.
Kami membeli zoo!
Tidak semua kes penggunaan peranti mudah alih dicipta sama. Kategori pengguna yang berbeza mempunyai tugas yang berbeza, dan mereka perlu diselesaikan dengan cara mereka sendiri. Pembangun dan pembiaya memerlukan set aplikasi tertentu dan mungkin set dasar keselamatan disebabkan oleh sensitiviti data yang berbeza yang digunakan oleh mereka.
Ia tidak selalu mungkin untuk mengehadkan bilangan model dan pengeluar peranti mudah alih. Di satu pihak, ternyata lebih murah untuk membuat standard korporat untuk peranti mudah alih daripada memahami perbezaan antara Android daripada pengeluar yang berbeza dan ciri memaparkan UI mudah alih pada skrin pepenjuru yang berbeza. Sebaliknya, membeli peranti korporat semasa wabak menjadi lebih sukar, dan syarikat perlu membenarkan penggunaan peranti peribadi. Keadaan di Rusia diburukkan lagi dengan kehadiran platform mudah alih nasional yang tidak disokong oleh penyelesaian EMM Barat.
Semua ini sering membawa kepada fakta bahawa bukannya satu penyelesaian terpusat untuk mengurus mobiliti perusahaan, zoo beraneka ragam sistem EMM, MDM dan MAM dikendalikan, yang setiap satunya diselenggara oleh kakitangannya sendiri mengikut peraturan unik.
Apakah ciri-ciri di Rusia?
Di Rusia, seperti di negara lain, terdapat undang-undang kebangsaan mengenai perlindungan maklumat, yang tidak berubah bergantung pada situasi epidemiologi. Oleh itu, sistem maklumat kerajaan (GIS) mesti menggunakan langkah keselamatan yang diperakui mengikut keperluan keselamatan. Untuk memenuhi keperluan ini, peranti yang mengakses data GIS mesti diuruskan oleh penyelesaian EMM yang diperakui, yang termasuk produk SafePhone kami.
Panjang dan tidak jelas? Tidak juga
Alat gred perusahaan seperti EMM sering dikaitkan dengan pelaksanaan yang perlahan dan masa pra-pengeluaran yang panjang. Sekarang tidak ada masa untuk ini - sekatan akibat virus sedang diperkenalkan dengan cepat, jadi tidak ada masa untuk menyesuaikan diri dengan kerja jauh.
Mengikut pengalaman kami, dan kami telah melaksanakan banyak projek untuk melaksanakan SafePhone dalam syarikat pelbagai saiz, walaupun dengan penggunaan tempatan, penyelesaian itu boleh dilancarkan dalam seminggu (tidak mengira masa untuk bersetuju dan menandatangani kontrak). Pekerja biasa akan dapat menggunakan sistem dalam masa 1–2 hari selepas pelaksanaan. Ya, untuk konfigurasi fleksibel produk adalah perlu untuk melatih pentadbir, tetapi latihan boleh dijalankan selari dengan permulaan operasi sistem.
Untuk tidak membuang masa pada pemasangan dalam infrastruktur pelanggan, kami menawarkan pelanggan kami perkhidmatan SaaS awan untuk pengurusan jauh peranti mudah alih menggunakan SafePhone. Selain itu, kami menyediakan perkhidmatan ini daripada pusat data kami sendiri, diperakui untuk memenuhi keperluan maksimum untuk GIS dan sistem maklumat data peribadi.
Sebagai sumbangan untuk memerangi coronavirus, Institut Penyelidikan SOKB menghubungkan perniagaan kecil dan sederhana ke pelayan secara percuma untuk memastikan operasi selamat pekerja yang bekerja dari jauh.
Sumber: www.habr.com