Da noite para o dia, o trabalho remoto se tornou um formato popular e necessário. Tudo devido ao COVID-19. Novas medidas para prevenir a infecção aparecem a cada dia. As temperaturas estão a ser medidas nos escritórios e algumas empresas, incluindo as grandes, estão a transferir trabalhadores para trabalho remoto para reduzir perdas por tempo de inatividade e licenças médicas. E nesse sentido o setor de TI, com sua experiência de trabalho com equipes distribuídas, é um vencedor.
Nós, do Instituto de Pesquisa Científica SOKB, organizamos o acesso remoto a dados corporativos a partir de dispositivos móveis há vários anos e sabemos que o trabalho remoto não é uma tarefa fácil. A seguir, contaremos como nossas soluções ajudam você a gerenciar com segurança os dispositivos móveis dos funcionários e por que isso é importante para o trabalho remoto.
O que um funcionário precisa para trabalhar remotamente?
Um conjunto típico de serviços aos quais você precisa fornecer acesso remoto para um trabalho completo são serviços de comunicação (e-mail, mensagens instantâneas), recursos da web (vários portais, por exemplo, um service desk ou um sistema de gerenciamento de projetos) e arquivos (sistemas de gerenciamento eletrônico de documentos, controle de versão e assim por diante).
Não podemos esperar que as ameaças à segurança esperem até terminarmos a luta contra o coronavírus. Ao trabalhar remotamente, existem regras de segurança que devem ser seguidas mesmo durante uma pandemia.
Informações importantes para os negócios não podem simplesmente ser enviadas para o e-mail pessoal de um funcionário, para que ele possa lê-las e processá-las facilmente em seu smartphone pessoal. Um smartphone pode ser perdido, nele podem ser instalados aplicativos que roubam informações e, no final, pode ser jogado por crianças que ficam sentadas em casa, tudo por causa do mesmo vírus. Portanto, quanto mais importantes forem os dados com os quais um funcionário trabalha, melhor eles precisam ser protegidos. E a proteção dos dispositivos móveis não deve ser pior do que a dos fixos.
Por que antivírus e VPN não são suficientes?
Para estações de trabalho estacionárias e laptops com sistema operacional Windows, a instalação de um antivírus é uma medida justificada e necessária. Mas para dispositivos móveis nem sempre.
A arquitetura dos dispositivos Apple impede a comunicação entre aplicativos. Isto limita o possível alcance das consequências do software infectado: se uma vulnerabilidade num cliente de e-mail for explorada, as ações não poderão ir além desse cliente de e-mail. Ao mesmo tempo, esta política reduz a eficácia dos antivírus. Não será mais possível verificar automaticamente um arquivo recebido por correio.
Na plataforma Android, tanto os vírus quanto os antivírus têm mais perspectivas. Mas a questão da conveniência ainda surge. Para instalar malware da app store, você terá que conceder várias permissões manualmente. Os invasores obtêm direitos de acesso apenas dos usuários que permitem tudo aos aplicativos. Na prática, basta proibir os usuários de instalarem aplicativos de fontes desconhecidas para que “pílulas” de aplicativos pagos instalados gratuitamente não “tratem” segredos corporativos de confidencialidade. Mas esta medida vai além das funções de antivírus e VPN.
Além disso, VPN e antivírus não serão capazes de controlar o comportamento do usuário. A lógica determina que pelo menos uma senha deve ser definida no dispositivo do usuário (como proteção contra perda). Mas a presença de uma senha e sua confiabilidade dependem apenas da consciência do usuário, que a empresa não pode influenciar de forma alguma.
Claro, existem métodos administrativos. Por exemplo, documentos internos segundo os quais os funcionários serão pessoalmente responsáveis pela ausência de senhas nos dispositivos, instalação de aplicativos de fontes não confiáveis, etc. Você pode até forçar todos os funcionários a assinarem uma descrição de cargo modificada contendo esses pontos antes de irem trabalhar remotamente . Mas convenhamos: a empresa não poderá verificar como essas instruções são implementadas na prática. Ela estará ocupada reestruturando com urgência os principais processos, enquanto os funcionários, apesar das políticas implementadas, copiarão documentos confidenciais para seu Google Drive pessoal e abrirão o acesso a eles por meio de um link, pois é mais conveniente trabalhar em conjunto no documento.
Portanto, o repentino trabalho remoto do escritório é um teste à estabilidade da empresa.
Gestão de mobilidade empresarial
Do ponto de vista da segurança da informação, os dispositivos móveis são uma ameaça e uma potencial lacuna no sistema de segurança. As soluções de classe EMM (gerenciamento de mobilidade empresarial) são projetadas para preencher essa lacuna.
O gerenciamento de mobilidade empresarial (EMM) inclui funções para gerenciar dispositivos (MDM, gerenciamento de dispositivos móveis), seus aplicativos (MAM, gerenciamento de aplicativos móveis) e conteúdo (MCM, gerenciamento de conteúdo móvel).
O MDM é um “pau” necessário. Usando funções MDM, o administrador pode redefinir ou bloquear o dispositivo em caso de perda, configurar políticas de segurança: presença e complexidade de uma senha, proibir funções de depuração, instalação de aplicativos de apk, etc. fabricantes e plataformas. Configurações mais sutis, por exemplo, proibindo a instalação de recuperações personalizadas, estão disponíveis apenas em dispositivos de determinados fabricantes.
MAM e MCM são a “cenoura” na forma de aplicações e serviços aos quais dão acesso. Com segurança MDM suficiente, você pode fornecer acesso remoto seguro a recursos corporativos usando aplicativos instalados em dispositivos móveis.
À primeira vista, parece que o gerenciamento de aplicativos é uma tarefa puramente de TI que se resume a operações básicas como “instalar um aplicativo, configurar um aplicativo, atualizar um aplicativo para uma nova versão ou revertê-lo para uma versão anterior”. Na verdade, aqui também há segurança. É necessário não apenas instalar e configurar os aplicativos necessários ao funcionamento dos dispositivos, mas também proteger os dados corporativos de serem carregados em um Dropbox pessoal ou Yandex.Disk.
Para separar corporativos e pessoais, os sistemas EMM modernos oferecem a criação de um contêiner no dispositivo para aplicativos corporativos e seus dados. O usuário não pode remover dados do contêiner sem autorização, portanto o serviço de segurança não precisa proibir o uso “pessoal” do dispositivo móvel. Pelo contrário, isso é benéfico para os negócios. Quanto mais o usuário entender seu dispositivo, mais eficazmente ele utilizará as ferramentas de trabalho.
Voltemos às tarefas de TI. Existem duas tarefas que não podem ser resolvidas sem o EMM: reverter uma versão do aplicativo e configurá-lo remotamente. Uma reversão é necessária quando a nova versão do aplicativo não é adequada aos usuários - apresenta erros graves ou é simplesmente inconveniente. No caso de aplicativos do Google Play e da App Store, a reversão não é possível - apenas a versão mais recente do aplicativo está sempre disponível na loja. Com desenvolvimento interno ativo, versões podem ser lançadas quase todos os dias e nem todas são estáveis.
A configuração remota do aplicativo pode ser implementada sem EMM. Por exemplo, faça diferentes compilações do aplicativo para diferentes endereços de servidor ou salve um arquivo com as configurações na memória pública do telefone para alterá-lo manualmente posteriormente. Tudo isso ocorre, mas dificilmente pode ser chamado de melhor prática. Por sua vez, a Apple e o Google oferecem abordagens padronizadas para resolver este problema. O desenvolvedor só precisa incorporar o mecanismo necessário uma vez e o aplicativo poderá configurar qualquer EMM.
Nós compramos um Zoológico!
Nem todos os casos de uso de dispositivos móveis são criados iguais. Diferentes categorias de usuários têm tarefas diferentes e precisam ser resolvidas à sua maneira. O desenvolvedor e o financiador precisam de conjuntos específicos de aplicativos e talvez de conjuntos de políticas de segurança devido à diferente sensibilidade dos dados com os quais trabalham.
Nem sempre é possível limitar o número de modelos e fabricantes de dispositivos móveis. Por um lado, acaba sendo mais barato criar um padrão corporativo para dispositivos móveis do que entender as diferenças entre Android de diferentes fabricantes e os recursos de exibição da UI móvel em telas de diferentes diagonais. Por outro lado, a compra de dispositivos corporativos durante a pandemia torna-se mais difícil e as empresas têm de permitir a utilização de dispositivos pessoais. A situação na Rússia é ainda agravada pela presença de plataformas móveis nacionais que não são suportadas por soluções EMM ocidentais.
Tudo isto muitas vezes leva ao facto de que, em vez de uma solução centralizada para gerir a mobilidade empresarial, é operado um zoológico heterogéneo de sistemas EMM, MDM e MAM, cada um dos quais é mantido pelo seu próprio pessoal de acordo com regras únicas.
Quais são as características da Rússia?
Na Rússia, como em qualquer outro país, existe uma legislação nacional sobre proteção da informação, que não muda dependendo da situação epidemiológica. Assim, os sistemas de informação governamental (GIS) devem utilizar medidas de segurança certificadas de acordo com os requisitos de segurança. Para atender a esse requisito, os dispositivos que acessam dados GIS devem ser gerenciados por soluções EMM certificadas, que incluem nosso produto SafePhone.
Longo e pouco claro? Na verdade
Ferramentas de nível empresarial como EMM são frequentemente associadas a implementação lenta e longo tempo de pré-produção. Agora simplesmente não há tempo para isso - as restrições devido ao vírus estão sendo introduzidas rapidamente, então não há tempo para se adaptar ao trabalho remoto.
Pela nossa experiência, e já implementamos diversos projetos de implantação do SafePhone em empresas de diversos portes, mesmo com implantação local, a solução pode ser lançada em uma semana (sem contar o tempo de pactuação e assinatura de contratos). Os funcionários comuns poderão usar o sistema dentro de 1 a 2 dias após a implementação. Sim, para uma configuração flexível do produto é necessário treinar administradores, mas o treinamento pode ser realizado paralelamente ao início da operação do sistema.
Para não perder tempo com instalação na infraestrutura do cliente, oferecemos aos nossos clientes um serviço SaaS em nuvem para gerenciamento remoto de dispositivos móveis utilizando SafePhone. Além disso, prestamos este serviço a partir de um data center próprio, certificado para atender aos requisitos máximos de GIS e sistemas de informação de dados pessoais.
Como contribuição ao combate ao coronavírus, o Instituto de Pesquisa SOKB conecta gratuitamente pequenas e médias empresas ao servidor para garantir a operação segura dos funcionários que trabalham remotamente.
Fonte: habr.com