Peste noapte, munca la distanță a devenit un format popular și necesar. Toate din cauza COVID-19. Noi măsuri de prevenire a infecției apar în fiecare zi. Temperaturile sunt măsurate în birouri, iar unele companii, inclusiv cele mari, transferă lucrătorii la lucru la distanță pentru a reduce pierderile din timpul nefuncționării și concediile medicale. Și în acest sens, sectorul IT, cu experiența sa de lucru cu echipe distribuite, este un câștigător.
Noi, cei de la Institutul de Cercetare Științifică SOKB, organizăm de câțiva ani accesul la distanță la datele corporative de pe dispozitive mobile și știm că munca de la distanță nu este o problemă ușoară. Mai jos vă vom spune cum soluțiile noastre vă ajută să gestionați în siguranță dispozitivele mobile ale angajaților și de ce acest lucru este important pentru lucrul de la distanță.
De ce are nevoie un angajat pentru a lucra de la distanță?
Un set obișnuit de servicii la care trebuie să oferiți acces la distanță pentru o muncă cu drepturi depline sunt serviciile de comunicare (e-mail, mesagerie instantanee), resursele web (diverse portaluri, de exemplu, un service desk sau un sistem de management de proiect) și fișiere. (sisteme electronice de gestionare a documentelor, control al versiunilor și așa mai departe.).
Nu ne putem aștepta ca amenințările de securitate să aștepte până când vom termina lupta cu coronavirusul. Când lucrați de la distanță, există reguli de siguranță care trebuie respectate chiar și în timpul unei pandemii.
Informațiile importante pentru afaceri nu pot fi pur și simplu trimise către e-mailul personal al unui angajat, astfel încât acesta să le poată citi și procesa cu ușurință pe smartphone-ul său personal. Un smartphone poate fi pierdut, aplicații care fură informații pot fi instalate pe el și, în final, poate fi jucat de copii care stau acasă toți din cauza aceluiași virus. Deci, cu cât datele cu care lucrează un angajat sunt mai importante, cu atât mai bine trebuie protejate. Și protecția dispozitivelor mobile nu ar trebui să fie mai proastă decât cea a celor staționare.
De ce antivirusul și VPN nu sunt suficiente?
Pentru stațiile de lucru staționare și laptopurile care rulează sistemul de operare Windows, instalarea unui antivirus este o măsură justificată și necesară. Dar pentru dispozitivele mobile - nu întotdeauna.
Arhitectura dispozitivelor Apple împiedică comunicarea între aplicații. Acest lucru limitează posibilul domeniu de aplicare al consecințelor software-ului infectat: dacă o vulnerabilitate dintr-un client de e-mail este exploatată, atunci acțiunile nu pot depăși acel client de e-mail. În același timp, această politică reduce eficiența antivirusurilor. Nu va mai fi posibilă verificarea automată a unui fișier primit prin poștă.
Pe platforma Android, atât virușii, cât și antivirusurile au mai multe perspective. Dar se pune problema oportunității. Pentru a instala malware din magazinul de aplicații, va trebui să acordați manual multe permisiuni. Atacatorii obțin drepturi de acces numai de la acei utilizatori care permit aplicațiilor totul. În practică, este suficient să interziceți utilizatorilor să instaleze aplicații din surse necunoscute, astfel încât „pastilele” pentru aplicațiile plătite instalate gratuit să nu „trateze” secretele corporative din confidențialitate. Dar această măsură depășește funcțiile antivirus și VPN.
În plus, VPN și antivirus nu vor putea controla modul în care se comportă utilizatorul. Logica impune ca pe dispozitivul utilizatorului să fie setată cel puțin o parolă (ca protecție împotriva pierderii). Dar prezența unei parole și fiabilitatea acesteia depind doar de conștiința utilizatorului, pe care compania nu o poate influența în niciun fel.
Desigur, există metode administrative. De exemplu, documente interne conform cărora angajații vor fi personal responsabili pentru absența parolelor pe dispozitive, instalarea aplicațiilor din surse nesigure etc. Puteți chiar să forțați toți angajații să semneze o fișă de post modificată care să conțină aceste puncte înainte de a merge la muncă de la distanță. . Dar să recunoaștem: compania nu va putea verifica modul în care aceste instrucțiuni sunt implementate în practică. Ea va fi ocupată cu restructurarea urgentă a principalelor procese, în timp ce angajații, în ciuda politicilor implementate, vor copia documentele confidențiale pe Google Drive personal și vor deschide accesul la acestea printr-un link, deoarece este mai convenabil să lucreze împreună la document.
Prin urmare, munca bruscă de la distanță a biroului este un test al stabilității companiei.
Managementul mobilității întreprinderii
Din punct de vedere al securității informațiilor, dispozitivele mobile reprezintă o amenințare și un potențial gol în sistemul de securitate. Soluțiile de clasă EMM (gestionarea mobilității întreprinderilor) sunt concepute pentru a reduce acest decalaj.
Managementul mobilității întreprinderii (EMM) include funcții pentru gestionarea dispozitivelor (MDM, managementul dispozitivelor mobile), aplicațiile acestora (MAM, managementul aplicațiilor mobile) și conținutul (MCM, managementul conținutului mobil).
MDM este un „stick” necesar. Folosind funcțiile MDM, administratorul poate reseta sau bloca dispozitivul dacă acesta este pierdut, poate configura politici de securitate: prezența și complexitatea unei parole, interzicerea funcțiilor de depanare, instalarea aplicațiilor din apk etc. Aceste caracteristici de bază sunt acceptate pe dispozitivele mobile de toate producători și platforme. Setări mai subtile, de exemplu, interzicerea instalării de recuperări personalizate, sunt disponibile numai pe dispozitivele de la anumiți producători.
MAM și MCM sunt „morcovul” sub formă de aplicații și servicii la care oferă acces. Cu suficientă securitate MDM, puteți oferi acces securizat de la distanță la resursele corporative folosind aplicații instalate pe dispozitivele mobile.
La prima vedere, se pare că gestionarea aplicațiilor este o sarcină pur IT care se reduce la operațiuni de bază, cum ar fi „instalați o aplicație, configurați o aplicație, actualizați o aplicație la o versiune nouă sau reveniți la una anterioară”. De fapt, există și securitate aici. Este necesar nu numai să instalați și să configurați aplicațiile necesare funcționării pe dispozitive, ci și să protejați datele corporative de a fi încărcate într-un Dropbox personal sau Yandex.Disk.
Pentru a separa corporative și personale, sistemele moderne EMM oferă crearea unui container pe dispozitiv pentru aplicațiile corporative și datele acestora. Utilizatorul nu poate elimina neautorizat date din container, astfel încât serviciul de securitate nu trebuie să interzică utilizarea „personală” a dispozitivului mobil. Dimpotrivă, acest lucru este benefic pentru afaceri. Cu cât utilizatorul își înțelege mai mult dispozitivul, cu atât mai eficient va folosi instrumentele de lucru.
Să revenim la sarcinile IT. Există două sarcini care nu pot fi rezolvate fără EMM: anularea versiunii unei aplicații și configurarea de la distanță. Este necesară o retragere atunci când noua versiune a aplicației nu se potrivește utilizatorilor - are erori grave sau este pur și simplu incomod. În cazul aplicațiilor de pe Google Play și App Store, rollback-ul nu este posibil - doar cea mai recentă versiune a aplicației este întotdeauna disponibilă în magazin. Cu o dezvoltare internă activă, versiunile pot fi lansate aproape în fiecare zi și nu toate se dovedesc a fi stabile.
Configurarea aplicației de la distanță poate fi implementată fără EMM. De exemplu, faceți diferite versiuni ale aplicației pentru diferite adrese de server sau salvați un fișier cu setări în memoria publică a telefonului pentru a-l schimba manual ulterior. Toate acestea se întâmplă, dar cu greu pot fi numite cele mai bune practici. La rândul lor, Apple și Google oferă abordări standardizate pentru rezolvarea acestei probleme. Dezvoltatorul trebuie să încorporeze mecanismul necesar o singură dată, iar aplicația va putea configura orice EMM.
Am cumpărat o gradină zoologică!
Nu toate cazurile de utilizare a dispozitivelor mobile sunt create egale. Diferitele categorii de utilizatori au sarcini diferite și trebuie rezolvate în felul lor. Dezvoltatorul și finanțatorul au nevoie de seturi specifice de aplicații și poate de seturi de politici de securitate din cauza sensibilității diferite a datelor cu care lucrează.
Nu este întotdeauna posibil să se limiteze numărul de modele și producători de dispozitive mobile. Pe de o parte, se dovedește a fi mai ieftin să faci un standard corporativ pentru dispozitivele mobile decât să înțelegi diferențele dintre Android de la diferiți producători și caracteristicile de afișare a interfeței de utilizare mobilă pe ecrane cu diagonale diferite. Pe de altă parte, achiziționarea de dispozitive corporative în timpul pandemiei devine mai dificilă, iar companiile trebuie să permită utilizarea dispozitivelor personale. Situația din Rusia este agravată și mai mult de prezența platformelor mobile naționale care nu sunt susținute de soluțiile EMM occidentale.
Toate acestea duc adesea la faptul că, în loc de o soluție centralizată pentru gestionarea mobilității întreprinderii, este operată o grădină zoologică pestriță de sisteme EMM, MDM și MAM, fiecare dintre acestea fiind întreținută de propriul personal în conformitate cu reguli unice.
Care sunt caracteristicile Rusiei?
În Rusia, ca în orice altă țară, există o legislație națională privind protecția informațiilor, care nu se modifică în funcție de situația epidemiologică. Astfel, sistemele informaționale guvernamentale (GIS) trebuie să utilizeze măsuri de securitate certificate conform cerințelor de securitate. Pentru a îndeplini această cerință, dispozitivele care accesează date GIS trebuie gestionate de soluții EMM certificate, care includ produsul nostru SafePhone.
Lung și neclar? Nu chiar
Instrumentele de nivel enterprise, cum ar fi EMM, sunt adesea asociate cu implementarea lentă și cu un timp lung de pre-producție. Acum pur și simplu nu mai este timp pentru asta - restricțiile din cauza virusului sunt introduse rapid, așa că nu există timp pentru a te adapta la munca de la distanță.
Din experiența noastră, și am implementat multe proiecte de implementare a SafePhone în companii de diferite dimensiuni, chiar și cu implementare locală, soluția poate fi lansată într-o săptămână (fără a socoti timpul pentru acordarea și semnarea contractelor). Angajații obișnuiți vor putea folosi sistemul în 1-2 zile de la implementare. Da, pentru configurarea flexibilă a produsului este necesară instruirea administratorilor, dar instruirea poate fi efectuată în paralel cu punerea în funcțiune a sistemului.
Pentru a nu pierde timp cu instalarea în infrastructura clientului, oferim clienților noștri un serviciu cloud SaaS pentru gestionarea de la distanță a dispozitivelor mobile folosind SafePhone. Mai mult, oferim acest serviciu din propriul nostru centru de date, certificat pentru a îndeplini cerințele maxime pentru sistemele GIS și de informații cu date personale.
Ca o contribuție la lupta împotriva coronavirusului, Institutul de Cercetare SOKB conectează întreprinderile mici și mijlocii la server gratuit. pentru a asigura funcționarea în siguranță a angajaților care lucrează de la distanță.
Sursa: www.habr.com