Magdamag, ang malayong trabaho ay naging isang popular at kinakailangang format. Lahat dahil sa COVID-19. Ang mga bagong hakbang upang maiwasan ang impeksyon ay lumalabas araw-araw. Ang mga temperatura ay sinusukat sa mga opisina, at ilang kumpanya, kabilang ang malalaking kumpanya, ay naglilipat ng mga manggagawa sa malayong trabaho upang mabawasan ang mga pagkalugi mula sa downtime at sick leave. At sa ganitong kahulugan, ang sektor ng IT, kasama ang karanasan nito sa pakikipagtulungan sa mga ipinamahagi na koponan, ay isang nagwagi.
Kami sa Scientific Research Institute SOKB ay nag-aayos ng malayuang pag-access sa corporate data mula sa mga mobile device sa loob ng ilang taon at alam namin na ang malayong trabaho ay hindi isang madaling isyu. Sa ibaba ay sasabihin namin sa iyo kung paano nakakatulong sa iyo ang aming mga solusyon na ligtas na pamahalaan ang mga mobile device ng empleyado at kung bakit ito mahalaga para sa malayong trabaho.
Ano ang kailangan ng isang empleyado upang magtrabaho nang malayuan?
Ang karaniwang hanay ng mga serbisyo kung saan kailangan mong magbigay ng malayuang pag-access para sa ganap na trabaho ay mga serbisyo sa komunikasyon (e-mail, instant messenger), mga mapagkukunan sa web (iba't ibang mga portal, halimbawa, isang service desk o isang sistema ng pamamahala ng proyekto) at mga file (mga sistema ng pamamahala ng elektronikong dokumento, kontrol sa bersyon at iba pa.).
Hindi natin maaasahan na maghihintay ang mga banta sa seguridad hanggang matapos nating labanan ang coronavirus. Kapag nagtatrabaho sa malayo, may mga panuntunan sa kaligtasan na dapat sundin kahit na sa panahon ng pandemya.
Ang impormasyong mahalaga sa negosyo ay hindi basta basta maipapadala sa personal na email ng isang empleyado para madali niyang mabasa at maproseso ito sa kanyang personal na smartphone. Ang isang smartphone ay maaaring mawala, ang mga application na nagnanakaw ng impormasyon ay maaaring mai-install dito, at, sa huli, maaari itong laruin ng mga bata na nakaupo sa bahay lahat dahil sa parehong virus. Kaya kung mas mahalaga ang data na ginagamit ng isang empleyado, mas mahusay itong kailangang protektahan. At ang proteksyon ng mga mobile device ay hindi dapat mas masama kaysa sa mga nakatigil.
Bakit hindi sapat ang antivirus at VPN?
Para sa mga nakatigil na workstation at laptop na tumatakbo sa Windows OS, ang pag-install ng antivirus ay isang makatwiran at kinakailangang hakbang. Ngunit para sa mga mobile device - hindi palaging.
Pinipigilan ng arkitektura ng mga aparatong Apple ang komunikasyon sa pagitan ng mga application. Nililimitahan nito ang posibleng saklaw ng mga kahihinatnan ng nahawaang software: kung ang isang kahinaan sa isang email client ay pinagsamantalahan, kung gayon ang mga aksyon ay hindi maaaring lumampas sa email client na iyon. Kasabay nito, binabawasan ng patakarang ito ang pagiging epektibo ng mga antivirus. Hindi na posible na awtomatikong suriin ang isang file na natanggap sa pamamagitan ng koreo.
Sa platform ng Android, ang parehong mga virus at antivirus ay may mas maraming prospect. Ngunit ang tanong ng pagiging angkop ay lumitaw pa rin. Upang mag-install ng malware mula sa app store, kakailanganin mong manu-manong magbigay ng maraming pahintulot. Ang mga umaatake ay nakakakuha lamang ng mga karapatan sa pag-access mula sa mga user na pinapayagan ang lahat ng mga application. Sa pagsasagawa, sapat na upang ipagbawal ang mga gumagamit na mag-install ng mga application mula sa hindi kilalang mga mapagkukunan upang ang "mga tabletas" para sa malayang naka-install na mga bayad na application ay hindi "gamutin" ang mga lihim ng kumpanya mula sa pagiging kumpidensyal. Ngunit ang panukalang ito ay higit pa sa mga function ng antivirus at VPN.
Bilang karagdagan, hindi makokontrol ng VPN at antivirus kung paano kumikilos ang user. Idinidikta ng lohika na hindi bababa sa isang password ang dapat itakda sa device ng user (bilang proteksyon laban sa pagkawala). Ngunit ang pagkakaroon ng isang password at ang pagiging maaasahan nito ay nakasalalay lamang sa kamalayan ng gumagamit, na hindi maimpluwensyahan ng kumpanya sa anumang paraan.
Siyempre, may mga pamamaraang pang-administratibo. Halimbawa, ang mga panloob na dokumento ayon sa kung saan ang mga empleyado ay personal na mananagot para sa kawalan ng mga password sa mga device, pag-install ng mga application mula sa hindi pinagkakatiwalaang mga mapagkukunan, atbp. Maaari mo ring pilitin ang lahat ng empleyado na pumirma sa isang binagong paglalarawan ng trabaho na naglalaman ng mga puntong ito bago magtrabaho nang malayuan. . Ngunit harapin natin ito: hindi masusuri ng kumpanya kung paano ipinatupad ang mga tagubiling ito sa pagsasanay. Magiging abala siya sa agarang pagsasaayos ng mga pangunahing proseso, habang ang mga empleyado, sa kabila ng mga ipinatupad na patakaran, ay kokopya ng mga kumpidensyal na dokumento sa kanilang personal na Google Drive at magbubukas ng access sa mga ito sa pamamagitan ng isang link, dahil mas maginhawang magtulungan sa dokumento.
Samakatuwid, ang biglaang malayong trabaho sa opisina ay isang pagsubok sa katatagan ng kumpanya.
Pamamahala ng Mobility ng Enterprise
Mula sa pananaw ng seguridad ng impormasyon, ang mga mobile device ay isang banta at isang potensyal na paglabag sa seguridad. Ang mga solusyon sa klase ng EMM (enterprise mobility management) ay idinisenyo upang isara ang puwang na ito.
Kasama sa enterprise mobility management (EMM) ang mga function para sa pamamahala ng mga device (MDM, mobile device management), kanilang mga application (MAM, mobile application management) at content (MCM, mobile content management).
Ang MDM ay isang kinakailangang "stick". Gamit ang mga function ng MDM, maaaring i-reset o i-block ng administrator ang device kung nawala ito, i-configure ang mga patakaran sa seguridad: ang presensya at pagiging kumplikado ng isang password, pagbabawal sa mga function ng pag-debug, pag-install ng mga application mula sa apk, atbp. Ang mga pangunahing feature na ito ay sinusuportahan sa mga mobile device ng lahat mga tagagawa at platform. Ang mas banayad na mga setting, halimbawa, na nagbabawal sa pag-install ng mga custom na pagbawi, ay magagamit lamang sa mga device mula sa ilang partikular na manufacturer.
Ang MAM at MCM ay ang "karot" sa anyo ng mga aplikasyon at serbisyo kung saan sila nagbibigay ng access. Sa sapat na seguridad ng MDM, makakapagbigay ka ng secure na malayuang pag-access sa mga mapagkukunan ng kumpanya gamit ang mga app na naka-install sa mga mobile device.
Sa unang sulyap, tila ang pamamahala ng application ay isang purong gawain sa IT na bumababa sa mga pangunahing operasyon tulad ng "mag-install ng isang application, mag-configure ng isang application, mag-update ng isang application sa isang bagong bersyon o i-roll ito pabalik sa isang nauna." Sa katunayan, may seguridad din dito. Ito ay kinakailangan hindi lamang upang i-install at i-configure ang mga application na kinakailangan para sa pagpapatakbo sa mga device, ngunit din upang maprotektahan ang corporate data mula sa pag-upload sa isang personal na Dropbox o Yandex.Disk.
Para paghiwalayin ang corporate at personal, nag-aalok ang mga modernong EMM system na gumawa ng container sa device para sa mga corporate application at ang kanilang data. Ang user ay hindi maaaring hindi awtorisadong mag-alis ng data mula sa lalagyan, kaya hindi kailangang ipagbawal ng serbisyo ng seguridad ang "personal" na paggamit ng mobile device. Sa kabaligtaran, ito ay kapaki-pakinabang para sa negosyo. Kung mas naiintindihan ng user ang kanyang device, mas epektibo niyang gagamitin ang mga work tool.
Bumalik tayo sa mga gawain sa IT. Mayroong dalawang gawain na hindi malulutas nang walang EMM: pagbabalik ng bersyon ng application at malayuang pag-configure nito. Ang isang rollback ay kinakailangan kapag ang bagong bersyon ng application ay hindi nababagay sa mga user - ito ay may malubhang mga error o ito ay simpleng hindi maginhawa. Sa kaso ng mga application sa Google Play at App Store, hindi posible ang rollback - tanging ang pinakabagong bersyon ng application ang palaging available sa store. Sa aktibong panloob na pag-unlad, ang mga bersyon ay maaaring ilabas halos araw-araw, at hindi lahat ng mga ito ay nagiging matatag.
Maaaring ipatupad ang malayuang pagsasaayos ng application nang walang EMM. Halimbawa, gumawa ng iba't ibang mga build ng application para sa iba't ibang mga address ng server o mag-save ng file na may mga setting sa pampublikong memorya ng telepono upang manu-manong baguhin ito sa ibang pagkakataon. Nangyayari ang lahat ng ito, ngunit halos hindi ito matatawag na pinakamahusay na kasanayan. Sa turn, nag-aalok ang Apple at Google ng mga standardized na diskarte sa paglutas ng problemang ito. Isang beses lang kailangang i-embed ng developer ang kinakailangang mekanismo, at magagawa ng application na i-configure ang anumang EMM.
Bumili kami ng zoo!
Hindi lahat ng kaso ng paggamit ng mobile device ay ginawang pantay. Ang iba't ibang kategorya ng mga user ay may iba't ibang gawain, at kailangan nilang lutasin sa sarili nilang paraan. Ang developer at financier ay nangangailangan ng mga partikular na hanay ng mga application at marahil mga hanay ng mga patakaran sa seguridad dahil sa magkaibang sensitivity ng data na ginagamit nila.
Hindi laging posible na limitahan ang bilang ng mga modelo at tagagawa ng mga mobile device. Sa isang banda, lumalabas na mas mura ang paggawa ng corporate standard para sa mga mobile device kaysa sa pag-unawa sa mga pagkakaiba sa pagitan ng Android mula sa iba't ibang manufacturer at ang mga feature ng pagpapakita ng mobile UI sa mga screen ng iba't ibang diagonal. Sa kabilang banda, nagiging mas mahirap ang pagbili ng mga corporate device sa panahon ng pandemya, at kailangang payagan ng mga kumpanya ang paggamit ng mga personal na device. Ang sitwasyon sa Russia ay lalong pinalala ng pagkakaroon ng mga pambansang mobile platform na hindi sinusuportahan ng mga solusyon sa Western EMM.
Ang lahat ng ito ay madalas na humahantong sa katotohanan na sa halip na isang sentralisadong solusyon para sa pamamahala ng mobility ng enterprise, isang motley zoo ng EMM, MDM at MAM system ang pinapatakbo, na ang bawat isa ay pinapanatili ng sarili nitong mga tauhan ayon sa mga natatanging panuntunan.
Ano ang mga tampok sa Russia?
Sa Russia, tulad ng sa ibang bansa, mayroong pambansang batas sa proteksyon ng impormasyon, na hindi nagbabago depende sa epidemiological na sitwasyon. Kaya, ang mga sistema ng impormasyon ng gobyerno (GIS) ay dapat gumamit ng mga hakbang sa seguridad na sertipikado ayon sa mga kinakailangan sa seguridad. Upang matugunan ang kinakailangang ito, ang mga device na nag-a-access sa data ng GIS ay dapat na pinamamahalaan ng mga sertipikadong solusyon sa EMM, na kinabibilangan ng aming produkto ng SafePhone.
Mahaba at hindi malinaw? Hindi naman
Ang mga tool sa antas ng negosyo tulad ng EMM ay kadalasang nauugnay sa mabagal na pagpapatupad at mahabang pre-production na oras. Ngayon ay walang oras para dito - ang mga paghihigpit dahil sa virus ay mabilis na ipinakilala, kaya walang oras upang umangkop sa malayong trabaho.
Sa aming karanasan, at nagpatupad kami ng maraming proyekto para ipatupad ang SafePhone sa mga kumpanyang may iba't ibang laki, kahit na may lokal na deployment, ang solusyon ay maaaring ilunsad sa loob ng isang linggo (hindi binibilang ang oras para sa pagsang-ayon at pagpirma ng mga kontrata). Magagamit ng mga ordinaryong empleyado ang system sa loob ng 1–2 araw pagkatapos ng pagpapatupad. Oo, para sa nababaluktot na pagsasaayos ng produkto ay kinakailangan upang sanayin ang mga tagapangasiwa, ngunit ang pagsasanay ay maaaring isagawa nang kahanay sa simula ng pagpapatakbo ng system.
Upang hindi mag-aksaya ng oras sa pag-install sa imprastraktura ng customer, nag-aalok kami sa aming mga customer ng serbisyo ng cloud SaaS para sa malayuang pamamahala ng mga mobile device gamit ang SafePhone. Bukod dito, ibinibigay namin ang serbisyong ito mula sa aming sariling data center, na sertipikado upang matugunan ang pinakamataas na kinakailangan para sa GIS at mga sistema ng impormasyon ng personal na data.
Bilang kontribusyon sa paglaban sa coronavirus, ikinokonekta ng SOKB Research Institute ang mga maliliit at katamtamang laki ng mga negosyo sa server nang walang bayad. upang matiyak ang ligtas na operasyon ng mga empleyadong nagtatrabaho sa malayo.
Pinagmulan: www.habr.com