Bir gecede uzaktan çalışma popüler ve gerekli bir format haline geldi. Hepsi COVID-19 yüzünden. Enfeksiyonu önlemek için her gün yeni önlemler ortaya çıkıyor. Ofislerde sıcaklıklar ölçülüyor ve büyük şirketler de dahil olmak üzere bazı şirketler, kesinti ve hastalık izinlerinden kaynaklanan kayıpları azaltmak için çalışanlarını uzaktan çalışmaya aktarıyor. Ve bu anlamda BT sektörü, dağınık ekiplerle çalışma deneyimiyle kazanan taraf oluyor.
SOKB Bilimsel Araştırma Enstitüsü olarak birkaç yıldır mobil cihazlardan kurumsal verilere uzaktan erişimi organize ediyoruz ve uzaktan çalışmanın kolay bir konu olmadığını biliyoruz. Aşağıda çözümlerimizin çalışanların mobil cihazlarını güvenli bir şekilde yönetmenize nasıl yardımcı olduğunu ve bunun uzaktan çalışma için neden önemli olduğunu anlatacağız.
Bir çalışanın uzaktan çalışması için neye ihtiyacı var?
Tam teşekküllü çalışma için uzaktan erişim sağlamanız gereken tipik bir hizmet kümesi, iletişim hizmetleri (e-posta, anlık mesajlaşma), web kaynakları (çeşitli portallar, örneğin bir hizmet masası veya proje yönetim sistemi) ve dosyalardır. (elektronik belge yönetim sistemleri, versiyon kontrolü vb.).
Güvenlik tehditlerinin, biz koronavirüsle mücadeleyi bitirene kadar beklemesini bekleyemeyiz. Uzaktan çalışırken pandemi sırasında bile uyulması gereken güvenlik kuralları var.
İş açısından önemli bilgiler, bir çalışanın kişisel e-postasına gönderilerek kişisel akıllı telefonunda kolayca okunup işlenemez. Bir akıllı telefon kaybolabilir, üzerine bilgi çalan uygulamalar yüklenebilir ve sonuçta aynı virüs nedeniyle evde oturan çocuklar tarafından oynanabilir. Dolayısıyla bir çalışanın üzerinde çalıştığı veriler ne kadar önemliyse, bunların daha iyi korunması gerekir. Ve mobil cihazların koruması sabit olanlardan daha kötü olmamalıdır.
Antivirüs ve VPN neden yeterli değil?
Windows işletim sistemi çalıştıran sabit iş istasyonları ve dizüstü bilgisayarlar için antivirüs yüklemek haklı ve gerekli bir önlemdir. Ancak mobil cihazlar için - her zaman değil.
Apple cihazlarının mimarisi uygulamalar arasındaki iletişimi engeller. Bu, virüslü yazılımın olası sonuçlarının kapsamını sınırlar: Bir e-posta istemcisindeki bir güvenlik açığından yararlanılırsa, eylemler o e-posta istemcisinin ötesine geçemez. Bu politika aynı zamanda antivirüslerin etkinliğini de azaltıyor. Artık postayla alınan bir dosyayı otomatik olarak kontrol etmek mümkün olmayacaktır.
Android platformunda hem virüslerin hem de antivirüslerin daha fazla şansı var. Ancak uygunluk sorunu hala ortaya çıkıyor. Uygulama mağazasından kötü amaçlı yazılım yüklemek için birçok izni manuel olarak vermeniz gerekecektir. Saldırganlar erişim haklarını yalnızca uygulamalara her şeye izin veren kullanıcılardan alır. Uygulamada, ücretsiz olarak yüklenen ücretli uygulamalara yönelik "hapların" kurumsal sırları gizlilik açısından "işlememesi" için kullanıcıların bilinmeyen kaynaklardan uygulama yüklemesini yasaklamak yeterlidir. Ancak bu önlem antivirüs ve VPN işlevlerinin ötesine geçiyor.
Ayrıca VPN ve antivirüs kullanıcının nasıl davrandığını kontrol edemeyecek. Mantık, kullanıcı cihazında en azından bir şifrenin ayarlanması gerektiğini belirtir (kayıplara karşı koruma olarak). Ancak bir şifrenin varlığı ve güvenilirliği yalnızca kullanıcının bilincine bağlıdır ve şirket bunu hiçbir şekilde etkileyemez.
Elbette idari yöntemler var. Örneğin, cihazlarda şifre bulunmamasından, güvenilmeyen kaynaklardan uygulamaların yüklenmesinden vb. çalışanların kişisel olarak sorumlu olacağı dahili belgeler. Hatta tüm çalışanları, uzaktan çalışmaya başlamadan önce bu noktaları içeren değiştirilmiş bir iş tanımını imzalamaya zorlayabilirsiniz. . Ancak şunu kabul edelim: Şirket bu talimatların pratikte nasıl uygulandığını kontrol edemeyecek. Ana süreçleri acilen yeniden yapılandırmakla meşgul olacak, çalışanlar ise uygulanan politikalara rağmen gizli belgeleri kişisel Google Drive'larına kopyalayacak ve belge üzerinde birlikte çalışmak daha uygun olduğu için bir bağlantı aracılığıyla bunlara erişimi açacak.
Bu nedenle ofisin ani uzaktan çalışması şirketin istikrarının bir testidir.
Kurumsal Mobilite Yönetimi
Bilgi güvenliği açısından mobil cihazlar bir tehdittir ve güvenlik sisteminde potansiyel bir boşluktur. EMM (kurumsal mobilite yönetimi) sınıfı çözümler bu açığı kapatmak için tasarlanmıştır.
Kurumsal mobilite yönetimi (EMM), cihazları (MDM, mobil cihaz yönetimi), uygulamalarını (MAM, mobil uygulama yönetimi) ve içeriği (MCM, mobil içerik yönetimi) yönetmeye yönelik işlevleri içerir.
MDM gerekli bir "çubuktur". Yönetici, MDM işlevlerini kullanarak aygıtın kaybolması durumunda sıfırlayabilir veya engelleyebilir, güvenlik politikalarını yapılandırabilir: bir parolanın varlığı ve karmaşıklığı, hata ayıklama işlevlerinin yasaklanması, uygulamaların apk'den yüklenmesi vb. Bu temel özellikler tüm mobil cihazlarda desteklenir. üreticiler ve platformlar. Özel kurtarmaların yüklenmesini yasaklamak gibi daha ince ayarlar yalnızca belirli üreticilerin cihazlarında mevcuttur.
MAM ve MCM, erişim sağladıkları uygulama ve hizmetler açısından “havuçtur”. Yeterli MDM güvenliği mevcut olduğunda, mobil cihazlara yüklenen uygulamaları kullanarak kurumsal kaynaklara güvenli uzaktan erişim sağlayabilirsiniz.
İlk bakışta uygulama yönetiminin, "bir uygulamayı yüklemek, bir uygulamayı yapılandırmak, bir uygulamayı yeni bir sürüme güncellemek veya bir önceki sürüme geri döndürmek" gibi temel işlemlere dayanan tamamen BT görevi olduğu anlaşılıyor. Aslında burada da güvenlik var. Yalnızca cihazlarda çalışmak için gerekli uygulamaları kurmak ve yapılandırmak değil, aynı zamanda kurumsal verilerin kişisel Dropbox'a veya Yandex.Disk'e yüklenmesini önlemek de gereklidir.
Modern EMM sistemleri, kurumsal ve kişisel olanı ayırmak için cihazda kurumsal uygulamalar ve bunlara ait veriler için bir konteyner oluşturmayı sunar. Kullanıcı verileri kaptan izinsiz olarak kaldıramaz; dolayısıyla güvenlik hizmetinin mobil cihazın "kişisel" kullanımını yasaklamasına gerek yoktur. Tam tersine bu iş açısından faydalıdır. Kullanıcı cihazını ne kadar iyi anlarsa çalışma araçlarını da o kadar etkili kullanacaktır.
BT görevlerine dönelim. EMM olmadan çözülemeyecek iki görev vardır: Bir uygulama sürümünü geri almak ve onu uzaktan yapılandırmak. Uygulamanın yeni sürümü kullanıcılara uygun olmadığında, ciddi hatalar içerdiğinde veya sadece uygunsuz olduğunda geri alma işlemine ihtiyaç duyulur. Google Play ve App Store'daki uygulamalarda geri alma mümkün değildir; mağazada her zaman uygulamanın yalnızca en son sürümü mevcuttur. Aktif dahili geliştirme ile sürümler neredeyse her gün yayınlanabiliyor ve hepsinin kararlı olduğu ortaya çıkmıyor.
Uzaktan uygulama yapılandırması EMM olmadan uygulanabilir. Örneğin, farklı sunucu adresleri için uygulamanın farklı yapılarını oluşturun veya daha sonra manuel olarak değiştirmek için ayarların bulunduğu bir dosyayı telefonun genel belleğine kaydedin. Bütün bunlar meydana gelir, ancak buna en iyi uygulama denemez. Buna karşılık Apple ve Google bu sorunu çözmek için standartlaştırılmış yaklaşımlar sunuyor. Geliştiricinin gerekli mekanizmayı yalnızca bir kez yerleştirmesi gerekir; uygulama herhangi bir EMM'yi yapılandırabilecektir.
Bir hayvanat bahçesi satın aldık!
Tüm mobil cihaz kullanım durumları eşit yaratılmamıştır. Farklı kullanıcı kategorilerinin farklı görevleri vardır ve bunların kendi yöntemleriyle çözülmesi gerekir. Geliştirici ve finansör, birlikte çalıştıkları verilerin farklı hassasiyeti nedeniyle belirli uygulama gruplarına ve belki de güvenlik politikalarına ihtiyaç duyar.
Mobil cihazların model ve üreticilerinin sayısını sınırlamak her zaman mümkün değildir. Bir yandan, mobil cihazlar için kurumsal bir standart oluşturmanın, farklı üreticilerin Android'i arasındaki farkları ve mobil kullanıcı arayüzünü farklı diyagonal ekranlarda görüntüleme özelliklerini anlamaktan daha ucuz olduğu ortaya çıktı. Öte yandan pandemi döneminde kurumsal cihaz satın almak zorlaşıyor ve şirketler kişisel cihazların kullanımına izin vermek zorunda kalıyor. Rusya'daki durum, Batı EMM çözümleri tarafından desteklenmeyen ulusal mobil platformların varlığıyla daha da kötüleşiyor.
Tüm bunlar genellikle kurumsal mobiliteyi yönetmek için tek bir merkezi çözüm yerine, her biri kendi personeli tarafından benzersiz kurallara göre bakımı yapılan, EMM, MDM ve MAM sistemlerinden oluşan rengarenk bir hayvanat bahçesinin işletilmesine yol açmaktadır.
Rusya'daki özellikler nelerdir?
Diğer ülkelerde olduğu gibi Rusya'da da epidemiyolojik duruma bağlı olarak değişmeyen, bilginin korunmasına ilişkin ulusal mevzuat bulunmaktadır. Bu nedenle, hükümet bilgi sistemleri (GIS) güvenlik gerekliliklerine göre onaylanmış güvenlik önlemlerini kullanmalıdır. Bu gereksinimi karşılamak için GIS verilerine erişen cihazların, SafePhone ürünümüzün de dahil olduğu sertifikalı EMM çözümleri tarafından yönetilmesi gerekir.
Uzun ve belirsiz mi? Tam olarak değil
EMM gibi kurumsal düzeydeki araçlar genellikle yavaş uygulama ve uzun üretim öncesi süre ile ilişkilendirilir. Artık bunun için zaman yok - virüs nedeniyle kısıtlamalar hızla getiriliyor, bu nedenle uzaktan çalışmaya uyum sağlamak için zaman yok.
Deneyimlerimize göre ve SafePhone'u çeşitli büyüklükteki şirketlerde uygulamaya koymak için birçok proje hayata geçirdik, hatta yerel dağıtımla bile çözüm bir hafta içinde başlatılabilir (sözleşmelerin kabul edilmesi ve imzalanması için geçen süreyi hesaba katmıyoruz). Sıradan çalışanlar, uygulama sonrasında 1-2 gün içerisinde sistemi kullanabilecek. Evet, ürünün esnek konfigürasyonu için yöneticilerin eğitilmesi gerekmektedir ancak sistemin çalışmaya başlamasına paralel olarak eğitimler de yapılabilir.
Müşterinin altyapısında kurulumda zaman kaybetmemek adına müşterilerimize SafePhone kullanarak mobil cihazların uzaktan yönetimi için bulut SaaS hizmeti sunuyoruz. Üstelik bu hizmeti, CBS ve kişisel veri bilgi sistemlerinin maksimum gereksinimlerini karşılayacak şekilde sertifikalandırılmış kendi veri merkezimizden sağlıyoruz.
SOKB Araştırma Enstitüsü, koronavirüsle mücadeleye katkı olarak küçük ve orta ölçekli işletmeleri ücretsiz olarak sunucuya bağlıyor Uzaktan çalışan çalışanların güvenli çalışmasını sağlamak.
Kaynak: habr.com