Chỉ sau một đêm, làm việc từ xa đã trở thành một hình thức phổ biến và cần thiết. Tất cả là do Covid-19. Các biện pháp mới để ngăn ngừa nhiễm trùng xuất hiện mỗi ngày. Nhiệt độ đang được đo tại các văn phòng và một số công ty, bao gồm cả những công ty lớn, đang chuyển công nhân sang làm việc từ xa để giảm tổn thất do thời gian ngừng hoạt động và nghỉ ốm. Và theo nghĩa này, lĩnh vực CNTT, với kinh nghiệm làm việc với các nhóm phân tán, sẽ là người chiến thắng.
Chúng tôi tại Viện nghiên cứu khoa học SOKB đã tổ chức quyền truy cập từ xa vào dữ liệu của công ty từ thiết bị di động trong vài năm và chúng tôi biết rằng làm việc từ xa không phải là một vấn đề dễ dàng. Dưới đây, chúng tôi sẽ cho bạn biết các giải pháp của chúng tôi giúp bạn quản lý an toàn thiết bị di động của nhân viên như thế nào và tại sao điều này lại quan trọng đối với công việc từ xa.
Nhân viên cần làm gì từ xa?
Một nhóm dịch vụ điển hình mà bạn cần cung cấp quyền truy cập từ xa để thực hiện công việc chính thức là dịch vụ liên lạc (email, tin nhắn tức thời), tài nguyên web (các cổng khác nhau, ví dụ: bàn dịch vụ hoặc hệ thống quản lý dự án) và các tệp (điện tử). hệ thống quản lý tài liệu, kiểm soát phiên bản, v.v.).
Chúng ta không thể mong đợi các mối đe dọa an ninh sẽ đợi cho đến khi chúng ta kết thúc việc chống lại vi-rút Corona. Khi làm việc từ xa, có những quy tắc an toàn phải được tuân thủ ngay cả khi có đại dịch.
Thông tin quan trọng trong kinh doanh không thể đơn giản được gửi đến email cá nhân của nhân viên để anh ta có thể bình tĩnh đọc và xử lý nó trên điện thoại thông minh cá nhân của mình. Một chiếc điện thoại thông minh có thể bị mất, các ứng dụng lấy cắp thông tin có thể được cài đặt trên đó, và cuối cùng, nó có thể bị chơi bởi những đứa trẻ đang ngồi ở nhà vì cùng một loại virus. Vì vậy, dữ liệu mà nhân viên làm việc càng quan trọng thì càng cần được bảo vệ tốt hơn. Và khả năng bảo vệ của thiết bị di động không được tệ hơn so với thiết bị cố định.
Tại sao phần mềm diệt virus và VPN là chưa đủ?
Đối với các máy trạm và máy tính xách tay cố định chạy hệ điều hành Windows, việc cài đặt phần mềm diệt virus là biện pháp chính đáng và cần thiết. Nhưng đối với thiết bị di động - không phải lúc nào cũng vậy.
Kiến trúc của các thiết bị Apple ngăn cản việc giao tiếp giữa các ứng dụng. Điều này giới hạn phạm vi hậu quả có thể xảy ra của phần mềm bị nhiễm độc: nếu một lỗ hổng trong ứng dụng email bị khai thác thì các hành động không thể vượt quá ứng dụng email đó. Đồng thời, chính sách này làm giảm hiệu quả của các chương trình chống vi-rút. Sẽ không thể tự động kiểm tra tệp nhận được qua thư nữa.
Trên nền tảng Android, cả vi-rút và phần mềm chống vi-rút đều có nhiều triển vọng hơn. Nhưng câu hỏi về tính hiệu quả vẫn được đặt ra. Để cài đặt phần mềm độc hại từ cửa hàng ứng dụng, bạn sẽ phải cấp rất nhiều quyền theo cách thủ công. Những kẻ tấn công chỉ có được quyền truy cập từ những người dùng cho phép mọi thứ ứng dụng. Trên thực tế, việc cấm người dùng cài đặt các ứng dụng từ các nguồn không xác định là đủ để “thuốc” cho các ứng dụng trả phí được cài đặt miễn phí không “coi” bí mật của công ty là bí mật. Nhưng biện pháp này vượt xa chức năng của phần mềm chống vi-rút và VPN.
Ngoài ra, VPN và phần mềm chống vi-rút sẽ không thể kiểm soát cách hành xử của người dùng. Logic quy định rằng ít nhất phải đặt mật khẩu trên thiết bị người dùng (để bảo vệ khỏi mất mát). Nhưng sự hiện diện của mật khẩu và độ tin cậy của nó chỉ phụ thuộc vào ý thức của người dùng, điều này công ty không thể tác động được bằng bất kỳ cách nào.
Tất nhiên, có những phương pháp hành chính. Ví dụ: tài liệu nội bộ theo đó nhân viên sẽ chịu trách nhiệm cá nhân về việc không có mật khẩu trên thiết bị, cài đặt ứng dụng từ các nguồn không đáng tin cậy, v.v. Bạn thậm chí có thể buộc tất cả nhân viên ký vào bản mô tả công việc đã sửa đổi có chứa những điểm này trước khi đi làm từ xa . Nhưng hãy đối mặt với sự thật: công ty sẽ không thể kiểm tra xem hướng dẫn này được thực hiện như thế nào trong thực tế. Cô ấy sẽ bận rộn gấp rút cơ cấu lại các quy trình chính, trong khi nhân viên, mặc dù đã thực hiện các chính sách, sẽ sao chép các tài liệu bí mật vào Google Drive cá nhân của họ và mở quyền truy cập vào chúng thông qua một liên kết, vì làm việc cùng nhau trên tài liệu sẽ thuận tiện hơn.
Vì vậy, việc văn phòng làm việc từ xa đột ngột là một phép thử cho sự ổn định của công ty.
Quản lý di động doanh nghiệp
Từ quan điểm bảo mật thông tin, thiết bị di động là mối đe dọa và vi phạm bảo mật tiềm ẩn. Các giải pháp cấp độ EMM (quản lý di động doanh nghiệp) được thiết kế để thu hẹp khoảng cách này.
Quản lý di động doanh nghiệp (EMM) bao gồm các chức năng quản lý thiết bị (MDM, quản lý thiết bị di động), ứng dụng của chúng (MAM, quản lý ứng dụng di động) và nội dung (MCM, quản lý nội dung di động).
MDM là một “cây gậy” cần thiết. Sử dụng các chức năng MDM, quản trị viên có thể đặt lại hoặc chặn thiết bị nếu bị mất, định cấu hình các chính sách bảo mật: sự hiện diện và độ phức tạp của mật khẩu, cấm các chức năng gỡ lỗi, cài đặt ứng dụng từ apk, v.v. Những tính năng cơ bản này đều được hỗ trợ trên tất cả các thiết bị di động nhà sản xuất và nền tảng. Các cài đặt tinh vi hơn, chẳng hạn như cấm cài đặt khôi phục tùy chỉnh, chỉ khả dụng trên các thiết bị của một số nhà sản xuất nhất định.
MAM và MCM là những “củ cà rốt” dưới dạng ứng dụng và dịch vụ mà chúng cung cấp quyền truy cập. Với bảo mật MDM đầy đủ, bạn có thể cung cấp quyền truy cập từ xa an toàn vào tài nguyên của công ty bằng cách sử dụng các ứng dụng được cài đặt trên thiết bị di động.
Thoạt nhìn, có vẻ như quản lý ứng dụng là một nhiệm vụ CNTT thuần túy bao gồm các hoạt động cơ bản như “cài đặt ứng dụng, định cấu hình ứng dụng, cập nhật ứng dụng lên phiên bản mới hoặc khôi phục ứng dụng về phiên bản trước”. Trên thực tế, ở đây cũng có an ninh. Không chỉ cần cài đặt và định cấu hình các ứng dụng cần thiết để hoạt động trên thiết bị mà còn phải bảo vệ dữ liệu của công ty khỏi bị tải lên Dropbox hoặc Yandex.Disk cá nhân.
Để tách biệt công ty và cá nhân, các hệ thống EMM hiện đại cung cấp khả năng tạo vùng chứa trên thiết bị cho các ứng dụng của công ty và dữ liệu của chúng. Người dùng không thể xóa trái phép dữ liệu khỏi vùng chứa, do đó dịch vụ bảo mật không cần cấm việc sử dụng thiết bị di động “cá nhân”. Ngược lại, điều này có lợi cho doanh nghiệp. Người dùng càng hiểu rõ về thiết bị của mình thì sẽ sử dụng các công cụ làm việc càng hiệu quả.
Hãy quay trở lại nhiệm vụ CNTT. Có hai nhiệm vụ không thể giải quyết được nếu không có EMM: khôi phục phiên bản ứng dụng và định cấu hình nó từ xa. Cần khôi phục khi phiên bản mới của ứng dụng không phù hợp với người dùng - nó có lỗi nghiêm trọng hoặc đơn giản là bất tiện. Trong trường hợp ứng dụng trên Google Play và App Store, không thể khôi phục - chỉ có phiên bản mới nhất của ứng dụng luôn có sẵn trong cửa hàng. Với sự phát triển nội bộ tích cực, các phiên bản có thể được phát hành hầu như mỗi ngày và không phải tất cả chúng đều ổn định.
Cấu hình ứng dụng từ xa có thể được thực hiện mà không cần EMM. Ví dụ: tạo các bản dựng ứng dụng khác nhau cho các địa chỉ máy chủ khác nhau hoặc lưu tệp có cài đặt vào bộ nhớ chung của điện thoại để thay đổi thủ công sau này. Tất cả điều này xảy ra, nhưng nó khó có thể được gọi là cách thực hành tốt nhất. Đổi lại, Apple và Google đưa ra các phương pháp tiêu chuẩn hóa để giải quyết vấn đề này. Nhà phát triển chỉ cần nhúng cơ chế được yêu cầu một lần và ứng dụng sẽ có thể định cấu hình bất kỳ EMM nào.
Chúng tôi đã mua một sở thú!
Không phải tất cả các trường hợp sử dụng thiết bị di động đều được tạo ra như nhau. Các loại người dùng khác nhau có các nhiệm vụ khác nhau và chúng cần được giải quyết theo cách riêng của họ. Nhà phát triển và nhà tài trợ cần các bộ ứng dụng cụ thể và có lẽ cả các bộ chính sách bảo mật do độ nhạy cảm khác nhau của dữ liệu mà họ làm việc cùng.
Không phải lúc nào cũng có thể giới hạn số lượng mẫu mã và nhà sản xuất thiết bị di động. Một mặt, việc tạo ra một tiêu chuẩn công ty cho thiết bị di động hóa ra sẽ rẻ hơn so với việc hiểu sự khác biệt giữa Android từ các nhà sản xuất khác nhau và các tính năng hiển thị giao diện người dùng di động trên màn hình có các đường chéo khác nhau. Mặt khác, việc mua thiết bị của công ty trong thời kỳ đại dịch trở nên khó khăn hơn và các công ty phải cho phép sử dụng thiết bị cá nhân. Tình hình ở Nga càng trở nên trầm trọng hơn do sự hiện diện của các nền tảng di động quốc gia không được hỗ trợ bởi các giải pháp EMM của phương Tây.
Tất cả điều này thường dẫn đến thực tế là thay vì một giải pháp tập trung để quản lý tính di động của doanh nghiệp, một loạt các hệ thống EMM, MDM và MAM được vận hành, mỗi hệ thống được duy trì bởi nhân viên riêng của mình theo các quy tắc riêng.
Các tính năng ở Nga là gì?
Ở Nga, giống như bất kỳ quốc gia nào khác, có luật quốc gia về bảo vệ thông tin, luật này không thay đổi tùy theo tình hình dịch tễ học. Vì vậy, hệ thống thông tin của chính phủ (GIS) phải sử dụng các biện pháp bảo mật được chứng nhận theo yêu cầu bảo mật. Để đáp ứng yêu cầu này, các thiết bị truy cập dữ liệu GIS phải được quản lý bằng các giải pháp EMM được chứng nhận, bao gồm cả sản phẩm SafePhone của chúng tôi.
Dài và không rõ ràng? Không thực sự
Các công cụ cấp doanh nghiệp như EMM thường liên quan đến việc triển khai chậm và thời gian tiền sản xuất kéo dài. Bây giờ đơn giản là không có thời gian cho việc này - các hạn chế do vi-rút đang được đưa ra nhanh chóng, do đó không có thời gian để thích ứng với công việc từ xa.
Theo kinh nghiệm của chúng tôi, và chúng tôi đã triển khai nhiều dự án triển khai SafePhone ở các công ty có quy mô khác nhau, thậm chí triển khai tại địa phương, giải pháp có thể ra mắt trong vòng một tuần (không tính thời gian thống nhất và ký kết hợp đồng). Nhân viên thông thường sẽ có thể sử dụng hệ thống trong vòng 1–2 ngày sau khi triển khai. Có, để cấu hình sản phẩm linh hoạt, cần phải đào tạo quản trị viên, nhưng việc đào tạo có thể được thực hiện song song với việc bắt đầu vận hành hệ thống.
Để không lãng phí thời gian cài đặt trên cơ sở hạ tầng của khách hàng, chúng tôi cung cấp cho khách hàng dịch vụ SaaS trên nền tảng đám mây để quản lý từ xa các thiết bị di động bằng SafePhone. Hơn nữa, chúng tôi cung cấp dịch vụ này từ trung tâm dữ liệu của riêng mình, được chứng nhận đáp ứng các yêu cầu tối đa đối với hệ thống thông tin dữ liệu cá nhân và GIS.
Để góp phần vào cuộc chiến chống lại virus Corona, Viện nghiên cứu SOKB kết nối miễn phí các doanh nghiệp vừa và nhỏ với máy chủ để đảm bảo hoạt động an toàn của nhân viên làm việc từ xa.
Nguồn: www.habr.com