Сучасна диджитал-освіта для дітей — безоплатне заняття в GoITeens ×
Mazda CX 5
×

Як зробити особисті пристрої співробітників безпечними для даних компанії

Поки Neuralink Ілона не захопив наші розуми (у всіх сенсах), ми ще можемо розмірковувати на тему корисності та безпеки смартфонів, які давно стали нашими головними порталами в інформаційну мережу. Правда вони можуть стати і порталом для хакерів в мережу вашої компанії. Тому ми поринемо в конкретне середовище корпоративної безпеки цих «ще не вбудованих в голову» гаджетів і розповімо, які технічні інновації мають місце бути на прикладі знаменитого вендора.

Чому так багато абревіатур

Якщо самостійно намагатися зрозуміти ринок Endpoint Management-рішень, не дивно спіткнутися через різноманітність термінів. MDM, MAM, EMM, UEM — все це по суті існує з однією метою: підготувати пристрій для безпечного ремоуту. Безпечний він тому, що захищатимемо або самі пристрої (контроль рівня ОС — Mobile Device Management або MDM), або встановлені на них застосунки (Mobile Application Management або MAM), що дозволить регулювати доступ до корпоративного IT-середовища.

Навіщо взагалі потрібно захищати особисті пристрої співробітників?

Можна сказати впевнено, сьогодні найпопулярнішим типом організації віддаленої роботи є використання особистих пристроїв співробітників або, використовуючи термінологію, BYOD (bring your own device). Звичайно, в наш регіон тренди приходять із запізненням, але вже зараз простежується яскрава тенденція в цей бік, більшою мірою це стосується смартфонів. У всьому світі подумали та зрозуміли, що краще бути спокійним з мобільністю в кишені, ніж поспішати до корпоративного ПК для читання важливого листа від колеги/керівництва/клієнта тощо.

Трохи статистики щодо використання особистих пристроїв в організації на прикладі світового досвіду: techjury.net/blog/byod-stats/#gref

Мобільне робоче місце може функціонувати у компанії, де про це ще не знають. За даними Gartner, незабаром близько 70% усіх програмних взаємодій на підприємстві відбуватимуться на мобільних пристроях. Це означає, що співробітники можуть використовувати свої особисті пристрої для роботи, часто використовуючи нативні застосунки або інші небезпечні рішення. Підприємства повинні задовольняти цей попит на мобільну роботу, зберігаючи у всі корпоративні дані захищеними.

Підхід, орієнтований на мобільні пристрої, забезпечує більшу продуктивність та лояльність співробітників. Результати досліджень показують, що 60% співробітників працюють продуктивніше завдяки мобільним пристроям, а багато з них також виявили, що це викликає зростання їхньої креативності у вирішенні тих чи інших завдань.

Таким чином, компаніям необхідно придумати, як створити основу для швидкої «мобілізації» бізнесу, при цьому не втрачаючи безпеки, зручності та гнучкості. Цілком очевидно, що для цього потрібні якісь технічні реформи, але які саме — вже питання.

Підготовка пристроїв до відправки

Варто зауважити, що організація безпечного ремоуту на особистих пристроях — це не єдине призначення рішень Endpoint Management. Підготовка стаціонарних станцій та терміналів з повним контролем «всього, що відображається на екрані» — один із прикладів застосування системи. Найпопулярніше в минулому — придбання партії новеньких смартфонів (або лептопів) для подальшої підготовки та надсилання користувачам. Такий варіант міг і часто супроводжувався врахуванням особистих уподобань та побажань співробітників (Choose your own device). Відмінність такого варіанту від моделі BYOD — немає необхідності обмежувати та ізолювати робочу область, щоб не зашкодити приватності співробітника. Отже, будь-який функціонал, будь то камера, Bluetooth, Wi-Fi, airplane mode, single app mode (робота в режимі кіоску або демо-стенду) та багато іншого — все контролюється політиками Endpoint Management.

Таким чином, маємо справу з трьома типами пристроїв:

  • choose your own device (CYOD);
  • company-owned, personale enabled (COPE) devices;
  • company-owned, business-only (COBO) devices.

Що таке BlackBerry Dynamics?

BlackBerry закриває всі питання щодо шифрування сховищ, запобігання витоку та створення тунельованого трафіку, у тому числі — на рівні захищених програм. У цьому випадку співробітнику не обов’язково здійснювати enroll пристрою, використовувати сторонні VPN і турбуватися про власну приватність. Достатньо завантажити, наприклад, захищений поштовий клієнт із магазину застосунків AppStore, Play Market та активувати за аналогією з будь-яким банкінгом чи месенджером. На відміну від того ж публічного месенджера, корпоративний поштовий клієнт матиме беззастережну ізоляцію від особистого простору на мобільному пристрої, включаючи несанкціоновані створення скріншотів, копіювання або передачу даних.

Саме тому ми зупинимося та поговоримо у подробицях про другий базовий напрямок системи — захист рівня застосунків (контроль застосунків).

BlackBerry Dynamics — це технологія контейнеризації, яка працює на рівні ізольованих програм-контейнерів для наступних типів пристроїв: ios, android, macOS, Windows

Платформа BlackBerry Dynamics дозволяє мобільним корпоративним програмам використовувати провідні в галузі функції безпеки, такі як:

  • Інфраструктура проксі, що забезпечує з’єднання між мобільними клієнтами та серверами програм, що знаходяться за корпоративним брандмауером. Немає потреби у VPN або в тому, щоб відкривати порти в корпоративному брандмауері для кінцевих точок.
  • Наскрізне шифрування даних під час передачі між мобільними клієнтами та серверами додатків.
  • Зберігання корпоративних даних на пристрої в окремому безпечному контейнері, який можна видалити адміністратором.
  • Шифрування за допомогою 256-бітного шифру AES. Ця технологія використовується для захисту даних у стані спокою, у безпечному контейнері та для захисту даних при передачі між клієнтом та сервером.
  • Застосування політик відповідності паролів та пристроїв при доступі до корпоративних даних.

Для застосування співробітниками на IOS, Android, macOS та Windows розроблено кілька програм з використанням платформи Dynamics: BlackBerry Work (Поштовий клієнт), BlackBerry Access (Браузер клієнт), BlackBerry Edit (редактор), BlackBerry Workspaces (файлообміник) тощо. ISV (незалежні постачальники програмного забезпечення) також створили програми з використанням BlackBerry Dynamics та опублікували їх на публічних ресурсах. Підприємства можуть створювати власні програми з використанням бібліотек Dynamics для задоволення будь-яких бізнес-потреб.

До речі, контейнер BlackBerry має найвищу сертифікацію за версією Common Criteria — EAL 4+. Також НАТО схвалило корпоративне рішення BlackBerry для зберігання та передачі даних відповідно до класифікації NATO RESTRICTED.

Основні елементи безпеки контейнера розташовані в таблиці нижче:


Елемент безпеки


Особливість


Доступ до контейнера


● Різні політики для різних користувачів

● Віддалене блокування програми

● Застосування автоматичних реакцій на порушення політик відповідності

● Автоблокування контейнера в залежності від порушення compliance-політик

● Вимоги до пароля або біометрії для локальної аутентифікації всередині контейнера

● DLP-політики, що перешкоджають перенесенню/копіюванню/захопленню скріншотів


Сховище даних контейнера


● Кероване сховище з підтримкою інтеграції та синхронізації з внутрішніми репозиторіями

● Шифрування даних за алгоритмом AES-256 у стані спокою всередині контейнера

● Віддалене очищення та блокування сховища

● FIPS140-2 сертифікований крипто-модуль


Передача даних


● TLS-з’єднання

● AES-256 шифрування

● FIPS140-2 сертифіковані крипто-алгоритми

● Моніторинг з’єднання


Захист корпоративних ресурсів


● Немає потреби у відкритті брандмауера

● Рольова модель адміністрування

● Немає потреби у використанні корпоративного пароля за межами компанії

● Централізований та кросплатформний контроль безпеки

● Керований доступ до призначених серверів додатків або доменів

Cloud vs On-Prem

Обираючи Unified Endpoint Management рішення рівня Enterprise, потрібно звертати увагу на організацію, простоту, багатофункціональність і кастомізацію конкретно серверного обладнання. У цьому контексті BlackBerry підтримує як On-Premise, так і Cloud Vendor hosted розгортання. Виділяється можливість організації власного VPN-тунелю та активації повністю ізольованої від хмари інфраструктури передачі корпоративного трафіку.

Сервер управління Blackberry UEM Cloud* має свої переваги в порівнянні з локальною версією:

  • Швидка активація та встановлення сервера управління (2-5 хвилин на підняття хмарного образу)
  • Відповідальність за високу доступність повністю лежить на фахівцях Blackberry.
  • Відповідальність за аварійне відновлення повністю лежить на фахівцях Blackberry.

*Для підключення локальних ресурсів (файлових серверів, поштових серверів, серверів додатків, корпоративних сайтів) — необхідно встановити та налаштувати конектори всередині корпоративного периметра або в демілітаризованій зоні.

То чи потрібна корпоративна мобільність?

Досвід та приклади західного ринку заявляють одноголосно — потрібна! Однак, рішення приймає кожен окремо і висновки мають робитися на основі поточного стану інфраструктури, пробілів у безпеці чи продуктивності працівників. Я дуже не рекомендую сліпо довіряти трендам, але й заплющувати очі на реалії 21 століття не потрібно. Аналіз проломів адаптивного периметра мережі, пошук, тестування та обговорення необхідності продукту — перші кроки на шляху до мобільності.

Відділ безпеки, адміністрування та керівники різного калібру можуть зосередити свої сили на закритті трьох важливих завдань під впровадження будь-якої IT-системи, серед яких UEM — не виняток.

Це має бути вигідним. Використання особистих пристроїв заощаджує фінансовий ресурс компанії та звільняє від процесу налаштування та оптимізації. Навантаження на людський ресурс адміністраторів системи має бути мінімальним, а хелпдеск — зводитися до мінімуму за рахунок використання інструментів самообслуговування для відновлення пароля, додавання другого/третього пристрою та віддаленого блокування робочих даних із вкраденого або забутого апарату.

Це має бути безпечним. Як зазначалося вище, три стовпи інформаційної безпеки робочої області мають функціонувати 24/7: шифроване сховище, вбудований тунель до корпоративних ресурсів та політики запобігання витоку. Мобільні пристрої, смартфони не повинні ставати винятком у цих питаннях.

Це має бути зручним. Від позитивного досвіду використання клієнтських програм до інтерфейсу та швидкості налаштування серверних компонентів. Ключове завдання — сподобатися співробітнику та привчити його працювати з корпоративним софтом, повністю викресливши так зване «тіньове IT». Тонка грань у питанні зручності корпоративного софту на особистих пристроях буде чи не одним із перших питань, повірте. Інакше цим просто не користуватимуться і процес доведеться переносити на наступне рішення.

Обговоримо?

👍ПодобаєтьсяСподобалось0
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Я не использую личные устройства для работы если необходимо настроить MDM. Ситуация получается обратная. Я переживаю за свои данные.

У всьому світі подумали та зрозуміли, що краще бути спокійним з мобільністю в кишені, ніж поспішати до корпоративного ПК для читання важливого листа від колеги/керівництва/клієнта тощо.

Якщо компанія хоче щоб в тебе був смартфон з її поштою, то хай дає цей смартфон та доплачує за особистий час витраченний на перевірку цієї пошти. Немає на стільки важливого листа, що не зачекає коли працівник сяде за компьютер.

Якщо зробити опитування серед співробітників (мали таку практику) — може виявитись що не всі розділяють таку точку зору. Особисто знаю багато людей хто проти другого смартфону в кишені (як з боку користувачів, так і адмінистраторів\фахівців безпеки) + є специфіка бізнесу, де необідно якись час бути далеко від основного компьютера (зустріч, відрядження, конференція). В нас також з’явилась своя «специфіка» в країні і часто опиняєшся ну дуже далеко від спокійного робочого місця — а це одразу зупинка більшості бізнес-процессів.

Взагалі, BYOD — це не про примусовий характер, якщо є можливість — ось клієнт, який легко завантажується с AppStore\PlayMarket і вперед... Якщо є питання чи нема бажання щось встановлювати (фобія чи аллергія на все корпоративне) — ок, тримай планшет, мобілку чи лептоп, який за допомогою того ж MDM\MAM вже повністю готовий для роботи. BYOD — це більше про комфорт та економію коштів, яки мали б бути використані на ті ж корп-смартфони.

Це ще я не кажу про випадки коли люди і без цього дуже активно використовують OWA або інші корпоративні ресурси на особистих пристроях поряд з публічними мессенджерами, куди залюбки все відправляється при нагоді. В такому випадку можна зробити дві речі: або позачиняти всі такі «дірки» або ж поміркувати на тему потрібности згаданого класу рішень.

Відмовитись від політики BYOD — найкращий захист

Відмовитись — це легко. Але ж і ми не слабкі:)
Світ харденінгу корпоративного софта на особистих пристроях — до ваших послуг

Підписатись на коментарі