Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Подарки под контролем

Аватар пользователя BISA
Автор: Редакция BISA ,
(0)
()

Новогодние праздники окончены, но после них остались подарки. Одной из наиболее популярных для работающих людей категорий подарков являются мобильные устройства – сейчас они достаточно дёшевы и многофункциональны, поэтому им, очевидно, будут рады. И поэтому, когда осчастливленные сотрудники после праздников приходят на работу, то у них возникает соблазн подключить свои мобильные устройства к корпоративным сервисами. А это в свою очередь вызывает проблему у отдела ИБ – как оперативно обеспечить защиту этих устройств? Этот вопросы мы и задали нашим экспертам.

По мнению Александра Лопатина, эксперта Центра информационной безопасности («Инфосистемы Джет») классическим подходом к защите смартфонов и планшетов является внедрение системы класса Enterprise Mobile Management (EMM), которые позволяют централизованно управлять жизненным циклом мобильных устройств. Их применяют для обеспечения адекватной защиты личных устройств при доступе к корпоративным ресурсам – таким образом, реализуя концепцию BYOD (Bring Your Own Device).

Конечно, подобные системы обладают очень богатым функционалом – вплоть до развертывания собственного «магазина» приложений, где публикуются только доверенные приложения и приложения собственной разработки. Однако для многих компаний полный функционал подобных систем избыточен. Поэтому системы EMM интересны в первую очередь крупным компаниям. Кроме того, существует еще и момент, связанный с неприятием сотрудниками установки какого-либо дополнительного ПО на личные устройства. А уж тем более ПО, имеющего возможность следить за каждым выполненным действием.

Альтернативой является построение системы защиты «от приложения», а не «от пользователя» или «от устройства». Идея заключается в том, что проверки ИБ задействуются только в момент доступа пользователя к корпоративному приложению и снимаются в момент прекращения такого доступа. Такие механизмы защиты и политики доступа могут быть настроены на современных балансировщиках нагрузки, некоторых VPN-концентраторах, часто уже имеющихся в компании. Преимуществом в этом случае является отсутствие необходимости установки приложений удаленного управления на конечные устройства пользователей. То есть проверки и политики работают по принципу «если состояние устройства соответствует требованиям к ИБ, то доступ предоставляется, если обнаружено несоответствие или соответствие неполное, то может быть предоставлен ограниченный доступ и возможность «исправиться». Конечно, такой подход далеко не всегда может заменить полноценную EMM систему. Но в наиболее распространенном случае защиты доступа с мобильных устройств к корпоративным виртуальным и веб-приложениям его использование оправдано.

Вопрос контроля мобильных устройств сотрудников со слов Сергея Терехова, начальника отдела специальных проектов центра компетенций по информационной безопасности («Техносерв») – достаточно широк. Поэтому все советы и хитрости зависят от многих параметров. Тем не менее, есть некоторые базовые тонкости, которые, на его взгляд, нужно учитывать при решении задач контроля мобильных устройств.

Хитрость 1-я. При реализации концепции BYOD на личных мобильных устройствах пользователей применяйте специализированные решения класса EMM или MDM (Mobile Device Management). На уровне контроля доступа к корпоративной сети с мобильных устройств реализуются решение класса Network Access Control, например, на базе Cisco ISE. В комбинации с MDM это решение позволяет обеспечить безопасную аутентификацию пользователей устройств, предоставление различных прав доступа в зависимости от результатов оценки устройств на соответствие политикам безопасности. В случае несоответствия установленным правилам пользователь может помещаться в карантинную зону с ограниченным доступом или в гостевой сегмент до момента устранения несоответствия.

Хитрость 2-я. Перед внедрением MDM-решения разошлите пользователям письмо примерно следующего содержания: «Уважаемые пользователи, через 14 дней, доступ с мобильных устройств к корпоративным ресурсам будет возможен только при наличии установленного мобильном приложения. Данная мера вводится в компании для повышения уровня информационной безопасности и защиты от мобильных угроз. Для установки приложения просим пройти по ссылке http://». Это позволит дать пользователям время на установку, снизить возможный негативный эффект от внедрения. При этом в течение месяца не применяйте никаких политик безопасности, дайте пользователям привыкнуть к изменяющимся условиям. Желательно исключить из этой рассылки топ-менеджеров и подключить их уже после некоторого времени эксплуатации системы.

Хитрость 3-я. При наличии потребности контроля мобильных устройств вне контролируемого периметра организации возможно проксирование web- и почтового трафика  на серверы систем контентной фильтрации и DLP (размещенных либо на серверах компании, либо в облаке). При наличии существующих корпоративных систем безопасности данного класса компания может получить существенный контроль при достаточно быстром развертывании, обеспечивая защиту информации на том же уровне, что и в корпоративной сети. Однако с точки зрения этики данный подход будет вызывать вопросы при использовании сотрудниками личных устройств во вне рабочее время, когда устройства используются для собственных нужд.

Хитрость 4-я. Проводите периодическое обучение и повышайте осведомленность сотрудников по вопросам угроз ИБ, присущих мобильным устройствам.  В некоторых случаях при ограниченном бюджете можно переложить риски нарушения конфиденциальности информации с использованием мобильных устройств на сотрудников без применения специализированных решений на уровне оконечных устройств, но тогда необходимо соблюсти юридические тонкости: ознакомление сотрудников со своей ответственностью, внедренного режима коммерческой тайны, наличие правильной процедуры увольнения и так далее.

Подводя итог, следует отметить, что вопрос скорости организации контроля над мобильными устройствами сотрудников не должен стоять на первом месте, т.к. поспешное внедрение решения может оказать существенное влияние на лояльность сотрудников. Необходимо поступательно подключать новый функционал в зависимости от потребностей бизнеса, ограничивая состав конфиденциальной информации на мобильных устройствах.

Арина Васильева, PR-менеджер (ICL Services) считает маленькие хитрости ИБ подразумевают, что с отделом информационной безопасности уже выработаны и согласованы политики доступа к корпоративным ресурсам с мобильных устройств. Тогда далее, выбираем и внедряем программное обеспечение для подключения мобильных пользователей к корпоративным ресурсам. Оптимальным решением будет внедрение MDM продукта от одного из поставщиков ПО IBM MaaS 360, VMWare AirWatch или же Microsoft Intune. Данные решения могут предоставлять доступ как из облака, так и из собственной инфраструктуры, либо на базе облачной платформы ICL Cloud, разработанной ICL Services.

Политики доступа к корпоративным ресурсам настраиваются в выбранном MDM-решении и обеспечивают надежный и безопасный доступ мобильных пользователей к ресурсам вашей компании. После получения доступа к консоли MDM, необходимо создать аккаунт и добавить пользователя в соответствующую в группу, после этого отправить инструкцию для подключения пользователю по электронной почте или SMS. Как только устройство появится в консоли MDM, все необходимые настройки сети, политики, корпоративное ПО, настройки доступа к внутренним ресурсам и почте будут автоматически установлены на мобильное устройство. 

 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.