Как защищать данные на мобильных сотрудников

в 9:53, , рубрики: BYOD, MDM, Блог компании КРОК, информационная безопасность, мобильный офис, системное администрирование, метки: , ,

Мобильный офис

Мобильный офис — крутая штука. Можно получать доступ к рабочим приложениями и документам с планшета или смартфона. Тем, кто работает в дороге или в командировках это экономит время, кто часто «в поле» — просто необходимо, а тем, кто в офисе — более чем удобно.

Правда, с точки зрения безопасников, каждый смартфон или планшет — это дыра в ИБ размером с карьерный самосвал. Поэтому чтобы всё это заработало, нужно выстроить процесс управления мобильными устройствами сотрудников. Как личных, так и закрепленных на корпоративном уровне. И решения для этого есть, в том числе и «из коробки».

После того как мы говорим, что можно, например, задать политику отключения камеры смартфона на территории охраняемой зоны, многие начинают просто лучиться счастьем.

Как всё начинается?

Чаще всего у заказчика есть некие базовые вещи типа разделения корпоративной почты и личной, свой сервер и сертификаты, например. Иногда встречаются свои приложения типа просмотра камер на объектах (для сотрудников) или защищенный браузер с доступом к внутренней сети предприятия вне зависимости от месторасположения устройства и так далее. Но все это разрозненно и не объединено в систему. На Западе MDM-решения (Mobile Device Management) уже давно прорабатываются и хорошо всем знакомы, а вот у нас полных внедрений хорошо если несколько десятков по всей стране. И мало кто понимает точно, что нужно: самый частый случай, это когда безопасники говорят «надо», а остальные пытаются подобрать решение, которое будет ещё и удобным.

Что вообще можно делать?

MDM — Mobile Device Management — это управление, непосредственно, самим устройством, то есть параметрами железа. Здесь можно задавать настройки Wi-Fi, запрещать использование камеры, получать данные о месторасположении устройства, настраивать VPN, доставлять сертификаты и так далее. Сотрудник поменял железку — ему накатили те же самые настройки, и он довольный продолжает работать, т.к. избавлен от частого посещения «логова сисадминов», для того чтобы заставить новую железку работать.

Есть софт — МАМ — Mobile Application Management. Это уже следющий уровень, т.к. настройки задаются уже на уровне приложений (подразумевается — корпоративных). Здесь, например, можно открыть корпоративную почту, скопировать текст. А вставить его в некорпоративное приложение уже нельзя. И вложение можно открыть только в авторизованном для этого приложении. И скриншоты делать нельзя. Чистых MDM в практике уже почти нет, обязательно есть хотя бы частичный функционал MAM.

Для того, чтобы реализовать управление корпоративными приложениями делаются контейнеры для отделения корпоративных данных от пользовательских. Например, чтобы при увольнении просто взять и сделать корпоративную часть замороженной отзывом сертификата. Главный вопрос — будет ли медиаплатформа, которая выступит своего рода шлюзом. Если нужно просто управление — решений десятки. Если нужна система, которая обеспечит обмен данными между гетерогенным железом и ОС — нужна единая платформа, которая будет готовить данные и каналы для каждого конкретного устройства.

Всё вместе — это EMM-система (Enterprise Mobility Management). Таких на российском рынке всего несколько.

Как это внедряется?

Чаще всего — от безопасности. Давайте процитирую с последнего проекта для конструкторского бюро «Авиадвигатель» (они делают движки для самолетов, газотурбинные установки для энергетики и газоперекачки, поставляет газотурбинные электростанции). В общем, большой важный объект. В штате 2 500 человек. Стоимость информации таких организаций выше, чем расходы на её защиту. Задача стояла довольно простая — акцент на том, чтобы сотрудники не вынесли данные. Решение минималистичное, без медиаплатформы или сложных политик. Просто управление и контроль. И удалённый вайп. Плюс VPN, удалённые обновления, защита данных в открытых каналах связи. Вот:

«Специалисты КРОК использовали комплексное решение для реализации политики безопасности в области BYOD в нашем ОАО «Авиадвигатель»: MDM-систему, которая позволяет централизованно управлять мобильными устройствами, и подсистему SSL VPN компании Check Point — предоставляет защищенный доступ к внутренним информационным ресурсам предприятия.

«Благодаря интеграции двух решений в «Авиадвигателе» разграничены права доступа пользователей к различным информационным ресурсам предприятия и обеспечена конфиденциальность данных при их передаче по открытым каналам связи, — говорит Антон Разумов, руководитель группы консультантов по безопасности компании Check Point Software Technologies. — Важно, что в результате внедрения системы удалось обеспечить сохранность информации на мобильных устройствах и внедрить централизованное распространение программного обеспечения и обновлений».

Если бы было нужно что-то более сложное, стоило бы смотреть в сторону XenMobile от Citrix. Это полное EMM-решение — удаленный контроль за устройствами, и геопозиционирование, настройка политик доступа при перемещении сотрудника из одного филиала в другой, возможность изолировать приложения друг от друга на логическом уровне, автоконфигураторы и так далее. Мы сейчас внедряем эту штуку на другом объекте, но пока на стадии тестов на отделе в 250 человек.

И еще один вопрос, который может быть интересен – как корпоративные приложения оказываются на мобильных и планшетах сотрудников? Все просто – они берут их из сторов, как привыкли. Только не имея корпоративной учетной записи доступа к ним никак не получить.

Вот так приложения выглядят в корпоративном сторе:

Приложения

А это панель запуска корпоративных приложений для их агрегации в одном месте:

Корпоративные приложения

При этом, например, нельзя принудительно поставить приложение пользователю, он в любом случае должен нажать кнопку «ОК». Но все идет к уменьшению зависимости от решения пользователя. К примеру, нововведения для управления устройствами и контроля над данными в корпоративном сегменте в IOS 7 — уже появились политики разграничения доступа к данным внутри корпоративных и личных приложений, защищенные туннели до сети предприятия на уровне приложения, а не на уровне всего устройства. Вендоры, выпускающие EMM системы, активно поддерживают такого рода инициативы и довольно быстро интегрируют новый функционал в свои решения, зачастую расширяя его.

Самые частые задачи

Если не касаться безопасности — то это документы, BPM и PPM. Приложение позволяет вместе работать над документами, отправлять их по цепочке, подписывать прямо с телефона.

В документообороте особенно красиво смотрятся пуш-уведомления про документы, которые нужно подписать, или платежи, которые нужно согласовать. Скорость работы бухгалтерии увеличивается местами на порядок.

Форма
Вот, например, скриншот формы заказа безналичных платежей, которая приходит ответственным за утверждение у нас в КРОК. Видно, что подтвердить или отклонить заявку можно в один клик.

Можно ставить задачи удалённо. Популярны прикладные версии PPM (Project Portfolio Management) — менеджеры ставят задачи вне офиса, а исполнители отчитываются удалённо. Ещё ситуация — страховые, которые получают доступ к базам знаний прямо с планшетов при разговоре с конкретным клиентом. Логисты тоже очень любят быть в курсе поставок онлайн, им тоже важно делать правильные корпоративные приложения, а, значит, возникает потребность в MDM.

Иногда используются системы ТОИР (Техническое обслуживание и ремонт), и, например, при обходе оборудования вся важная информация будет сразу занесена в систему. Здесь, правда, есть нюанс — нужны специальные мобильные устройства, обычный iPad в цеху проживёт дня два-три, не больше.

Особенности менталитета

На Западе заказчики стремятся максимально использовать встроенные возможности системы. У нас люди просто не готовы мириться с тем, что им нужно, серьезным образом подстраивать бизнес под платформу, и переделывают именно её. Результат — готовый мобильный клиент к CRM, например, уже не подходит, его приходится допиливать. Вторая прекрасная особенность — иногда на объекте проще отбирать телефоны на входе, чем ставить политики безопасности. Но это уже вопрос не к нам.

Всё. Готов отвечать на ваши вопросы. Если вдруг нужно что-то в личке типа оценки цен под конкретный проект — пишите на KShogenov@croc.ru.

Автор: shoguevara

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js