Но при этом довольно острым становится вопрос безопасности корпоративных данных, ведь ИТ-периметр размывается, и традиционный подход к безопасности становится неэффективен. Мобильное устройство легче похитить или потерять, а вместе с ним – и корпоративные данные. Стоит отметить, что ИТ-руководители украинских компаний обеспокоены проблемами информационной безопасности, связанными с внедрением BYOD, даже больше, чем их коллеги в других странах. Любопытно, что в США и Индии, где проблема ИБ вызывает намного меньше беспокойств, а BYOD прочно укоренился во многих компаниях, на третье место в перечне главных достоинств этого феномена респонденты поставили как раз укрепление информационной безопасности.
Как же предоставить сотрудникам возможность комфортно использовать свои мобильные устройства, защитив притом корпоративную информацию от различных угроз? Чтобы пролить свет на решение такой проблемы, редакция PCWeek/UE пригласила экспертов в области ИБ. В частности, мы попросили респондентов описать политики, которые позволят свести к минимуму риски при использовании мобильных устройств, описать предлагаемые на рынке продукты и технологии для защиты мобильных устройств сотрудников.
Опишите политики и процедуры, которые позволят свести к минимуму риск и потенциальные сбои в работе при использовании мобильных устройств?
Владимир Илибман, Cisco
Перед тем как легализовать использование персональных устройств в организации, необходимо ответить на несколько простых вопросов – выяснить какие категории сотрудников имеют право использовать персональные гаджеты, идентифицировать ресурсы/сервисы, к которым разрешен доступ, определить действия в случае пропажи/хищения устройства или увольнения сотрудника. На основании ответов на указанные вопросы можно определить организационные и технические процедуры подключения персональных устройств и обязательные требования к их защите.
Мирослав Мищенко, Fortinet
Ниже перечислены три IT-меры, которые могут обеспечить некоторое спокойствие для организаций.
Реализация соответствующей мобильной политики. Фактически это просто политика 101. Большинство организаций должны сделать паузу, чтобы реально оценить свои цели и определить соответствующие угрозы их сети (например, вредоносные сайты, потеря производительности, чрезмерное использование пропускной способности). Вот некоторые вопросы, о которых стоит задуматься ИТ-отделу:
• Какие программы необходимы, а какие запрещены?
• Какие сотрудники будут иметь возможность использовать эти устройства?
• Кто и когда имеет доступ к сети?
ПО удаленного управления позволяет ИТ-отделу автоматически обновлять устройства пользователей с целью предотвращения любых существующих уязвимостей при мобильных атаках. Компании также должны централизованно определять местонахождение гаджетов, делать резервное копирование и восстановление объектов, а также блокировать и уничтожать данные на потерянных или украденных мобильных устройствах.
Блокировка не совместимых устройств: Часто работники стремятся использовать свои личные устройства для работы, но при этом хотят инсталлировать дополнительное ПО, которое может потенциально уничтожить их ценные контакты или файлы на гаджете. В качестве компромисса компании могут позволить своим работникам использовать их собственные устройства, если те согласятся на установку некоторых приложений в соответствии с политикой безопасности организации. Если нет, то работники должны использовать только устройства, которые предоставляет ИТ-отдел.
Альтернативное решение — это гаджеты, которые имеют два логических раздела. Причем один из них — для корпоративного пользования, а другой — для личного, поэтому IT-отдел должен иметь полный контроль над корпоративным разделом.
Алексей Ясинский, БАКОТЕК
Для снижения рисков при использовании личных мобильных устройств в компании следует применить к ним следующие политики:
2. Использовать корпоративный антивирус. Эта мера может казаться необоснованной, но значительный рост количества вирусов для платформы Android говорит об обратном. Даже в магазине приложений постоянно появляются программы, передающие конфиденциальную информацию на удаленные сервера, крадущие логины и пароли, уничтожающие данные на телефоне.
4. Централизовать и автоматизировать применение политик безопасности на все устройства компании. С ростом количества BYOD-терминалов растут и операционные затраты на их управление, поэтому необходимо иметь систему, которая позволяет централизовано применять все необходимые настройки и политики на определенные группы устройств, или же все устройства скопом. Это позволит минимизировать риски неправильной или умышленно-ошибочной конфигурации устройств.
Илья Магась, «БМС консалтинг»
«Депериметризация» мышления специалистов по информационной безопасности и ИТ — это то, над чем долгое время бьется индустрия ИБ. На самом деле, концепция BYOD возникла в момент появления первого ноутбука. Но мы все время пытались вписать мобильные устройства в существующий порядок вещей и теперь у нас есть очень хороший повод перестать это делать и начать относиться к каждому клиентскому аппарату как к заведомо враждебному. То есть, требующему проверки на соответствие политикам компании каждый раз при попытке доступа к нашим корпоративным данным и системам. Что в итоге? Начните относиться к конечным устройствам соответственно их статусу: они небезопасны до тех пор, пока вы не убедились в обратном.
Александр Стафоркин, «Комплексные решения»
Наиболее безопасными являются решения, обеспечивающие удаленный доступ к реальной рабочей станции или серверу приложений. На устройство устанавливается клиент, который предоставляет доступ к рабочему месту сотрудника по защищенному каналу. Это позволяет ограничить информацию, хранящуюся на персональном гаджете пользователя, и не разрешает сторонним приложениям влиять на работу компании клиента.
Владимир Удалов, «Лаборатория Касперского»
Одна из главных задач систем по управлению и защите мобильных устройств – обеспечение баланса безопасности и удобства их использования. Решение должно позволить настроить гаджет в соответствии с политиками безопасности предприятия, проверить, что оно не скомпрометировано, и на устройстве не установлены приложения из ненадежных источников.
Какие рекомендации в целом вы можете дать заказчикам, поощряющим BYOD в компании?
BYOD — это модная тенденция на рынке. Но перед тем как следовать любой тенденции, необходимо понять, что именно она может дать вашей компании. Не всегда следование модным трендам поможет увеличить производительность труда. Опыт больших западных компаний (в частности, Cisco) подсказывает, что BYOD лучше всего внедрять поэтапно. Начинать с чего-то малого – например, с доступа к электронной почте, а потом добавлять расширенные сервисы, такие как доступ к корпоративным ERP/CRM системам и виртуальным рабочим столам.
Алексей Ясинский
При обеспечении безопасности корпоративных данных, оставьте сотруднику возможность беспрепятственно использовать весь потенциал его устройства для личного применения. Только в таком случае внедрение в компании политики по использованию BYOD приведет к ощутимым результатам.
Илья Магась, «БМС консалтинг»
Не поощряйте BYOD в компании, если вы не уверены в том, что это жизненно необходимо. Но если уверены, выделите для этого ресурсы и защитите производственные системы от пользовательских, а не просто «разрешите BYOD». Установите точки доступа WiFi для использования их сотрудниками (они будут крайне признательны вам за долгое время жизни батареи и экономию средств на счету), отделите сетевые сегменты общего доступа от корпоративной сети. «Впускайте» в корпоративную сеть только по надежным протоколам и после строгой, по возможности двухфакторной, аутентификации.
Борис Калачев, Инком
Как показывает практика, нет политики безопаснее, чем запретить все, что не разрешено сознательно. Естественно, чтобы применить данную политику, необходимо хорошо понимать, что, кому и когда запрещать. Все ресурсы, к которым обеспечивается доступ, должны быть систематизированы и описаны. Также необходимо описать все роли, участвующие в бизнес-процессе. И, конечно же, должны быть однозначно сформулированы полномочия: соответствие ресурс-роль с привязкой к тем или иным дополнительным факторам, например, времени.
Правда, в моей практике таких идеальных политик пока не встречалось. Для себя сделал вывод, что наиболее практичными политиками предоставления доступа мобильным пользователям являются те, в которых достигнута контролируемая «золотая середина» между зонами комфортной/эффективной работы и требованиями службы обеспечения информационной безопасности. Пользователь должен получать доступ только к тем ресурсам, которые предписаны ему в рамках должностных обязанностей и только после того, как устройство соответствует критериям политики, принятой в организации.
Не хранить информацию на персональных устройствах сотрудников. Предоставлять доступ из внешней сети только по защищенному каналу связи.
Назовите продукты для защиты мобильных устройств сотрудников, которые вы предлагаете своим клиентам?
Антон Разумов, Check Point Software
Все чаще приходится сталкиваться с запросами на предоставление удаленного доступа к корпоративным данным мобильных сотрудников и топ-менеджеров. Причем, если сотрудника можно обязать использовать стандартизованное устройство, например, ноутбук, то руководители применяют и iPhone/iPad и разнообразные устройства на базе Android. В этом случае продукт Check Point Mobile AccessBlade позволяет обеспечить компромиссное решение — с одной стороны удовлетворить требования бизнеса по оперативному доступу к важной информации откуда угодно и с разнообразных устройств, а с другой — сделать этот доступ безопасным и удобным для пользователей.
Разумеется, в зависимости от требований, могут применяться и простые настройки типа ActiveSync over https, и более сложные конфигурации с полноценным L3 клиентом. Есть даже специальное ПО, сохраняющее всю почту и полученные файлы в зашифрованном контейнере, что предотвращает возможные утечки информации в iCloud и подобные сервисы.
Компания предлагает клиентам решение, которое обеспечивает безопасное подключение персональных устройств к проводной, беспроводной и VPN-сетям. Ключевым его элементом является продукт Cisco Identity Services Engine (ISE), который обеспечивает регистрацию и управление доступом гаджетов на основании политики. ISE значительно упрощает подключение новых персональных устройств за счет автоматизации конфигурации сети и политик. Фактически для регистрации своего персонального устройства пользователю необходимо выполнить пару несложных шагов, а администратору компании только подтвердить разрешение на подключение устройства. Для обеспечения расширенных функций управления персональными устройствами (например, для очистки корпоративной информации в случае утери устройства) в Cisco ISE возможна интеграция партнерских систем класса Mobile Device Management (MDM).
Мирослав Мищенко, Fortinet
Кроме продуктов FortiGate для защиты основной сети, наша компания также предлагает два продукта, которые помогают защитить непосредственно мобильные устройства сотрудников:
- FortiToken — решение, которое позволяет легко организовать двухфакторную аутентификацию для доступа к защищенной сети и устройствам безопасности. Это гарантирует, что только авторизованные лица могут получить доступ к конфиденциальной информации вашей организаций.
Антон Серов, Microsoft
Усилия Microsoft в этой области можно условно разделить на два основных направления – защита данных от несанкционированного доступа и управление безопасной ИТ-инфраструктурой и непосредственно мобильными устройствами.
Инциденты, когда по ошибке или по злому умыслу пользователя тот или иной документ с защищенного носителя отправляется по электронной почте, копируется на незащищенную «флешку» или просто публикуется в на ресурсах Интернете, происходят довольно часто. Для защиты данных, независимо от формы их представления (файл, документ, электронная переписка и т.п.), Microsoft предлагает использовать технологию шифрования и защиты данных от неавторизированного использования Microsoft Right Management Service (RMS). Т.е. RMS обеспечивает не просто шифрование файла, но и определение прав использования информации внутри файла. Например, сотрудник может предоставить полные права на работу с документом Microsoft Word только небольшой части пользователей, а остальным — права только на чтение. В таком случае, компьютер пользователя автоматически блокирует функции копирования/вставки контента, печати, создания снимков экрана при работе с документами.
Кроме непосредственной защиты данных на мобильных устройствах, будь то лэптоп или смартфон, очень важно контролировать и весь комплекс остальных мер по обеспечению безопасности. Для своих мобильных продуктов Microsoft предлагает решения, обеспечивающие централизованный контроль за параметрами безопасности ОС и программного обеспечения, установкой обновлений, антивирусной безопасностью и т. п. Для этого в корпоративных сетях предлагается использовать технологию Microsoft Active Directory, являющуюся частью продукта Microsoft Windows Server, комплекс продуктов корпоративного управления – System Center. Последний, среди прочего, обеспечивает инвентаризацию, контроль настроек, установку ПО и обновлений, управление антивирусными продуктами Microsoft Forefront для локальных ПК и мобильных пользователей, контроль за настройками корпоративных мобильных телефонов.
Но даже при использовании всех этих технологий остается вероятность того, что мобильное устройство, находясь в «полях», может быть скомпрометировано, например, заражено вирусом и после внесено в корпоративную сеть, представляя угрозу другим серверам и клиентам сети. Для обеспечения динамической проверки мобильных устройств, подключающихся к корпоративной сети, рекомендуется использование технологии Microsoft Network Access Protection (NAP), которая обеспечивает проверку статуса «здоровья» клиента – т. е. выполнение на нем всех обязательных настроек и мер безопасности – перед подключением его к корпоративной сети, например, по протоколам DHCP или 802.1х. При неправильном статусе проверки (например, отсутствуют «свежие» версии базы антивируса) такой мобильный клиент получит IP-адрес/VLAN ID карантинной сети, где он будет находиться до того времени, пока не будут загружены необходимые базы антивируса, не будет выполнена полная проверка клиента антивирусом и NAP не убедится в том, что теперь клиент полностью соответствует требованиям компании. После чего клиент, проверенный NAP, переводится в общую сеть компании.
Михаил Савушкин, Symantec
Все больше компаний решаются на использование мобильных устройств для доступа к корпоративным ресурсам. Вначале заказчики переводят в облако электронную почту, а затем и полноценные бизнес-приложения (электронный документооборот, ERP, CRM и т. д.). Когда поднимается вопрос о безопасности, то в первую очередь необходимо понять, на каком уровне надо обеспечить защиту — на уровне мобильного устройства или же приложения, которое имеет доступ к корпоративной информации.
Решения, обеспечивающие BYOD в организациях, позволяют определять парольные политики, распространение сертификатов и настроек VPN, осуществлять удаление данных при помощи технологий удаленного доступа (как полностью, так и только тех, которые распространялись), обеспечивать аутентификацию при доступе к корпоративным приложениям, ограничивать доступ к использованию приложений, в случае, если корпоративный сервер недоступен, определять политики безопасности приложений (например, приложения, используемого для электронной почты — NitroDesk TouchDown). Определить, что хочет защищать заказчик — первоочередная задача, а потом уже определяются политики, применимые для различных мобильных платформ (каждая мобильная платформа — iOS, Android, Windows Phone — обладает своими, специфичными политиками).
Алексей Ясинский
У компания McAfee есть специализированное решение по управлению и защите мобильных устройств – McAfee Enterprise Mobility Management (McAfee EMM). Решение работает с основными мобильными ОС на рынке: iOS(iPhone, iPad), Android, Windows7 и Blackberry. Позволяет разграничивать личные и корпоративные устройства, интегрирует в себе средства обеспечения безопасного доступа к мобильным приложениям, защиту от вредоносных программ, строгую аутентификацию, высокую степень доступности и функции формирования отчетов для нормативно-правового соответствия.
Мы предлагаем проверенные решения от компаний AirWatch, MobileIron, GoodTechnology, McAfee, Symantec, IBM, которые представлены программными, аппаратными, а также облачными вариантами поставки.
Технологии контроля сетевого доступа сегодня, переживают очередную веху эволюции. Вначале такой контроль ограничивался сетевыми адресами (всевозможные списки контроля доступа), затем были добавлены идентификаторы (логин/пароль, одноразовые пароли, штампы времени, цифровые сертификаты и т.д.). Сейчас же контроль становится интеллектуальным благодаря применению политик, основанных не на персоналиях, а на групповых ролях, единых для всего периметра организации. При этом пользователь должен получить доступ только к тем ресурсам, которые предписаны ему в рамках должностных обязанностей, и только тогда, когда устройство соответствует критериям политики, принятой и действующей в организации.
Александр Стафоркин, «Комплексные решения»
Мы предлагаем такие решения как Advanced Mobile Device Management (Mobile Iron), Symantec Mobile Security Suite for Windows Mobile и Kaspersky Mobile Security.)
