सुरक्षा नीति, रूट और कस्टम रोम क्या करें और क्या न करें को संतुलित करना

एक्सडीए सुविधाNov 12, 2023
click fraud protection

हम अपने मोबाइल उपकरणों से प्यार करते हैं - और यहां XDA पर हममें से कई लोगों के लिए, हमें अक्सर एक संघर्ष का सामना करना पड़ता है जब हम अपने उपकरणों के लिए उस प्यार को लेना चाहते हैं और उसे कार्यालय में लागू करना शुरू करते हैं।

हममें से उन लोगों के लिए जो अपना खुद का व्यवसाय चलाते हैं और उन जोखिमों को समझते हैं, हमारे पास बाकी लोगों की तुलना में आसान मामला हो सकता है जिन्हें कॉर्पोरेट नीति का पालन करना चाहिए। चुनौती यह है कि, बेहतर या बदतर, चीजें अधिक सुरक्षित हो रही हैं आवश्यकता वश. बड़े निगम जैसे प्रमाणपत्रों का पीछा कर रहे हैं आईएसओ 27001 ग्राहकों को यह आश्वस्त करने में मदद करने के लिए कि उनका डेटा सुरक्षित है। लघु-से-मध्यम व्यवसाय (एसएमबी) खंड एक ऐसे बिंदु पर पहुंच रहा है जहां आधुनिकीकरण का मतलब मोबाइल प्रौद्योगिकी को अपनाना है; इसका मतलब है कि उन्हें इसके जोखिमों का भी समाधान करना होगा। तो हम किसी कंपनी द्वारा साझा की जाने वाली जानकारी को नियंत्रित करने की आवश्यकता के बीच एक सुखद संतुलन कैसे पा सकते हैं ऐसे मोबाइल उपकरणों के साथ जो इतने लचीले हैं कि हम यहां किए गए कुछ बेहतरीन कामों का लाभ उठा सकते हैं एक्सडीए?

इस चर्चा की शुरुआत में यह ध्यान रखना महत्वपूर्ण है कि कभी-कभी दोनों का विवाह करना संभव नहीं होता है, और कुछ लोग यदि वे कॉर्पोरेट डिवाइस के प्रतिबंधों से परे जाना चाहते हैं, तो उनके पास दूसरा, वास्तव में व्यक्तिगत, डिवाइस ले जाने के अलावा कोई विकल्प नहीं होगा। उदाहरण के लिए, जो इसका अनुसरण करते हैं डिवाइस सुरक्षा के लिए संयुक्त राज्य अमेरिका के मानक - जिसे कई बड़े निगमों और सरकारों को भी पालन करने की आवश्यकता हो सकती है - समझने की आवश्यकता होगी वे आपके डिवाइस पर जाने वाले डेटा से कहीं अधिक की रक्षा करने के लिए हैं, बल्कि वापस भेजे जाने वाले डेटा की भी रक्षा करने के लिए हैं में। स्वास्थ्य देखभाल जैसे मामलों में संवेदनशील जानकारी खोने का जोखिम इतना गंभीर है अमेरिकी सरकार इस बारे में सलाह देती है कि इससे कैसे निपटा जाए और इसे राज्य या स्थानीय कानूनों द्वारा आगे प्रतिबंधित किया जा सकता है। लेकिन इसका मतलब यह नहीं है कि दुनिया के कुछ सबसे बड़े निगम भी आपको "एक आकार-सभी के लिए फिट" दृष्टिकोण के लिए मजबूर करेंगे।

इंटेल का स्तरीय सुरक्षा दृष्टिकोण (2012 केस स्टडी)

2014 में एक इंटेल सम्मेलन में भाग लेने के दौरान, वहां वक्ताओं में से एक ने डिवाइस प्रबंधन के लिए इंटेल के दृष्टिकोण और ब्रिंग-योर-ओन-डिवाइस (BYOD) प्रवृत्ति पर चर्चा की। कुछ पाठकों को आश्चर्य हो सकता है कि उन्होंने वर्षों पहले इस दृष्टिकोण का न केवल स्वागत किया बल्कि इसे अपनाया भी। सभी उपकरणों के लिए एक समाधान का उपयोग करने के बजाय इंटेल उनकी सूचना सुरक्षा के लिए एक स्तरीय दृष्टिकोण का उपयोग करता है जिसमें इससे बहुत अधिक बदलाव नहीं हुआ है 2012 में प्रकाशित केस स्टडी. जैसा कि दाहिनी ओर की छवि से पता चलता है, डेटा तक पहुंचने या उसके साथ इंटरफेस करने की आवश्यकता से जुड़ा जोखिम जितना अधिक होगा, कंपनी द्वारा सुरक्षा और प्रबंधन में वृद्धि होगी।

जैसा कि सत्र के बाद वक्ता ने स्पष्ट किया, यह उपयोगकर्ताओं को सार्वजनिक सूचना या लॉगिन-आधारित सिस्टम तक सीमित करने जितना सरल हो सकता है। दूसरों को डेटा तक पहुंचने के लिए डिवाइस के मैक पते के पंजीकरण की आवश्यकता हो सकती है ताकि यह स्पष्ट हो कि किसके पास पहुंच है - जवाबदेही बनाए रखने की कोशिश करते समय यह आवश्यक है। अंत में, जो लोग पूर्ण पहुंच चाहते हैं या उन्हें इसकी आवश्यकता है, उन्हें या तो अपने व्यक्तिगत डिवाइस को अलग करना होगा या इंटेल द्वारा प्रदान किए गए एमडीएम समाधान के प्रतिबंधों को स्वीकार करना होगा। इस प्रकार के दृष्टिकोण के बारे में अच्छी खबर यह है कि यह डिवाइस पर कस्टम सॉफ़्टवेयर को रूट करने या चलाने की क्षमता से पूरी तरह इनकार नहीं करता है। वक्ता, एक इंटेल कर्मचारी, ने स्पष्ट किया कि निश्चित रूप से निचले स्तरों पर यह संभव हो सकता है - जहां उच्च स्तरों पर उन्हें कंटेनरीकृत समाधानों की आवश्यकता होगी (जैसे कि सैमसंग का KNOX) अक्षुण्ण रहना।

काफी हद तक, इससे मुझे अपने रोजमर्रा के काम में भी BYOD और गैर-कॉर्पोरेट उपकरणों के लिए एक आधार मॉडल बनाने में मदद मिली है। मैं आम तौर पर गैर-कंपनी उपकरणों को कम-बैंडविड्थ वाले सार्वजनिक वाईफाई एक्सेस प्वाइंट तक सीमित रखता हूं, लेकिन फिर भी यह केवल मेहमानों के लिए है। कंपनी के उपकरण, जो वर्तमान में हमारे संचालन प्रणाली के साथ सीधे इंटरफ़ेस नहीं करते हैं, उन्हें हमारे ई-मेल तक पहुंच प्रदान की जाती है। लेकिन जैसे-जैसे हम उस बिंदु पर पहुंचते हैं जहां कर्मचारियों को टैबलेट वितरित किए जाएंगे और डेटा का आदान-प्रदान किया जाएगा हमारी संचालन प्रणालियाँ - भले ही अप्रत्यक्ष रूप से - ये उपकरण मोबाइल डिवाइस के अधीन हो जाएंगे प्रबंधन। और अधिकांश प्रमुख एमडीएम समाधानों में इसे समायोजित करने की गुंजाइश है: मेरे पिछले नियोक्ता के लिए एयरवॉच का परीक्षण करते समय, हम एक डिवाइस को नामांकित करने में सक्षम थे, इसे उसी क्षण बंद होते हुए देखें रूट एक्सेस का पता लगाया गया या नॉक्स फ़्लैग ट्रिगर किया गया, या इसे किसी ऐसे समूह को सौंपा गया जिसने इस एक्सेस की अनुमति दी लेकिन फिर यह प्रतिबंधित कर दिया कि डिवाइस कंपनी के भीतर किस डेटा और सिस्टम तक पहुंच सकता है आधारभूत संरचना। सभी विकल्पों के माध्यम से जाने से मुझे - या अन्य आईटी प्रशासकों को - उन चीज़ों को ब्लॉक करने की अनुमति मिलती है जिनकी हमें आवश्यकता नहीं है पर्यावरण (क्षमा करें, कर्मचारी - कोई YouTube नहीं) यह सुनिश्चित करते हुए कि हम उन कार्यों को बनाए रखें जो पूरा करने के लिए आवश्यक हैं काम।

उन लोगों के बारे में क्या जो इस बात को लेकर उत्सुक हैं कि अपने कार्यस्थल पर क्या करें? चिंता न करें - आप अकेले नहीं हैं। चाहे आप अपनी कंपनी के लिए एक व्यक्ति वाले आईटी विभाग हों, एक मालिक हों जो इसके माध्यम से आपका रास्ता तलाशने की कोशिश कर रहे हों, एक कर्मचारी हों जो यह पता लगाने की कोशिश कर रहे हों कि क्या किया जा सकता है और क्या नहीं। या एक विक्रेता को यह समझने की आवश्यकता है कि क्या प्रतिबंध लागू हो सकते हैं - उद्यम वातावरण के बाहर हममें से बहुत से लोग पहली बार इसका सामना कर रहे हैं समय। इसे ध्यान में रखते हुए, हम यहां XDA में उन व्यवसायों और उपयोगकर्ताओं दोनों के लिए कुछ "क्या करें और क्या न करें" की पेशकश करते हैं जो उस संतुलन को खोजने में मदद करना चाहते हैं।

व्यवसायों:

  • करना जोखिमों को समझें. यहां तक ​​कि लोगों को ई-मेल या वाई-फाई नेटवर्क तक पहुंच की अनुमति देने जैसी सरल बात भी कंपनी के लिए जोखिम पैदा कर सकती है। साथ ही क्या आप चाहते हैं कि डिवाइस - यहां तक ​​कि टीवी भी जो अब एंड्रॉइड इंस्टॉल के साथ आते हैं - उन चीज़ों तक निर्बाध पहुंच हो जो आप चाहते हैं कि वे न हों?
  • करना उन जोखिमों को कैसे कम किया जाए, इस पर एक योजना बनाएं। उन जोखिमों का आकलन करने में मदद के लिए किसी सुरक्षा विशेषज्ञ को बुलाने से न डरें, खासकर कार्यस्थल में मोबाइल उपकरणों को संभालने के तरीके में बड़े पैमाने पर बदलाव करने से पहले। यह एमडीएम नहीं बल्कि एक नीति हो सकती है जिस पर कर्मचारियों को हस्ताक्षर करना होगा - लेकिन कुछ भी नहीं करना आपके पर्यावरण को "वाइल्ड वेस्ट" के बराबर बनाता है।
  • करना इस योजना को अपने उपयोगकर्ताओं के साथ संप्रेषित करें। जितना अधिक आप यह स्पष्ट करेंगे कि कर्मचारी/अतिथि क्या कर सकते हैं और क्या नहीं, उतना ही आसान होगा न केवल योजना का पालन करना बल्कि यदि आवश्यक हो तो इसे लागू करना भी।
  • करना यह सुनिश्चित करने के लिए नियमित रूप से योजना की समीक्षा करें कि यह अभी भी व्यवसाय की आवश्यकताओं के अनुरूप है। इससे भी महत्वपूर्ण बात यह है कि यदि आवश्यक हो तो कार्रवाई करें और योजना को समायोजित करें।
  • नहीं इस पर ध्यान देने की आवश्यकता को नजरअंदाज करें। असंख्य सुरक्षा संबंधी मुद्दे मौजूद हैं और दिन-ब-दिन बढ़ते जा रहे हैं, लौकिक 'सिर-में-रेत' दृष्टिकोण केवल दर्द को विलंबित करेगा, उसे टालेगा नहीं।
  • नहीं ऐसे मॉडल या सुरक्षा योजना के साथ जाएं जिस पर शोध करने के लिए आपने समय नहीं लगाया है। किसी सुरक्षा योजना के विफल होने का सबसे बड़ा कारण यह है कि इसे आपकी कंपनी की ज़रूरतों के आधार पर नहीं बल्कि किसी और के सुझाव के आधार पर डिज़ाइन किया गया है।

व्यवसाय के उपयोगकर्ता - कर्मचारी, विक्रेता, अतिथि:

  • करना किसी कंपनी की सुरक्षा की आवश्यकता का सम्मान करें, विशेषकर मोबाइल उपकरणों के मामले में। नीति इतनी सरल हो सकती है कि कंपनी परिसर में उपकरणों की अनुमति भी न दी जाए, लेकिन अंत में यह है उनका व्यवसाय, और इसे ठीक से कैसे सुरक्षित किया जाए यह उनकी पसंद है।
  • करना पूछें, खासकर यदि आप नहीं जानते कि BYOD या मोबाइल डिवाइस पर कंपनी डेटा तक पहुँचने के लिए आपके पास क्या विकल्प हैं। ऐसा हो सकता है कि उनके पास कुछ काम हो और उन्होंने अभी तक इसकी घोषणा नहीं की हो। मुझे अभी तक एक भी ऐसा नियोक्ता नहीं मिला है जो किसी कर्मचारी, विक्रेता या अतिथि को यह पूछने के लिए अनुशासित कर सके कि इस क्षेत्र में वास्तव में कुछ करने से पहले वे क्या कर सकते हैं।
  • करना यदि आपको लगता है कि वर्तमान सुरक्षा योजना आपकी आवश्यकताओं को पूरा नहीं करती है तो अपनी कंपनी को सुझाव या प्रतिक्रिया दें। कई कंपनियां इस तरह की चीज़ों में मदद के लिए फीडबैक या सुधार नीति पेश करती हैं। लेकिन यह सुनिश्चित करें कि जब आप इसे समझाएं तो समझाएं क्योंऔर कैसे इसे बदलने की जरूरत है. यहां विवरण बहुत मायने रखते हैं.
  • नहीं आप जो चाहें करें या नीति को दरकिनार करने का प्रयास करें... जब तक कि ऐसा करना आपका काम न हो। अधिकांश कंपनियां इसे इतनी गंभीरता के तहत रखती हैं कि सुरक्षा नीति के अनजाने उल्लंघन पर भी अनुशासनात्मक कार्रवाई, बर्खास्तगी या इससे भी बदतर स्थिति हो सकती है।

क्या आप एक व्यवसाय स्वामी या उपयोगकर्ता हैं जिसने इस स्थिति का सामना किया है? अब इस स्थिति का सामना करना पड़ रहा है लेकिन पता नहीं कि कैसे आगे बढ़ना है? बेझिझक नीचे टिप्पणी में अपने विचार जोड़ें और आइए चर्चा जारी रखें!