Amiamo i nostri dispositivi mobili e molti di noi qui su XDA spesso affrontano difficoltà quando vogliamo prendere quell'amore per i nostri dispositivi e iniziare ad applicarlo in ufficio.
Per quelli di noi che gestiscono la propria attività e comprendono tali rischi, potremmo avere un caso più semplice rispetto al resto di noi che deve seguire la politica aziendale. La sfida è che, nel bene e nel male, le cose stanno diventando più sicure non necessario. Le aziende più grandi stanno cercando certificazioni come ISO27001 per garantire ai clienti che i loro dati sono al sicuro. Il segmento delle piccole e medie imprese (PMI) sta raggiungendo un punto in cui modernizzarsi significa abbracciare la tecnologia mobile; ciò significa che dovranno affrontare anche i rischi di questo. Quindi, come possiamo trovare un felice equilibrio tra la necessità per un'azienda di controllare le informazioni condivise? con i dispositivi mobili con uno abbastanza flessibile da consentirci di sfruttare alcune delle grandi cose che facciamo qui XDA?
È importante notare all'inizio di questa discussione che a volte non è proprio possibile sposare i due, e che alcune persone non avranno altra scelta se non quella di portare con sé un secondo dispositivo, veramente personale, se vogliono andare oltre le restrizioni di un dispositivo aziendale. Ad esempio, quelli che seguono il Standard statunitensi per la sicurezza dei dispositivi - che anche molte grandi aziende e governi potrebbero essere tenuti a seguire - dovranno comprendere che sono lì per proteggere molto più che i dati in uscita sul tuo dispositivo ma anche ciò che può essere rispedito indietro In. Il rischio di perdere informazioni sensibili in casi come l'assistenza sanitaria è così grave che Il governo degli Stati Uniti offre consigli su come affrontare questa situazione e potrebbe essere ulteriormente limitato dalle leggi statali o locali. Ma ciò non significa che anche alcune delle più grandi aziende del mondo ti costringeranno ad adottare un approccio “unico per tutti”.
Durante una conferenza Intel nel 2014, uno dei relatori ha parlato dell'approccio di Intel alla gestione dei dispositivi e alla tendenza Bring-Your-Own-Device (BYOD). Ciò che potrebbe sorprendere alcuni lettori è che non solo hanno accolto con favore, ma hanno anche abbracciato questo approccio anni fa. Invece di utilizzare un'unica soluzione per tutti i dispositivi, Intel utilizza un approccio a più livelli alla sicurezza delle informazioni che non è cambiato molto rispetto al suo caso di studio pubblicato nel 2012. Come mostra l'immagine a destra, maggiore è il rischio associato all'accesso ai dati o alla necessità di interfacciarsi, maggiore è la sicurezza e la gestione da parte dell'azienda.
Come ha chiarito il relatore dopo la sessione, ciò potrebbe essere semplice come limitare gli utenti alle informazioni pubbliche o ai sistemi basati sul login. Altri potrebbero richiedere la registrazione dell'indirizzo MAC del dispositivo per accedere ai dati in modo che sia chiaro chi ha l'accesso, cosa necessaria quando si cerca di mantenere la responsabilità. Infine, coloro che desiderano o necessitano dell'accesso completo dovranno segregare il proprio dispositivo personale o accettare le restrizioni di una soluzione MDM fornita da Intel. La buona notizia di questo tipo di approccio è che non nega del tutto la possibilità di eseguire il root o eseguire software personalizzato sul dispositivo. Il relatore, un dipendente Intel, ha chiarito che certamente ai livelli più bassi ciò potrebbe essere possibile - mentre ai livelli più alti sarebbero necessarie soluzioni containerizzate (come KNOX di Samsung) per rimanere intatto.
In larga misura, mi ha aiutato a creare un modello base per i dispositivi BYOD e non aziendali anche nel mio lavoro quotidiano. In genere limito i dispositivi non aziendali a un punto di accesso Wi-Fi pubblico con larghezza di banda ridotta, ma anche in questo caso è riservato agli ospiti. I dispositivi aziendali, che attualmente non si interfacciano direttamente con il nostro sistema operativo, hanno accesso alla nostra posta elettronica. Ma ci avviciniamo al punto in cui i tablet verranno distribuiti ai dipendenti e con loro scambieranno dati i nostri sistemi operativi – anche se indirettamente – questi dispositivi diventeranno soggetti a Mobile Device Gestione. E c'è spazio per aggiustamenti nella maggior parte delle principali soluzioni MDM: durante il test di Airwatch per il mio precedente datore di lavoro, siamo stati in grado di registrare un dispositivo e vederlo cadere nel momento in cui è stato consegnato. ha rilevato l'accesso root o è stato attivato il flag Knox oppure assegnarlo a un gruppo che ha consentito questo accesso ma ha poi limitato i dati e i sistemi a cui il dispositivo può accedere all'interno dell'azienda infrastruttura. L'esame di tutte le opzioni consente a me, o ad altri amministratori IT, di bloccare quelle cose di cui non abbiamo bisogno nel nostro ambiente (scusate, dipendenti - no YouTube) garantendo al tempo stesso di mantenere le funzioni necessarie per completare il lavoro.
Che dire delle persone curiose di cosa fare nel proprio posto di lavoro? Non preoccuparti: non sei solo. Che tu sia un dipartimento IT composto da un solo uomo per la tua azienda, un proprietario che cerca di orientarsi in questo processo, un dipendente che cerca di capire cosa si può e cosa non si può fare o un fornitore che ha bisogno di capire quali restrizioni potrebbero essere in vigore: molti di noi al di fuori dell'ambiente aziendale si trovano ad affrontare questo problema per la prima volta tempo. Con questo in mente, noi di XDA offriamo alcune "cose da fare e da non fare" sia per le aziende che per gli utenti che desiderano aiutare a trovare questo equilibrio.
Imprese:
- FARE comprendere i rischi. Anche qualcosa di semplice come consentire alle persone l'accesso alla posta elettronica o alle reti Wi-Fi può esporre a un rischio l'azienda. Allo stesso tempo, vuoi che i dispositivi, anche i televisori che ora hanno Android installato, abbiano accesso illimitato a cose che preferiresti non facessero?
- FARE elaborare un piano su come mitigare tali rischi. Non aver paura di chiamare un esperto di sicurezza per aiutarti a valutare tali rischi, soprattutto prima di intraprendere un cambiamento massiccio nel modo in cui verranno gestiti i dispositivi mobili sul posto di lavoro. Potrebbe non essere MDM ma una politica che i dipendenti devono firmare, ma non fare nulla rende il tuo ambiente l'equivalente del "selvaggio West".
- FARE comunica questo piano ai tuoi utenti. Quanto più si chiarisce cosa i dipendenti/ospiti possono e non possono fare, tanto più facile dovrebbe essere non solo aderire al piano ma anche applicarlo se necessario.
- FARE rivedere regolarmente il piano per assicurarsi che sia ancora adatto alle esigenze dell'azienda. Ancora più importante, agire e modificare il piano se necessario.
- NON ignorare la necessità di affrontare questo problema. Con la miriade di problemi di sicurezza presenti e in aumento ogni giorno, il proverbiale approccio “testa nella sabbia” non farà altro che ritardare il dolore, non evitarlo.
- NON scegli un modello o un piano di sicurezza su cui non hai investito tempo nella ricerca. Uno dei motivi principali per cui un piano di sicurezza fallisce è perché non è stato progettato in base alle esigenze della tua azienda ma piuttosto a ciò che qualcun altro ha suggerito.
Utenti di un'azienda: dipendenti, venditori, ospiti:
- FARE rispettare la necessità per un'azienda di dotarsi di sicurezza, in particolare con i dispositivi mobili. La politica potrebbe essere semplice come non consentire nemmeno l'accesso ai dispositivi nei locali aziendali, ma alla fine è così loro affari e come garantire adeguatamente questa è la loro scelta.
- FARE chiedi, soprattutto se non lo sai, quali sono le opzioni a tua disposizione per il BYOD o per l'accesso ai dati aziendali da dispositivo mobile. Potrebbe essere che abbiano qualcosa in cantiere e non lo abbiano ancora annunciato. Devo ancora conoscere un solo datore di lavoro che possa disciplinare un dipendente, un venditore o un ospite per aver chiesto cosa possono fare prima di fare effettivamente qualcosa in questo ambito.
- FARE offri suggerimenti o feedback alla tua azienda se ritieni che l'attuale piano di sicurezza non soddisfi le tue esigenze. Molte aziende offrono una politica di feedback o di miglioramento per aiutare esattamente con cose come questa. Ma assicurati di spiegare questo quando lo spieghi Perchée come ha bisogno di essere cambiato. I dettagli contano molto qui.
- NON fai quello che vuoi o prova ad aggirare la policy... a meno che non sia tuo compito farlo. La maggior parte delle aziende pone questo livello di gravità a un livello tale che anche violazioni involontarie della politica di sicurezza possono portare ad azioni disciplinari, licenziamento o peggio.
Sei un imprenditore o un utente che ha dovuto affrontare questa situazione? Stai affrontando questa situazione ora ma non sai come procedere? Sentiti libero di aggiungere i tuoi pensieri nei commenti qui sotto e continuiamo la discussione!