מדיניות אבטחה, רוט ו-ROM מותאמים אישית מאזן בין עשה ואל תעשה

אנחנו אוהבים את המכשירים הניידים שלנו - ועבור רבים מאיתנו כאן ב-XDA, לעתים קרובות אנו מתמודדים עם מאבק כאשר אנו רוצים לקחת את האהבה הזו למכשירים שלנו ולהתחיל ליישם זאת במשרד.

לאלו מאיתנו שמנהלים עסק משלנו ומבינים את הסיכונים הללו, ייתכן שיש לנו מקרה קל יותר מאשר לשארינו שחייבים לציית למדיניות הארגונית. האתגר הוא שלטוב ולרע, הדברים נעשים בטוחים יותר מתוך צורך. תאגידים גדולים יותר רודפים אחר אישורים כגון ISO 27001 כדי להבטיח ללקוחות שהנתונים שלהם מאובטחים. מגזר העסקים הקטנים-בינוניים (SMB) מגיע לנקודה שבה מודרניזציה פירושה אימוץ טכנולוגיה ניידת; זה אומר שהם יצטרכו להתמודד גם עם הסיכונים של זה. אז איך נוכל למצוא איזון טוב בין הצורך של חברה לשלוט במידע המשותף עם מכשירים ניידים עם אחד גמיש מספיק כדי שנוכל לנצל כמה מהדברים הנהדרים שאנחנו עושים כאן XDA?

חשוב לציין בתחילת הדיון הזה שלפעמים פשוט לא ניתן להתחתן עם השניים, ושחלק מהאנשים לא תהיה ברירה אלא לשאת מכשיר שני, אישי באמת, אם הם רוצים לעשות מעבר למגבלות של מכשיר ארגוני. לדוגמה, אלה שעוקבים אחר ה סטנדרטים של ארצות הברית לאבטחת מכשירים - אשר תאגידים גדולים וממשלות רבים עשויים להידרש לעקוב אחריהם - יצטרכו להבין שהם שם כדי להגן על הרבה יותר מהנתונים שיוצאים למכשיר שלך, אלא גם על מה שיכול להישלח בחזרה ב. הסיכון לאובדן מידע רגיש במקרים כגון שירותי בריאות הוא כה חמור עד כי

ממשלת ארה"ב מציעה עצות כיצד לגשת לזה ועשויים להיות מוגבלים יותר על ידי חוקי המדינה או המקומיים. אבל זה לא אומר שאפילו כמה מהתאגידים הגדולים בעולם יאלצו אותך לגישה של "יחידה מתאימה לכולם".

גישת האבטחה המדורגת של אינטל (מבחן מקרה 2012)

בזמן שהשתתפה בכנס של אינטל ב-2014, אחד הדוברים שם סיקר את הגישה של אינטל לניהול מכשירים ואת מגמת ה-Bring-Your-Own-Device (BYOD). מה שעשוי להפתיע חלק מהקוראים הוא שהם לא רק קיבלו בברכה אלא אימצו את הגישה הזו לפני שנים. במקום להשתמש בפתרון אחד עבור כל המכשירים אינטל משתמשת בגישה מדורגת לאבטחת המידע שלהם שלא השתנתה הרבה מחקר מקרה שפורסם בשנת 2012. כפי שמראה התמונה מימין, הסיכון גבוה יותר הקשור בגישה לנתונים או בצורך להתממשק עם תוצאות מוגברת של אבטחה וניהול על ידי החברה.

כפי שהבהיר הדובר לאחר הפגישה, זה עשוי להיות פשוט כמו הגבלת משתמשים למידע ציבורי או למערכות מבוססות התחברות. אחרים עשויים לדרוש רישום של כתובת ה-MAC של המכשיר כדי לגשת לנתונים כך שיהיה ברור למי יש את הגישה - הנחוצה כאשר מנסים לשמור על אחריות. לבסוף, אלה שרוצים או צריכים גישה מלאה יצטרכו להפריד את המכשיר האישי שלהם או לקבל את ההגבלות של פתרון MDM שמספק אינטל. החדשות הטובות לגבי סוג זה של גישה הן שהיא אינה שוללת על הסף את היכולת לבצע רוט או להפעיל תוכנות מותאמות אישית במכשיר. הדובר, עובד אינטל, הבהיר כי בוודאי ברמות הנמוכות יותר הדבר עשוי להיות אפשרי - כאשר ברמות גבוהות יותר הם ידרשו את הפתרונות המכילים (כגון ה-KNOX של סמסונג) כדי להישאר שלם.

במידה רבה, זה עזר לי ליצור מודל בסיס עבור BYOD ומכשירים שאינם תאגידים גם בעבודה היומיומית שלי. אני בדרך כלל מגביל מכשירים שאינם של חברה לנקודת גישה ציבורית ל-WiFi ברוחב פס נמוך, אבל גם אז זה מיועד לאורחים בלבד. מכשירי החברה, שכרגע אינם מתממשקים ישירות למערכת התפעול שלנו, מקבלים גישה לדואר האלקטרוני שלנו. אבל כשאנחנו מתקרבים לנקודה שבה טאבלטים יחולקו לעובדים ויחליפו איתם נתונים מערכות התפעול שלנו - גם אם בעקיפין - מכשירים אלו יהפכו לכפופים למכשיר נייד הַנהָלָה. ויש מקום להתאים את זה ברוב פתרונות ה-MDM העיקריים: כשבדקנו את Airwatch עבור המעסיק הקודם שלי, הצלחנו לרשום מכשיר, לראות אותו נושר ברגע שהוא זיהה גישת שורש או שהופעל דגל Knox, או הקצה אותו לקבוצה שאפשרה גישה זו אך הגבילה את הנתונים והמערכות שהמכשיר יכול לגשת אליו בתוך החברה תַשׁתִית. מעבר על כל האפשרויות מאפשר לי - או למנהלי IT אחרים - לחסום את הדברים שאנחנו לא צריכים סביבה (מצטערים, עובדים - ללא YouTube) תוך הבטחה שאנו שומרים על הפונקציות הדרושות כדי להשלים את עבודה.

מה לגבי אנשים שסקרנים לדעת מה לעשות במקום העבודה שלהם? אל תדאג - אתה לא לבד. בין אם אתה מחלקת IT של איש אחד עבור החברה שלך, בעלים שמנסה לנווט את דרכך, עובד שמנסה להבין מה אפשר ומה לא ניתן לעשות או ספק שצריך להבין אילו מגבלות עשויות להיות במקום - חלק גדול מאיתנו מחוץ לסביבה הארגונית מתמודדים עם זה עכשיו בפעם הראשונה זְמַן. עם זאת בחשבון, אנו כאן ב-XDA מציעים כמה "עשה ואל תעשה" הן לעסקים והן למשתמשים המעוניינים לעזור למצוא את האיזון הזה.

עסקים:

  • לַעֲשׂוֹת להבין את הסיכונים. אפילו משהו פשוט כמו לאפשר לאנשים גישה לרשתות דואר אלקטרוני או Wi-Fi יכול לחשוף סיכון לחברה. במקביל האם אתה רוצה שלמכשירים - אפילו טלוויזיות עכשיו שמגיעות עם אנדרואיד מותקן - תהיה גישה בלתי מוגבלת לדברים שאתה מעדיף שלא?
  • לַעֲשׂוֹת להכין תוכנית כיצד להפחית את הסיכונים הללו. אל תפחד להזעיק מומחה אבטחה שיעזור לך להעריך את הסיכונים הללו, במיוחד לפני שתבצע שינוי מסיבי באופן הטיפול במכשירים ניידים במקום העבודה. זה אולי לא MDM אלא מדיניות שעובדים צריכים לחתום עליה - אבל לא לעשות כלום הופך את הסביבה שלך למקבילה של "המערב הפרוע".
  • לַעֲשׂוֹת לתקשר את התוכנית הזו עם המשתמשים שלך. ככל שתבהיר יותר מה עובדים/אורחים יכולים ומה לא יכולים לעשות, כך יהיה קל יותר לא רק לדבוק בתוכנית אלא גם לאכוף אותה במידת הצורך.
  • לַעֲשׂוֹת סקור באופן קבוע את התוכנית כדי לוודא שהיא עדיין מתאימה לצרכי העסק. חשוב מכך, בצע פעולה והתאם את התוכנית במידת הצורך.
  • אל תעשה להתעלם מהצורך לטפל בזה. עם שלל נושאי האבטחה נוכחים ורק הולכים וגדלים מדי יום, הגישה הפתגמית של ראש בחול רק תעכב את הכאב, לא תמנע ממנו.
  • אל תעשה לכו עם מודל או תוכנית אבטחה שלא השקעתם זמן במחקר. אחת הסיבות הגדולות ביותר לכך שתוכנית אבטחה נכשלת היא משום שהיא לא תוכננה על סמך הצרכים של החברה שלך אלא על סמך מה שמישהו אחר הציע.

משתמשים בעסק - עובדים, ספקים, אורחים:

  • לַעֲשׂוֹת לכבד את הצורך של חברה להחזיק אבטחה במקום, במיוחד עם מכשירים ניידים. המדיניות יכולה להיות פשוטה כמו אפילו לא לאפשר מכשירים בשטחי החברה, אבל בסופו של דבר זה כך שֶׁלָהֶם העסק, וכיצד לאבטח כראוי זאת היא הבחירה שלהם.
  • לַעֲשׂוֹת שאל, במיוחד אם אינך יודע, מהן האפשרויות שלך עבור BYOD או גישה לנתוני החברה במכשיר נייד. יכול להיות שיש להם משהו בעבודה והם עדיין לא הכריזו על כך. עדיין לא הכרתי מעסיק אחד שיטיל משמעת על עובד, ספק או אורח על ששאלו מה הם יכולים לעשות לפני שהם באמת עושים משהו בתחום הזה.
  • לַעֲשׂוֹת הצע הצעות או משוב לחברה שלך אם אתה מרגיש שתוכנית האבטחה הנוכחית לא משרתת את הצרכים שלך. חברות רבות מציעות משוב או מדיניות שיפור כדי לעזור בדיוק בדברים כאלה. אבל הקפד כשתסביר את זה, תסביר למהואיך צריך לשנות אותו. לפרטים יש חשיבות רבה כאן.
  • אל תעשה תעשה מה שאתה רוצה או תנסה לעקוף את המדיניות... אלא אם כן התפקיד שלך לעשות זאת. רוב החברות מציבות זאת ברמת חומרה כזו שאפילו הפרות לא מכוונות של מדיניות האבטחה עלולה להוביל להליכים משמעתיים, לסיום או גרוע מכך.

האם אתה בעל עסק או משתמש שהתמודד עם המצב הזה? מתמודד עם המצב הזה עכשיו אבל לא בטוח איך להמשיך? אתם מוזמנים להוסיף את דעתכם בתגובות למטה ובואו נמשיך בדיון!