Polityka bezpieczeństwa, rootowanie i niestandardowe ROMy, równoważenie nakazów i zakazów

Kochamy nasze urządzenia mobilne — i dla wielu z nas tutaj, na XDA, często stajemy przed problemem, gdy chcemy przenieść tę miłość do naszych urządzeń i zacząć ją stosować w biurze.

Dla tych z nas, którzy prowadzą własną działalność gospodarczą i rozumieją związane z tym ryzyko, możemy mieć łatwiejszą sprawę niż reszta z nas, która musi przestrzegać polityki korporacyjnej. Wyzwanie polega na tym, że – na dobre i na złe – sytuacja staje się coraz bezpieczniejsza z konieczności. Większe korporacje gonią za certyfikatami takimi jak ISO27001 aby zapewnić klientów, że ich dane są bezpieczne. Segment małych i średnich przedsiębiorstw (SMB) osiąga punkt, w którym modernizacja oznacza wykorzystanie technologii mobilnej; oznacza to, że będą musieli zająć się również związanym z tym ryzykiem. Jak zatem znaleźć równowagę pomiędzy potrzebą kontrolowania przez firmę udostępnianych informacji? z urządzeniami mobilnymi, z jednym wystarczająco elastycznym, abyśmy mogli skorzystać z niektórych wspaniałych rzeczy, które tu robimy XDA?

Należy zauważyć na początku tej dyskusji, że czasami po prostu nie da się poślubić tej dwójki i że niektórzy ludzie nie będą mieli innego wyboru, jak tylko nosić drugie, naprawdę osobiste urządzenie, jeśli chcą wyjść poza ograniczenia urządzenia firmowego. Na przykład te, które podążają za Amerykańskie standardy dotyczące bezpieczeństwa urządzeń – których przestrzeganie może być również wymagane wiele dużych korporacji i rządów – będzie musiało zrozumieć że ich zadaniem jest chronić nie tylko dane przesyłane do Twojego urządzenia, ale także to, co może zostać odesłane W. Ryzyko utraty wrażliwych informacji w sprawach takich jak opieka zdrowotna jest tak poważne, że Rząd USA oferuje porady, jak podejść do tej kwestii i może podlegać dalszym ograniczeniom na mocy przepisów stanowych lub lokalnych. Nie oznacza to jednak, że nawet niektóre z największych korporacji na świecie będą zmuszać Cię do stosowania podejścia „jednego rozmiaru dla wszystkich”.

Wielopoziomowe podejście do zabezpieczeń firmy Intel (studium przypadku z 2012 r.)

Podczas konferencji Intela w 2014 roku jeden z prelegentów omawiał podejście Intela do zarządzania urządzeniami i trend BYOD (Bring Your Own-Device). Niektórych czytelników może zaskoczyć fakt, że wiele lat temu nie tylko z radością przyjęli to podejście, ale wręcz je przyjęli. Zamiast używać jednego rozwiązania dla wszystkich urządzeń, Intel stosuje wielopoziomowe podejście do bezpieczeństwa informacji, które nie zmieniło się zbytnio od tego opublikował studium przypadku w 2012 roku. Jak pokazuje obrazek po prawej stronie, im większe ryzyko związane z dostępem do danych lub koniecznością połączenia się z nimi, skutkuje większym bezpieczeństwem i zarządzaniem przez firmę.

Jak prelegent wyjaśnił po sesji, może to być tak proste, jak ograniczenie użytkowników do informacji publicznych lub systemów opartych na logowaniu. Inne mogą wymagać rejestracji adresu MAC urządzenia w celu uzyskania dostępu do danych, aby było jasne, kto ma dostęp – co jest niezbędne przy próbie zachowania odpowiedzialności. Wreszcie ci, którzy chcą lub potrzebują pełnego dostępu, będą musieli albo oddzielić swoje urządzenie osobiste, albo zaakceptować ograniczenia rozwiązania MDM dostarczonego przez firmę Intel. Dobrą wiadomością dotyczącą tego rodzaju podejścia jest to, że nie zaprzecza ono całkowicie możliwości rootowania lub uruchamiania niestandardowego oprogramowania na urządzeniu. Prelegent, pracownik Intela, wyjaśnił, że z pewnością na niższych poziomach byłoby to możliwe – tam, gdzie na wyższych poziomach wymagane byłyby rozwiązania kontenerowe (takie jak KNOX Samsunga) pozostać nienaruszonym.

W dużej mierze pomogło mi to stworzyć podstawowy model urządzeń BYOD i urządzeń innych niż korporacyjne, również w mojej codziennej pracy. Zwykle ograniczam urządzenia inne niż firmowe do publicznego punktu dostępu Wi-Fi o niskiej przepustowości, ale nawet wtedy jest to dostępne tylko dla gości. Urządzenia firmowe, które obecnie nie współpracują bezpośrednio z naszym systemem operacyjnym, mają dostęp do naszej poczty elektronicznej. Jednak w miarę jak zbliżamy się do momentu, w którym tablety będą dystrybuowane wśród pracowników i będą z nimi wymieniać dane nasze systemy operacyjne – nawet jeśli pośrednio – urządzenia te staną się przedmiotem Urządzenia Mobilnego Kierownictwo. W większości głównych rozwiązań MDM można to dostosować: podczas testowania Airwatch u mojego poprzedniego pracodawcy udało nam się zarejestrować urządzenie i obserwować, jak znika w momencie wykrył dostęp roota lub uruchomiła się flaga Knox, lub przypisz go do grupy, która zezwoliła na ten dostęp, ale następnie ograniczyła dostęp do danych i systemów, do których urządzenie mogło uzyskać dostęp w firmie infrastruktura. Przeglądanie wszystkich opcji pozwala mi - lub innym administratorom IT - zablokować te rzeczy, których nie potrzebujemy w naszym środowiska (przepraszam, pracownicy – ​​brak YouTube), zapewniając jednocześnie zachowanie funkcji niezbędnych do realizacji stanowisko.

A co dla osób, które są ciekawe, co robić we własnym miejscu pracy? Nie martw się – nie jesteś sam. Niezależnie od tego, czy jesteś jednoosobowym działem IT w swojej firmie, właścicielem próbującym sobie z tym poradzić, czy pracownikiem próbującym dowiedzieć się, co można, a czego nie można zrobić lub dostawca, który musi zrozumieć, jakie ograniczenia mogą obowiązywać – wielu z nas spoza środowiska korporacyjnego staje przed tym po raz pierwszy czas. Mając to na uwadze, w XDA oferujemy kilka nakazów i zakazów zarówno dla firm, jak i użytkowników, którzy chcą pomóc w znalezieniu tej równowagi.

Biznes:

  • DO zrozumieć ryzyko. Nawet coś tak prostego, jak umożliwienie ludziom dostępu do poczty e-mail lub sieci Wi-Fi, może narazić firmę na ryzyko. Jednocześnie chcesz, aby urządzenia – nawet telewizory z zainstalowanym systemem Android – miały nieograniczony dostęp do rzeczy, których wolelibyście nie mieć?
  • DO sporządź plan, w jaki sposób złagodzić to ryzyko. Nie bój się wezwać eksperta ds. bezpieczeństwa, który pomoże Ci ocenić te zagrożenia, zwłaszcza przed podjęciem ogromnej zmiany w sposobie obsługi urządzeń mobilnych w miejscu pracy. Być może nie jest to MDM, ale polityka, którą muszą podpisać pracownicy, ale brak działania sprawia, że ​​Twoje środowisko staje się odpowiednikiem „Dzikiego Zachodu”.
  • DO przekaż ten plan swoim użytkownikom. Im bardziej jasno określisz, co pracownicy/goście mogą, a czego nie mogą robić, tym łatwiej powinno być nie tylko przestrzeganie planu, ale także jego egzekwowanie, jeśli to konieczne.
  • DO regularnie przeglądaj plan, aby upewnić się, że nadal odpowiada potrzebom firmy. Co ważniejsze, podejmij działania i dostosuj plan, jeśli to konieczne.
  • NIE zignorować potrzebę zajęcia się tą sprawą. W obliczu niezliczonej liczby problemów związanych z bezpieczeństwem, które z dnia na dzień rosną, przysłowiowe podejście z głową w piasek jedynie opóźni problem, a nie go zapobiegnie.
  • NIE wybierz model lub plan bezpieczeństwa, na którego zbadanie nie poświęciłeś czasu. Jedną z najczęstszych przyczyn niepowodzenia planu bezpieczeństwa jest to, że nie został on zaprojektowany w oparciu o potrzeby Twojej firmy, ale raczej w oparciu o sugestie kogoś innego.

Użytkownicy Firmy - Pracownicy, Sprzedawcy, Goście:

  • DO szanować potrzebę posiadania przez firmę zabezpieczeń, szczególnie w przypadku urządzeń mobilnych. Polityka może być tak prosta, jak zakaz w ogóle zezwalania na korzystanie z urządzeń na terenie firmy, ale ostatecznie tak jest ich biznes i jak to odpowiednio zabezpieczyć, to ich wybór.
  • DO zapytaj, zwłaszcza jeśli nie wiesz, jakie masz możliwości w zakresie BYOD lub dostępu do danych firmowych na urządzeniu mobilnym. Być może mają coś w planach i jeszcze tego nie ogłosili. Nie znam jeszcze ani jednego pracodawcy, który ukarałby pracownika, sprzedawcę lub gościa za pytanie, co mogą zrobić, zanim faktycznie zrobi coś w tej dziedzinie.
  • DO oferuj sugestie lub opinie swojej firmie, jeśli uważasz, że bieżący plan bezpieczeństwa nie spełnia Twoich potrzeb. Wiele firm oferuje politykę dotyczącą informacji zwrotnych lub ulepszeń, która ma pomóc właśnie w takich sytuacjach. Ale pamiętaj, kiedy to wyjaśnisz, wyjaśnij Dlaczegoi jak trzeba to zmienić. Szczegóły mają tutaj ogromne znaczenie.
  • NIE rób, co chcesz, lub próbuj obejść zasady... chyba że to jest Twoje zadanie. Większość firm przypisuje to tak rygorystycznemu poziomowi, że nawet niezamierzone naruszenie polityki bezpieczeństwa może prowadzić do działań dyscyplinarnych, zwolnienia lub czegoś gorszego.

Czy jesteś właścicielem firmy lub użytkownikiem, który spotkał się z taką sytuacją? Stoisz teraz w obliczu tej sytuacji, ale nie wiesz, jak postępować? Dodaj swoje przemyślenia w komentarzach poniżej i kontynuujmy dyskusję!