Política de segurança, ROMs raiz e personalizadas equilibrando o que fazer e o que não fazer

Amamos nossos dispositivos móveis - e para muitos de nós aqui no XDA, muitas vezes enfrentamos dificuldades quando queremos levar esse amor por nossos dispositivos e começar a aplicá-lo no escritório.

Para aqueles de nós que dirigem o seu próprio negócio e compreendem esses riscos, podemos ter um caso mais fácil do que o resto de nós que deve seguir a política corporativa. O desafio é que, para o bem ou para o mal, as coisas estão ficando mais seguras por necessidade. Grandes corporações estão buscando certificações como ISO 27001 para ajudar a garantir aos clientes que seus dados estão seguros. O segmento de pequenas e médias empresas (SMB) está chegando a um ponto em que modernizar significa adotar a tecnologia móvel; isso significa que eles também terão que enfrentar os riscos disso. Então, como podemos encontrar um equilíbrio feliz entre a necessidade de uma empresa controlar as informações que são compartilhadas com dispositivos móveis flexíveis o suficiente para aproveitarmos algumas das grandes coisas que fazemos aqui em XDA?

É importante notar no início desta discussão que às vezes simplesmente não é possível casar os dois, e que algumas pessoas não terão escolha a não ser carregar um segundo dispositivo, verdadeiramente pessoal, se quiserem ir além das restrições de um dispositivo corporativo. Por exemplo, aqueles que seguem o Padrões dos Estados Unidos para segurança de dispositivos - que muitas grandes empresas e governos também poderão ser obrigados a seguir - terão de compreender que eles existem para proteger muito mais do que os dados que vão para o seu dispositivo, mas também o que pode ser enviado de volta em. O risco de perder informações sensíveis em casos como os de saúde é tão grave que o O governo dos EUA oferece conselhos sobre como abordar isso e pode ser ainda mais restringido por leis estaduais ou locais. Mas isso não significa que mesmo algumas das maiores corporações do mundo irão forçá-lo a adotar uma abordagem “tamanho único”.

Abordagem de segurança em camadas da Intel (estudo de caso de 2012)

Ao participar de uma conferência da Intel em 2014, um dos palestrantes abordou a abordagem da Intel para gerenciamento de dispositivos e a tendência Traga seu próprio dispositivo (BYOD). O que pode surpreender alguns leitores é que eles não apenas acolheram, mas também abraçaram esta abordagem anos atrás. Em vez de usar uma solução para todos os dispositivos, a Intel usa uma abordagem em camadas para a segurança da informação que não mudou muito desde o seu lançamento. estudo de caso publicado em 2012. Como mostra a imagem à direita, maior o risco associado ao acesso aos dados ou à necessidade de interface resulta em maior segurança e gerenciamento por parte da empresa.

Como o palestrante esclareceu após a sessão, isso pode ser tão simples quanto restringir os usuários a informações públicas ou a sistemas baseados em login. Outros podem exigir o registro do endereço MAC do dispositivo para acessar os dados e deixar claro quem tem o acesso – necessário ao tentar manter a responsabilidade. Finalmente, aqueles que quiserem ou precisarem de acesso total terão que segregar seus dispositivos pessoais ou aceitar as restrições de uma solução MDM fornecida pela Intel. A boa notícia sobre esse tipo de abordagem é que ela não nega totalmente a capacidade de fazer root ou executar software personalizado no dispositivo. O palestrante, um funcionário da Intel, esclareceu que certamente nos níveis mais baixos isso poderia ser possível - enquanto nos níveis mais altos eles exigiriam soluções em contêineres (como KNOX da Samsung) para permanecer intacto.

Em grande medida, isso me ajudou a formar um modelo básico para BYOD e dispositivos não corporativos também no meu trabalho diário. Geralmente restringo dispositivos que não são da empresa a um ponto de acesso Wi-Fi público de baixa largura de banda, mas mesmo assim isso é apenas para convidados. Os dispositivos da empresa, que atualmente não fazem interface direta com nosso sistema operacional, têm acesso ao nosso e-mail. Mas à medida que nos aproximamos de um ponto em que os tablets serão distribuídos aos funcionários e trocarão dados com nossos sistemas operacionais - mesmo que indiretamente - esses dispositivos ficarão sujeitos a dispositivos móveis Gerenciamento. E há espaço para ajustar isso na maioria das principais soluções MDM: ao testar o Airwatch para meu empregador anterior, conseguimos registrar um dispositivo, vê-lo cair no momento em que foi detectou o acesso root ou o sinalizador Knox foi acionado, ou atribuí-lo a um grupo que permitiu esse acesso, mas restringiu quais dados e sistemas o dispositivo poderia acessar dentro da empresa a infraestrutura. Passar por todas as opções permite que eu - ou outros administradores de TI - bloqueemos as coisas que não precisamos em nosso ambiente (desculpe, funcionários - sem YouTube), garantindo ao mesmo tempo que mantemos as funções necessárias para concluir o trabalho.

E para as pessoas que estão curiosas sobre o que fazer em seu local de trabalho? Não se preocupe - você não está sozinho. Quer você seja um funcionário do departamento de TI da sua empresa, um proprietário tentando navegar por isso, um funcionário tentando descobrir o que pode e o que não pode ser feito ou um fornecedor que precisa entender quais restrições podem estar em vigor - muitos de nós, fora do ambiente empresarial, estamos enfrentando isso pela primeira vez tempo. Com isso em mente, aqui no XDA oferecemos algumas coisas que devemos e não devemos fazer para empresas e usuários que buscam ajudar a encontrar esse equilíbrio.

Negócios:

  • FAZER entender os riscos. Mesmo algo tão simples como permitir o acesso de pessoas a redes de e-mail ou Wi-Fi pode expor um risco para a empresa. Ao mesmo tempo, você deseja que os dispositivos - até mesmo as TVs que agora vêm com o Android instalado - tenham acesso irrestrito a coisas que você preferiria que não tivessem?
  • FAZER faça um plano sobre como mitigar esses riscos. Não tenha medo de chamar um especialista em segurança para ajudá-lo a avaliar esses riscos, especialmente antes de realizar uma grande mudança na forma como os dispositivos móveis serão manuseados no local de trabalho. Pode não ser o MDM, mas uma política que os funcionários têm de assinar - mas não fazer nada torna o seu ambiente equivalente ao “Velho Oeste”.
  • FAZER comunique este plano aos seus usuários. Quanto mais você deixar claro o que os funcionários/convidados podem ou não fazer, mais fácil será não apenas aderir ao plano, mas também aplicá-lo, se necessário.
  • FAZER revise regularmente o plano para ter certeza de que ele ainda atende às necessidades do negócio. Mais importante ainda, tome medidas e ajuste o plano, se necessário.
  • NÃO ignorar a necessidade de resolver isso. Com a miríade de questões de segurança presentes e que só crescem diariamente, a proverbial abordagem da cabeça na areia apenas atrasará a dor, e não a evitará.
  • NÃO escolha um modelo ou plano de segurança que você não investiu tempo para pesquisar. Um dos maiores motivos pelos quais um plano de segurança falha é porque ele não foi projetado com base nas necessidades da sua empresa, mas sim no que outra pessoa sugeriu.

Usuários de uma empresa – funcionários, fornecedores, convidados:

  • FAZER respeitar a necessidade de uma empresa ter segurança, especialmente com dispositivos móveis. A política poderia ser tão simples quanto nem mesmo permitir dispositivos nas instalações da empresa, mas no final é deles negócios e como protegê-los adequadamente é escolha deles.
  • FAZER pergunte, especialmente se você não sabe, quais são suas opções para BYOD ou acesso aos dados da empresa em um dispositivo móvel. Pode ser que eles tenham algo em andamento e ainda não tenham anunciado. Ainda não conheci um único empregador que disciplinasse um funcionário, fornecedor ou convidado por perguntar o que ele pode fazer antes de realmente fazer algo neste domínio.
  • FAZER ofereça sugestões ou feedback à sua empresa se achar que o plano de segurança atual não atende às suas necessidades. Muitas empresas oferecem uma política de feedback ou melhoria para ajudar exatamente em coisas como essa. Mas certifique-se de que, ao explicar isso, explique por quee como ele precisa ser mudado. Os detalhes importam muito aqui.
  • NÃO faça o que quiser ou tente contornar a política... a menos que seja seu trabalho fazê-lo. A maioria das empresas coloca isso em um nível de severidade tal que mesmo violações não intencionais da política de segurança podem levar a ações disciplinares, demissão ou coisa pior.

Você é proprietário de uma empresa ou usuário que já enfrentou essa situação? Enfrentando esta situação agora, mas não tem certeza de como proceder? Sinta-se à vontade para adicionar sua opinião nos comentários abaixo e vamos continuar a discussão!