Политика безопасности, корневые и пользовательские ПЗУ: баланс между тем, что можно и чего нельзя делать

Мы любим наши мобильные устройства, и многие из нас здесь, на XDA, часто сталкиваются с трудностями, когда хотим перенять эту любовь к нашим устройствам и начать применять ее в офисе.

Для тех из нас, кто занимается собственным бизнесом и понимает эти риски, ситуация может быть проще, чем для остальных, которые должны следовать корпоративной политике. Проблема в том, что, к лучшему или к худшему, ситуация становится более безопасной. по необходимости. Крупные корпорации гонятся за такими сертификатами, как ИСО 27001 чтобы помочь клиентам убедиться в безопасности их данных. Сегмент малого и среднего бизнеса (SMB) достигает точки, когда модернизация означает внедрение мобильных технологий; это означает, что им также придется учитывать связанные с этим риски. Так как же нам найти удачный баланс между необходимостью компании контролировать передаваемую информацию? с мобильными устройствами, одно из которых достаточно гибкое, чтобы мы могли воспользоваться некоторыми замечательными вещами, которые мы делаем здесь, в XDA?

В начале обсуждения важно отметить, что иногда просто невозможно поженить двоих, и что некоторые люди у них не будет другого выбора, кроме как носить с собой второе, по-настоящему личное устройство, если они хотят выйти за рамки ограничений корпоративного устройства. Например, те, которые следуют Стандарты США по безопасности устройств - которому, возможно, также придется следовать многим крупным корпорациям и правительствам - необходимо будет понять что они предназначены для защиты не только данных, поступающих на ваше устройство, но и того, что может быть отправлено обратно. в. Риск потери конфиденциальной информации в таких случаях, как здравоохранение, настолько серьезен, что Правительство США дает советы, как подойти к этому вопросу и может быть дополнительно ограничено законами штата или местными законами. Но это не значит, что даже некоторые из крупнейших корпораций мира будут заставлять вас применять универсальный подход.

Многоуровневый подход Intel к безопасности (пример 2012 г.)

Во время участия в конференции Intel в 2014 году один из докладчиков рассказал о подходе Intel к управлению устройствами и тенденции «Принеси свое собственное устройство» (BYOD). Что может удивить некоторых читателей, так это то, что они не только приветствовали, но и приняли этот подход много лет назад. Вместо использования одного решения для всех устройств Intel использует многоуровневый подход к своей информационной безопасности, который не сильно изменился по сравнению с предыдущим поколением. опубликованное тематическое исследование в 2012 году. Как показано на изображении справа, чем больше риск, связанный с доступом к данным или необходимостью взаимодействия с ними, приводит к повышению безопасности и управления со стороны компании.

Как пояснил спикер после сессии, это может быть так же просто, как ограничение доступа пользователей к общедоступной информации или системам, основанным на входе в систему. Другим может потребоваться регистрация MAC-адреса устройства для доступа к данным, чтобы было ясно, у кого есть доступ, что необходимо при попытке сохранить подотчетность. Наконец, тем, кто хочет или нуждается в полном доступе, придется либо изолировать свое личное устройство, либо принять ограничения решения MDM, предоставляемого Intel. Хорошей новостью такого подхода является то, что он не отрицает напрямую возможность рутирования или запуска специального программного обеспечения на устройстве. Докладчик, сотрудник Intel, уточнил, что, безусловно, на нижних уровнях это возможно, а на более высоких уровнях потребуются контейнерные решения (такие как Нокс от Samsung), чтобы остаться нетронутым.

В значительной степени это помогло мне сформировать базовую модель для BYOD и некорпоративных устройств на моей повседневной работе. Обычно я ограничиваю устройства, не принадлежащие компании, общедоступной точкой доступа Wi-Fi с низкой пропускной способностью, но даже в этом случае это только для гостей. Устройствам компании, которые в настоящее время не имеют прямого интерфейса с нашей операционной системой, предоставляется доступ к нашей электронной почте. Но по мере приближения к моменту, когда планшеты будут раздаваться сотрудникам и будут обмениваться данными с наши операционные системы – даже если косвенно – эти устройства станут объектом действия Mobile Device Управление. И в большинстве основных решений MDM есть возможности для настройки: при тестировании Airwatch для моего предыдущего работодателя мы смогли зарегистрировать устройство и наблюдать, как оно отключается в тот момент, когда оно отключается. обнаружен root-доступ или сработал флаг Knox, или назначьте его группе, которая разрешила этот доступ, но затем ограничила доступ к данным и системам устройства внутри компании. инфраструктура. Просмотр всех вариантов позволяет мне (или другим ИТ-администраторам) блокировать те вещи, которые нам не нужны в нашей среде (извините, сотрудники — без YouTube), сохраняя при этом функции, необходимые для завершения работа.

А как насчет людей, которым интересно, чем заняться на своем рабочем месте? Не волнуйтесь – вы не одиноки. Независимо от того, являетесь ли вы сотрудником ИТ-отдела вашей компании, владельцем, пытающимся разобраться в этом, или сотрудником, пытающимся выяснить, что можно, а что нельзя сделать. или поставщик, которому необходимо понять, какие ограничения могут быть установлены — многие из нас за пределами корпоративной среды сталкиваются с этим впервые время. Имея это в виду, мы здесь, в XDA, предлагаем несколько «что можно и чего нельзя» как для компаний, так и для пользователей, которые хотят помочь найти этот баланс.

Предприятия:

  • ДЕЛАТЬ понимать риски. Даже такая простая вещь, как предоставление людям доступа к электронной почте или сетям Wi-Fi, может подвергнуть компанию риску. В то же время хотите ли вы, чтобы устройства (даже телевизоры с установленным Android) имели беспрепятственный доступ к вещам, которых вы бы не хотели?
  • ДЕЛАТЬ составить план, как смягчить эти риски. Не бойтесь обратиться к эксперту по безопасности, чтобы он помог вам оценить эти риски, особенно перед тем, как приступить к масштабным изменениям в способах обращения с мобильными устройствами на рабочем месте. Возможно, это не MDM, а политика, которую сотрудники должны подписать, но бездействие делает вашу среду эквивалентом «Дикого Запада».
  • ДЕЛАТЬ сообщите об этом плане своим пользователям. Чем яснее вы объясните, что сотрудники/гости могут, а что не могут делать, тем легче вам будет не только придерживаться плана, но и обеспечивать его соблюдение, если это необходимо.
  • ДЕЛАТЬ регулярно пересматривайте план, чтобы убедиться, что он по-прежнему соответствует потребностям бизнеса. Что еще более важно, примите меры и при необходимости скорректируйте план.
  • НЕ игнорировать необходимость решения этой проблемы. Учитывая множество проблем безопасности, которые с каждым днем ​​только усугубляются, пресловутый подход «голова в песок» лишь отсрочит боль, а не предотвратит ее.
  • НЕ используйте модель или план безопасности, на исследование которых вы не потратили время. Одна из главных причин неудачи плана обеспечения безопасности заключается в том, что он был разработан не на основе потребностей вашей компании, а на основе того, что предложил кто-то другой.

Пользователи бизнеса – сотрудники, продавцы, гости:

  • ДЕЛАТЬ уважать необходимость обеспечения безопасности компании, особенно с мобильными устройствами. Политика могла бы быть такой простой, как запрет даже нахождения устройств в помещениях компании, но, в конце концов, это их бизнес, и как правильно его обеспечить – это их выбор.
  • ДЕЛАТЬ спросите, особенно если вы не знаете, какие у вас есть варианты BYOD или доступа к данным компании на мобильном устройстве. Возможно, они что-то разрабатывают, но еще не объявили об этом. Я еще не знаю ни одного работодателя, который бы наказывал сотрудника, продавца или гостя за то, что они спрашивают, что они могут сделать, прежде чем действительно что-то сделать в этой сфере.
  • ДЕЛАТЬ предложите предложения или отзывы своей компании, если вы считаете, что текущий план безопасности не отвечает вашим потребностям. Многие компании предлагают политику обратной связи или улучшений, чтобы помочь именно в таких вещах. Но обязательно, когда вы это объясняете, объясните почемуи как его необходимо изменить. Детали здесь имеют большое значение.
  • НЕ делайте что хотите или пытайтесь обойти политику... если это не ваша работа. Большинство компаний относят это к такому уровню серьезности, что даже непреднамеренное нарушение политики безопасности может привести к дисциплинарным взысканиям, увольнению или еще хуже.

Вы владелец бизнеса или пользователь, который столкнулся с такой ситуацией? Столкнулись с такой ситуацией, но не знаете, как поступить? Не стесняйтесь высказывать свои мысли в комментариях ниже, и давайте продолжим обсуждение!