Säkerhetspolicy, root- och anpassade ROM-skivor som balanserar vad som bör och inte bör göras

Vi älskar våra mobila enheter – och för många av oss här på XDA möter vi ofta en kamp när vi vill ta den kärleken till våra enheter och börja tillämpa den på kontoret.

För de av oss som driver vårt eget företag och förstår dessa risker kan vi ha ett lättare fall än resten av oss som måste följa företagets policy. Utmaningen är att saker och ting blir säkrare på gott och ont utav nödvändighet. Större företag jagar certifieringar som t.ex ISO 27001 för att försäkra kunderna om att deras data är säker. Segmentet för små och medelstora företag (SMB) når en punkt där modernisering innebär att anamma mobil teknik; det betyder att de måste ta itu med riskerna med det också. Så hur kan vi hitta en bra balans mellan det behovet för ett företag att kontrollera informationen som delas med mobila enheter med en som är tillräckligt flexibel för att vi ska kunna dra nytta av några av de fantastiska sakerna vi gör här på XDA?

Det är viktigt att notera i början av denna diskussion att det ibland helt enkelt inte är möjligt att gifta sig med de två, och att vissa människor kommer inte ha något annat val än att bära en andra, verkligt personlig, enhet om de vill gå utöver begränsningarna för en företagsenhet. Till exempel de som följer

USA: s standarder för enhetssäkerhet - som många stora företag och regeringar också kan behöva följa - kommer att behöva förstå att de är till för att skydda mycket mer än den data som går ut till din enhet men också vad som kan skickas tillbaka i. Risken att förlora känslig information i fall som sjukvård är så allvarlig att den USA: s regering ger råd om hur man kan hantera detta och kan begränsas ytterligare av statliga eller lokala lagar. Men det betyder inte att ens några av de största företagen i världen kommer att tvinga dig till en "one-size-fits-all"-strategi.

Intels nivåbaserade säkerhetsstrategi (2012 fallstudie)

När han deltog i en Intel-konferens 2014, täckte en av talarna där Intels inställning till enhetshantering och Bring-Your-Own-Device (BYOD)-trenden. Det som kan förvåna en del läsare är att de inte bara välkomnade utan också anammade detta tillvägagångssätt för flera år sedan. Istället för att använda en lösning för alla enheter använder Intel en nivåbaserad strategi för sin informationssäkerhet som inte har förändrats mycket från sin publicerad fallstudie 2012. Som bilden till höger visar, desto större risk är det förknippade med att data nås eller behöver gränssnitt, vilket leder till ökad säkerhet och hantering av företaget.

Som talaren förtydligade efter sessionen kan detta vara så enkelt som att begränsa användare till offentlig information eller inloggningsbaserade system. Andra kan kräva registrering av enhetens MAC-adress för att få tillgång till data så att det är tydligt vem som har åtkomst - nödvändigt när man försöker behålla ansvar. Slutligen måste de som vill ha eller behöver full åtkomst antingen separera sin personliga enhet eller acceptera begränsningarna för en MDM-lösning som tillhandahålls av Intel. De goda nyheterna om den här typen av tillvägagångssätt är att den inte direkt förnekar möjligheten att rota eller köra anpassad programvara på enheten. Talaren, en Intel-anställd, förtydligade att detta säkert kan vara möjligt på de lägre nivåerna - där de på högre nivåer skulle kräva de containeriserade lösningarna (som t.ex. Samsungs KNOX) för att förbli intakt.

Till stor del har det hjälpt mig att bilda en basmodell för BYOD och icke-företagsenheter även på mitt dagliga jobb. Jag begränsar generellt icke-företagsenheter till en offentlig wifi-åtkomstpunkt med låg bandbredd, men även då är detta endast för gäster. Företagsenheter, som för närvarande inte direkt har ett gränssnitt med vårt verksamhetssystem, ges tillgång till vår e-post. Men när vi närmar oss en punkt där surfplattor kommer att distribueras till anställda och kommer att utbyta data med våra verksamhetssystem - även om det är indirekt - kommer dessa enheter att bli föremål för Mobile Device Förvaltning. Och det finns utrymme för att justera det i de flesta av de stora MDM-lösningarna: När vi testade Airwatch för min tidigare arbetsgivare kunde vi registrera en enhet, se den släppa i samma ögonblick som den upptäckt rotåtkomst eller Knox-flaggan utlöst, eller tilldela den till en grupp som tillät denna åtkomst men sedan begränsade vilka data och system enheten kunde komma åt inom företaget infrastruktur. Genom att gå igenom alla alternativ kan jag - eller andra IT-administratörer - blockera de saker som vi inte behöver i vår miljö (förlåt, anställda - ingen YouTube) samtidigt som vi ser till att vi behåller de funktioner som är nödvändiga för att slutföra jobb.

Vad sägs om för människor som är nyfikna på vad de ska göra på sin egen arbetsplats? Oroa dig inte - du är inte ensam. Oavsett om du är en enmans IT-avdelning för ditt företag, en ägare som försöker navigera dig igenom detta, en anställd som försöker ta reda på vad som kan och inte kan göras eller en leverantör som behöver förstå vilka restriktioner som kan finnas på plats - en hel del av oss utanför företagsmiljön står inför detta nu för första gången tid. Med det i åtanke erbjuder vi här på XDA några "do's and don'ts" för både företag och användare som vill hjälpa till att hitta den balansen.

Företag:

  • DO förstå riskerna. Även något så enkelt som att ge människor tillgång till e-post eller wi-fi-nätverk kan utsätta en risk för företaget. Samtidigt vill du att enheter - även TV-apparater nu som kommer med Android installerat - ska ha obegränsad tillgång till saker som du hellre inte skulle göra?
  • DO göra en plan för hur man kan minska dessa risker. Var inte rädd för att ringa in en säkerhetsexpert för att hjälpa dig att bedöma dessa risker, särskilt innan du gör en stor förändring av hur mobila enheter kommer att hanteras på arbetsplatsen. Det kanske inte är MDM utan en policy som anställda måste skriva under - men att inte göra någonting gör din miljö till motsvarigheten till "vilda västern".
  • DO kommunicera denna plan med dina användare. Ju mer du gör det tydligt vad anställda/gäster kan och inte kan göra, desto lättare bör det vara att inte bara hålla sig till planen utan även genomdriva den vid behov.
  • DO granska planen regelbundet för att säkerställa att den fortfarande passar verksamhetens behov. Ännu viktigare, vidta åtgärder och justera planen om det behövs.
  • GÖR INTE ignorera behovet av att ta itu med detta. Med den myriad av säkerhetsproblem som finns närvarande och bara växer dagligen, kommer det ökända "huvud-i-sanden"-metoden bara att fördröja smärtan, inte undvika den.
  • GÖR INTE gå med en modell eller säkerhetsplan som du inte har lagt ner tid på att undersöka. En av de största anledningarna till att en säkerhetsplan misslyckas är att den inte har utformats utifrån ditt företags behov utan snarare på vad någon annan föreslog.

Användare av ett företag - anställda, leverantörer, gäster:

  • DO respektera behovet för ett företag att ha säkerhet på plats, särskilt med mobila enheter. Policyn kan vara så enkel som att inte ens tillåta enheter i företagets lokaler, men i slutändan är det så deras företag och hur man korrekt säkrar det är deras val.
  • DO fråga, särskilt om du inte vet, vilka alternativ du har för BYOD eller åtkomst till företagsdata på en mobil enhet. Det kan vara att de har något på gång och inte har meddelat det ännu. Jag har ännu inte känt en enda arbetsgivare för att disciplinera en anställd, säljare eller gäst för att fråga vad de kan göra innan de faktiskt gör något i detta rike.
  • DO ge förslag eller feedback till ditt företag om du känner att den nuvarande säkerhetsplanen inte uppfyller dina behov. Många företag erbjuder en feedback- eller förbättringspolicy för att hjälpa exakt med saker som detta. Men se till att förklara när du förklarar detta Varföroch hur det måste ändras. Detaljer betyder mycket här.
  • GÖR INTE gör vad du vill eller försök kringgå policyn... såvida det inte är din uppgift att göra det. De flesta företag placerar detta under en sådan allvarlighetsgrad att även oavsiktliga brott mot säkerhetspolicyn kan leda till disciplinära åtgärder, uppsägning eller värre.

Är du en företagsägare eller användare som har ställts inför denna situation? Står du inför den här situationen nu men osäker på hur du ska gå vidare? Lägg gärna till dina tankar i kommentarerna nedan och låt oss fortsätta diskussionen!