Снижение рисков в эпоху мобильности

Ежедневно ИТ- и ИБ-специалисты работают над тем, как уменьшить риски информационной безопасности. Внедрение технологии BYOD (Bring Your Own Device) сегодня является экономически выгодным с точки зрения затрат на клиентские устройства, но в то же время риски использования мобильных технологий растут. Увы, зачастую BYOD вносит беспорядок в работу ИТ- и ИБ-служб. Более того, их сотрудники уподобляются дрессировщикам диких зверей в цирке.

Новые угрозы и уязвимости обнаруживаются постоянно. Постоянно появляются и новые решения для обеспечения безопасности.

Какие же советы можно дать в случае внедрения BYOD?

1. Минимизируйте объем данных, хранимых на мобильных устройствах

Чем чаще вы используете мобильные приложения, тем больше понимаете, что корпоративные данные нельзя хранить на мобильных устройствах. В любом случае необходимо минимизировать их объем. Огромное число устройств с самыми различными операционными системами и приложениями подключаются к корпоративным сетям. Обеспечить безопасность всех этих гаджетов довольно сложно, тем более что организовать своевременное обновление мобильного ПО весьма затруднительно.

2. Минимизируйте число соединений и протоколов, используемых мобильными устройствами для соединения с корпоративной сетью

Для соединения мобильных устройств с корпоративной сетью необходимо использовать защищенные и зашифрованные соединения. Сегодня насущным является требование использовать для этих целей VPN. Таким образом вы сможете гарантировать единую защищенную точку входа в вашу корпоративную сеть.

3. Используйте системы двухфакторной аутентификации или одноразовые пароли (OTP)

Слабые пароли не станут для злоумышленника серьезным препятствием для проникновения в вашу корпоративную сеть. Чтобы усложнить ему задачу, используйте уникальные, а лучше одноразовые пароли или системы двухфакторной аутентификации.

4. Не допускайте использования взломанных устройств

Нередко владельцы мобильных устройств, стремясь кастомизировать их под себя, прибегают к операциям jailbreak для iPhone и rooting для Android, фактически означающих взлом устройства. Применение таких устройств в корпоративной сети должно быть запрещено, так как обеспечить их защиту весьма проблематично.

5. Внедрение BYOD требует соответствующего обучения сотрудников

Независимо от того, насколько тщательно разработана стратегия BYOD, основным уязвимым звеном в вашей сети останется пользователь. Поэтому обучение сотрудников безопасной работе с мобильными устройствами всегда должно быть важной частью реализации политики безопасности.

Почему я не буду использовать свое мобильное устройство на работе

Причина проста. Я не могу полностью доверять системному администратору, который будет устанавливать корпоративное ПО на мое устройство. Мне могут возразить, что мол, есть же технологии контейнеризации, позволяющие отделить служебную информацию (в шифрованном контейнере) от персональной. Безусловно, вы правы. Но прежде мне все же придется предоставить свое устройство администратору. У вас есть уверенность, что при этом ваша личная информация так и останется личной? У меня такой уверенности нет.

Что делать

На мой взгляд, наиболее подходящий путь реализации стратегии корпоративной мобильности — это CYOD (Choose Your Own Device, или «выбери свое устройство»). В соответствии с этой концепцией предприятие предоставляет своим сотрудникам те устройства, которые оно само приобрело, с уже оформленным договором на оказание услуг связи. Сотрудник при этом может выбрать из предложенного ассортимента мобильных телефонов, смартфонов или планшетных ПК тот аппарат, который лучше всего соответствует его рабочим задачам и личным предпочтениям.

Из названия подхода не ясно, можно ли использовать устройство, являющееся собственностью предприятия, в личных целях. Соответственно, следует различать более «строгую» реализацию CYOD, допускающую использование корпоративных устройств исключительно для работы, и более мягкий вариант, разрешающий их эксплуатацию в личных целях. При этом использование устройства всегда должно соответствовать корпоративным директивам и политикам MDM.

Но каковой бы ни была политика компании в отношении мобильных устройств, если вам, как и мне, судьба личных данных не безразлична, использовать рабочий инструмент в личных целях не стоит. И это зависит только от вас.

Автор статьи — Microsoft MVP, Microsoft Security Trusted Advisor.