УправлениеБезопасность

Весь мир в твоем смартфоне

Екатерина Старостина, Владимир Наймарк | 25.11.2014

Весь мир в твоем смартфоне

Для бизнеса важно не тормозить свое развитие, а безопасности — сохранять ценную корпоративную информацию, не замедляя бизнес-процессы своими процедурами

В последнее время применение сотрудниками мобильных устройств резко возросло, что создает новые угрозы информационной безопасности. Но быть мобильными сегодня не прихоть, а скорее насущная потребность. В настоящий момент более половины подобных устройств имеет доступ к корпоративным ресурсам, а также используется не только для работы, но и в личных целях. А число гаджетов увеличивается из года в год. Смартфон, пожалуй, больше компаньон человека, чем просто «машина», и многие девайсы становятся продолжением личности их владельца.  

Один для всех

Сотрудники, с одной стороны, хотят работать с офисными файлами прямо со своего мобильного устройства, а с другой — на нем же параллельно обновлять статусы в Facebook, Twitter или отправлять сообщения своим детям. Разве их можно в этом винить? Доступ же к корпоративным данным с таких устройств позволяет быть работникам более эффективными, пунктуальными и следить за делами в реальном времени. Сегодня те или иные мобильные девайсы находят широкое распространение в различных отраслях и увеличивают производительность сотрудников. Ведь удобство состоит в том, что размер гаджета невелик, а подключение к сети возможно повсеместно, да и для компании важен результат — сделанное в срок задание, а не место его исполнения. В итоге удаленная работа стала доступной для большинства специалистов почти любых компаний. Это вариант, позволяющий предприятиям не только привлекать, но и удерживать кадры, особенно молодые, буквально живущие в своих смартфонах. Компании, которые подготовят платформу по управлению подобными рисками, смогут получить заметные конкурентные преимущества.

Итак, мобильные технологии обеспечивают доступ к необходимым корпоративным приложениям, которые, как правило, реализованы в облачных сервисах и предусматривают двухэтапную аутентификацию, что позволяет повысить безопасность хранимых корпоративных данных. Но от таких бед, как несанкционированный доступ к сведениям, это не всегда спасает. И здесь возникают риски информационной безопасности. 
Например, смартфон, оставленный в такси, может привести к необратимым последствиям не только для его владельца, но и для компании. Ведь нередко на смартфоне хранятся корпоративные данные, являющиеся интеллектуальной собственностью компании. Они могут содержаться и в текстовых сообщениях, и в различных учетных записях... Но и это еще не все. Не только физическая утрата устройства представляет риски информационной безопасности. Потеря сведений может происходить и в результате действий вредоносного ПО. Социальные сети тоже порой позволяют непреднамеренно раскрыть конфиденциальную информацию или данные о других сервисах, привычных для сотрудника. Все эти проблемы нужно предусматривать заранее и заниматься управлением рисками информационной безопасности прежде, чем сотрудник загрузит корпоративные сведения на свой мобильник. 

Интересен тот факт, что в США 38% потребителей в настоящее время владеют смартфонами. Планшетные компьютеры получили также весомую долю рынка потребителей. Например, за первые 14 месяцев было продано 25 млн iPad. Как только смартфоны и планшеты получили широкое распространение, количество мобильных приложений, разработанных для этих устройств, во много раз превысили продажи ПО для ПК. И замедления на рынке не последует. Gartner оценивает, что 326,3 млн планшетных компьютеров будет поставляться ежегодно до 2015-го (1). 

Модели распределения рисков

Как уже отмечалось, приложения для смартфонов не только предоставляют своим владельцам самые комфортные условия как в работе, так и на отдыхе, но и способны создавать значительный риск для информационной безопасности. Огромное количество мобильных приложений порой делает нереальным контроль над устройством, если пользователю разрешено устанавливать все что угодно. При этом, несмотря на техническую возможность в современных MDM-решениях ограничить установку программ, применение таких регламентов к личным устройствам может быть не только неэтичным, но и противозаконным. И это лишь небольшой пример из существующего круга проблем. Вообще риски и проблемы безопасности, связанные с мобильными устройствами в корпоративной среде, имеет смысл разделить на четыре направления — технические, социальные, юридические и финансовые.
Здесь сразу хочется отметить часто встречающуюся ошибку — попытку решить проблемы второго, третьего и четвертого типов исключительно за счет технических решений. Подобный подход зачастую приводит лишь к усугублению проблем, а не к их решению. Вот почему при разработке модели применения мобильных устройств в компании (будь то BYOD или COPE) следует изначально определиться с приемлемым уровнем риска во всех четырех областях, чтобы затем выстроить и технический, и организационный контроль в соответствии с принятыми правилами. Попробуем представить несколько возможных моделей распределения рисков. Конечно, они достаточно упрощенные, однако дают представление о направлении оценки рисков в отношении использования мобильных девайсов в компании (рис.1,2,3).

Вариант BYOD c жесткими ограничениями со стороны компании

img

 Рисунок 1

Вариант COPE с использованием полностью контейнерного MСM-решения
img

Рисунок 2

Вариант BYOD с терминальным доступом к корпоративным ресурсам

img

 Рисунок 3

Предложенные схемы отнюдь не охватывают все многообразие вариантов применения мобильных устройств в компании, поэтому тем, кто принимает решение о внедрении, необходимо оценить собственные риски и выгоды для бизнеса.

Реализуемые технические решения и контроль должны соответствовать предпочтительной модели, а выбор, внедрение и тестирование решения нужно поручить профессионалам, имеющим опыт в данной области. Такой подход позволит выбрать оптимальный вариант из всего разнообразия на рынке и убедиться в эффективности применяемых мер защиты. Надо отметить, что предлагаемые многими поставщиками EMM-решения во многом идентичны, поскольку базируются на технологиях, изначально заложенных в операционные системы устройств, а потому разобраться в отличиях и сходу выбрать наиболее подходящее решение непросто. Еще сложнее протестировать и убедиться, что внедренное решение действительно работает так, как заявлено, — для этого нужны навыки проведения анализа защищенности и тестирования на проникновения подобных решений. Можно сказать, что планирование, выбор, внедрение и тестирование решения в области корпоративной мобильности далеко не простой проект, требующий солидной квалификации в данной области.

Комплексная стратегия

Особенно важно затронуть такое направление, как юридические риски или юридические барьеры, мешающие компаниям применять те же рычаги управления личными мобильными устройствами сотрудников, что предназначены и для корпоративного оборудования. Например, при отсутствии таких рычагов, если смартфон был украден, то отдел информационной безопасности просто не будет иметь полномочий удаленно стереть все данные с девайса сотрудника. При этом, как правило, именно топ-менеджеры часто являются исключениями из правил тех или иных политик и пользуются личными смартфонами для рабочих и частных целей без особых ограничений, повышая таким образом риски для компании. В частности, риск утечки информации данных лиц, несомненно, будет более высоким из-за того, что они имеют доступ к наиболее ценным корпоративным сведениям. 
В сегодняшней быстро изменяющейся среде угроз не приходится ожидать сокращения рисков информационной безопасности в отношении мобильных гаджетов. Компаниям следует взять на вооружение тот факт, что создание комплексной стратегии защиты устройств рано или поздно станет насущной необходимостью и потребует экспертного руководства данной областью. Основной целью управления рисками информационной безопасности должно быть обеспечение защиты данных на устройстве, приложений, а также коммуникаций, осуществляемых с их помощью.

Информационная безопасность и бизнес должны договориться о мерах, которые будут помогать и тем и другим в их деятельности: для бизнеса важно не тормозить свое развитие, а безопасности — сохранять ценную корпоративную информацию, не замедляя бизнес-процессы своими процедурами. Поэтому нужно определиться «на берегу» и решить, какие правила работы мобильных девайсов будут действовать при подключенной сети и в офлайнe. Установленный стандарт или политика Mobile security должны предусматривать и превентивные меры, гарантирующие, что устройства, не включенные в соответствующий документ, использоваться сотрудниками не будут. 

(1) Gartner Research, Forecast: Media Tablets by Operating System, Worldwide, 2010–2015, 3Q11 Update, September 2011


Импортозамещение Мобильные приложения

Журнал: Журнал IT-Manager [№ 11/2014], Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Мысли вслух

Сейчас мы вступаем в следующую фазу выздоровления и восстановления, но гибридный мир никуда не денется
Почему бы при «смартовании» цели не подумать о некоторой геймификации?
В России опрос показал: 48% составляют технооптимисты, а больше половины – технофобы и техноскептики.

Компании сообщают

Мероприятия

Технологии и доверие: защита подлинности и идентификация – 2021
Москва, Новинский бульвар, 8, стр. 2, «Лотте Отель»
15.04.2021
9:00
Всероссийский форум «Умный город: Инструкция по применению»
Белгород, ул. Белгородского Полка, 56А. Здание Белгородской государственной филармонии
15 000 руб
15.04.2021 — 16.04.2021
09:00
Smart Business. Новая реальность ритейла и e-commerce
ОНЛАЙН
Бесплатно
15.04.2021
11:00–12:30
Форум Телеком 2021
Москва, Lotte Hotel Moscow, Новинский бульвар, 8с2
36 000 руб
16.04.2021
10:00
Конференция «Российское ПО – драйвер развития цифровой образовательной среды»
Москва, ул. Радио, д. 10А (здание Московского государственного областного университета)
Бесплатно
20.04.2021
10:00–17:30