Весь мир в твоем смартфоне
Автор
Екатерина Старостина
,
Владимир Наймарк
Для бизнеса важно не тормозить свое развитие, а безопасности — сохранять ценную корпоративную информацию, не замедляя бизнес-процессы своими процедурами
В последнее время применение сотрудниками мобильных устройств резко возросло, что создает новые угрозы информационной безопасности. Но быть мобильными сегодня не прихоть, а скорее насущная потребность. В настоящий момент более половины подобных устройств имеет доступ к корпоративным ресурсам, а также используется не только для работы, но и в личных целях. А число гаджетов увеличивается из года в год. Смартфон, пожалуй, больше компаньон человека, чем просто «машина», и многие девайсы становятся продолжением личности их владельца.
Один для всех
Сотрудники, с одной стороны, хотят работать с офисными файлами прямо со своего мобильного устройства, а с другой — на нем же параллельно обновлять статусы в Facebook, Twitter или отправлять сообщения своим детям. Разве их можно в этом винить? Доступ же к корпоративным данным с таких устройств позволяет быть работникам более эффективными, пунктуальными и следить за делами в реальном времени. Сегодня те или иные мобильные девайсы находят широкое распространение в различных отраслях и увеличивают производительность сотрудников. Ведь удобство состоит в том, что размер гаджета невелик, а подключение к сети возможно повсеместно, да и для компании важен результат — сделанное в срок задание, а не место его исполнения. В итоге удаленная работа стала доступной для большинства специалистов почти любых компаний. Это вариант, позволяющий предприятиям не только привлекать, но и удерживать кадры, особенно молодые, буквально живущие в своих смартфонах. Компании, которые подготовят платформу по управлению подобными рисками, смогут получить заметные конкурентные преимущества.
Итак, мобильные технологии обеспечивают доступ к необходимым корпоративным приложениям, которые, как правило, реализованы в облачных сервисах и предусматривают двухэтапную аутентификацию, что позволяет повысить безопасность хранимых корпоративных данных. Но от таких бед, как несанкционированный доступ к сведениям, это не всегда спасает. И здесь возникают риски информационной безопасности.
Например, смартфон, оставленный в такси, может привести к необратимым последствиям не только для его владельца, но и для компании. Ведь нередко на смартфоне хранятся корпоративные данные, являющиеся интеллектуальной собственностью компании. Они могут содержаться и в текстовых сообщениях, и в различных учетных записях... Но и это еще не все. Не только физическая утрата устройства представляет риски информационной безопасности. Потеря сведений может происходить и в результате действий вредоносного ПО. Социальные сети тоже порой позволяют непреднамеренно раскрыть конфиденциальную информацию или данные о других сервисах, привычных для сотрудника. Все эти проблемы нужно предусматривать заранее и заниматься управлением рисками информационной безопасности прежде, чем сотрудник загрузит корпоративные сведения на свой мобильник.
Интересен тот факт, что в США 38% потребителей в настоящее время владеют смартфонами. Планшетные компьютеры получили также весомую долю рынка потребителей. Например, за первые 14 месяцев было продано 25 млн iPad. Как только смартфоны и планшеты получили широкое распространение, количество мобильных приложений, разработанных для этих устройств, во много раз превысили продажи ПО для ПК. И замедления на рынке не последует. Gartner оценивает, что 326,3 млн планшетных компьютеров будет поставляться ежегодно до 2015-го (1).
Модели распределения рисков
Как уже отмечалось, приложения для смартфонов не только предоставляют своим владельцам самые комфортные условия как в работе, так и на отдыхе, но и способны создавать значительный риск для информационной безопасности. Огромное количество мобильных приложений порой делает нереальным контроль над устройством, если пользователю разрешено устанавливать все что угодно. При этом, несмотря на техническую возможность в современных MDM-решениях ограничить установку программ, применение таких регламентов к личным устройствам может быть не только неэтичным, но и противозаконным. И это лишь небольшой пример из существующего круга проблем. Вообще риски и проблемы безопасности, связанные с мобильными устройствами в корпоративной среде, имеет смысл разделить на четыре направления — технические, социальные, юридические и финансовые.
Здесь сразу хочется отметить часто встречающуюся ошибку — попытку решить проблемы второго, третьего и четвертого типов исключительно за счет технических решений. Подобный подход зачастую приводит лишь к усугублению проблем, а не к их решению. Вот почему при разработке модели применения мобильных устройств в компании (будь то BYOD или COPE) следует изначально определиться с приемлемым уровнем риска во всех четырех областях, чтобы затем выстроить и технический, и организационный контроль в соответствии с принятыми правилами. Попробуем представить несколько возможных моделей распределения рисков. Конечно, они достаточно упрощенные, однако дают представление о направлении оценки рисков в отношении использования мобильных девайсов в компании (рис.1,2,3).
Вариант BYOD c жесткими ограничениями со стороны компании
Рисунок 1
Вариант COPE с использованием полностью контейнерного MСM-решения
Рисунок 2
Вариант BYOD с терминальным доступом к корпоративным ресурсам
Рисунок 3
Предложенные схемы отнюдь не охватывают все многообразие вариантов применения мобильных устройств в компании, поэтому тем, кто принимает решение о внедрении, необходимо оценить собственные риски и выгоды для бизнеса.
Реализуемые технические решения и контроль должны соответствовать предпочтительной модели, а выбор, внедрение и тестирование решения нужно поручить профессионалам, имеющим опыт в данной области. Такой подход позволит выбрать оптимальный вариант из всего разнообразия на рынке и убедиться в эффективности применяемых мер защиты. Надо отметить, что предлагаемые многими поставщиками EMM-решения во многом идентичны, поскольку базируются на технологиях, изначально заложенных в операционные системы устройств, а потому разобраться в отличиях и сходу выбрать наиболее подходящее решение непросто. Еще сложнее протестировать и убедиться, что внедренное решение действительно работает так, как заявлено, — для этого нужны навыки проведения анализа защищенности и тестирования на проникновения подобных решений. Можно сказать, что планирование, выбор, внедрение и тестирование решения в области корпоративной мобильности далеко не простой проект, требующий солидной квалификации в данной области.
Комплексная стратегия
Особенно важно затронуть такое направление, как юридические риски или юридические барьеры, мешающие компаниям применять те же рычаги управления личными мобильными устройствами сотрудников, что предназначены и для корпоративного оборудования. Например, при отсутствии таких рычагов, если смартфон был украден, то отдел информационной безопасности просто не будет иметь полномочий удаленно стереть все данные с девайса сотрудника. При этом, как правило, именно топ-менеджеры часто являются исключениями из правил тех или иных политик и пользуются личными смартфонами для рабочих и частных целей без особых ограничений, повышая таким образом риски для компании. В частности, риск утечки информации данных лиц, несомненно, будет более высоким из-за того, что они имеют доступ к наиболее ценным корпоративным сведениям.
В сегодняшней быстро изменяющейся среде угроз не приходится ожидать сокращения рисков информационной безопасности в отношении мобильных гаджетов. Компаниям следует взять на вооружение тот факт, что создание комплексной стратегии защиты устройств рано или поздно станет насущной необходимостью и потребует экспертного руководства данной областью. Основной целью управления рисками информационной безопасности должно быть обеспечение защиты данных на устройстве, приложений, а также коммуникаций, осуществляемых с их помощью.
Информационная безопасность и бизнес должны договориться о мерах, которые будут помогать и тем и другим в их деятельности: для бизнеса важно не тормозить свое развитие, а безопасности — сохранять ценную корпоративную информацию, не замедляя бизнес-процессы своими процедурами. Поэтому нужно определиться «на берегу» и решить, какие правила работы мобильных девайсов будут действовать при подключенной сети и в офлайнe. Установленный стандарт или политика Mobile security должны предусматривать и превентивные меры, гарантирующие, что устройства, не включенные в соответствующий документ, использоваться сотрудниками не будут.
(1) Gartner Research, Forecast: Media Tablets by Operating System, Worldwide, 2010–2015, 3Q11 Update, September 2011
Опубликовано 25.11.2014
Похожие статьи