Безпека BYOD: Які ризики і як їх можна зменшити?

Купа пристроїв BYOD
Незважаючи на занепокоєння щодо ризику безпеки для власного пристрою (BYOD), працівники за останні роки користувалися численними перевагами BYOD. Так само є у роботодавців, які навряд чи коли-небудь зупинять персонал у тому, щоб привозити власні пристрої до роботи або використовувати їх віддалено для роботи. Залишається завдання визначити ризики безпеки, пов’язані з BYOD, та знайти найбільш відповідні рішення для зменшення цих ризиків. 

Contents

Початок роботи – хто, що, коли та де?

Кожна організація має свій підхід до BYOD, і їй потрібно буде впроваджувати спеціальний захист відповідно. Як BYOD практикується на вашому робочому місці? Які пристрої використовуються, ким, коли та де?

Розгляд цих міркувань – хто, що, коли та де – це перший крок у формулюванні правил, які можуть допомогти збалансувати ризики BYOD та вигоди як для вашої організації, так і для ваших працівників. Переваги істотні. Сюди входять більш задоволені працівники, менші витрати на обладнання та підвищення мобільності та продуктивності віддалених працівників. У свій розквіт BYOD був розумним, практичним, економічно ефективним, модним та супер привітним працівникам. ІТ-відділи економили гроші. Співробітники любили працювати з інструментами, які вони знали, без необхідності мікроекранизувати своє цифрове життя. Справа не в тому, що колеса відвалилися, але, оскільки кібер-атаки все частіше ставали новинами, загальна цікава амбівалентність щодо BYOD продовжується і сьогодні. Організації зрозуміли, що вони повинні почати зважувати витрати на безпеку в порівнянні з величиною BYOD, внесеною у фінансовий підсумок компанії.

Інтерес до впровадження BYOD – дивіться у нашому кінцевому посібнику щодо BYOD

Які ризики BYOD?

Крім технічних проблем, безпека та конфіденційність є основними ризиками BYOD. Технічні проблеми включають підключення до Wi-Fi, доступ до мережевих ресурсів, таких як спільні файли чи принтери, та вирішення проблем сумісності пристроїв.

Безпека та конфіденційність – це ризики, з якими стикаються як організації, так і працівники по-різному. Організації, як правило, більше стурбовані безпекою корпоративних даних (і тим, як поведінка користувачів загрожує цим). Співробітників більше турбує конфіденційність та конфіденційність їхніх особистих даних (та які права мають їх роботодавці для доступу до них).

Ризики безпеки

  • Місцева експозиція – Втрата контролю та наочності даних підприємства, які передаються, зберігаються та обробляються на персональному пристрої. Один з властивих недоліків BYOD.
  • Витік даних – Потенційний витік даних або розкриття даних підприємства з незахищеного пристрою
  • Втрата даних – фізична втрата або крадіжка пристрою (і, таким чином, втрата або порушення конфіденційних даних)
  • Публічна експозиція – Сприйнятливість до атак серед людей та підслуховування у громадських точках доступу до Wi-Fi, які часто використовуються віддаленими працівниками. Підключення до персональних мереж, наприклад використання Bluetooth, створює подібні ризики для безпеки.
  • Небезпечне використання – Неприйнятне використання BYOD третьою стороною, наприклад друзів чи родини вдома
  • Шкідливі програми – Пристрої з порушеною цілісністю. Приклад – програми з різним рівнем довіри, встановлені на одному пристрої. Наприклад, дозволити натискання сповіщень або ввімкнути послуги на основі місцезнаходження. Шкідливий додаток може нюхати, змінювати або красти повідомлення між додатками, тим самим створюючи загрозу надійним програмам на пристрої. Крім того, навіть програми з офіційних магазинів додатків можуть бути поставлені під загрозу. У 2015 році Wired повідомив, що Apple вилучила понад 300 частин програмного забезпечення з магазину додатків. Це після зловмисного програмного забезпечення, яке націлено набором інструментів розробників, вдалося створити заражені програми iOS.
  • Професійні програми – Отримавши кореневий доступ до мобільних пристроїв, існує ризик того, що користувачі (відомі також як «шахрайські працівники») можуть обійти обмеження безпеки. У деяких випадках вони можуть встановлювати негідні програми.
  • Перехресне забруднення – Лише один із (багатьох) ризиків зберігання особистої та корпоративної інформації на одному пристрої. Корпоративні дані можуть бути випадково видалені.
  • Налаштування безпеки для ОС – “Jailbreaking”, “root” та “unlock” – це три популярні процедури, які користувачі можуть виконувати на особистих пристроях, щоб зняти обмеження в налаштуваннях постачальників. Це робить їх більш вразливими до небезпечних програм. Вони можуть мати доступ до датчиків пристроїв (наприклад, мікрофона, камери) або чутливих даних, що зберігаються на пристрої без обмежень.  
  • Інсайдерські атаки – Уразливість для інсайдерських атак, які важко запобігти, оскільки вони трапляються в локальній мережі (локальній мережі) організації з використанням дійсного профілю користувача

Питання конфіденційності

Оскільки BYODs отримують доступ до серверів та мереж компанії, компанії можуть юридично отримувати доступ до них. Спочатку стурбованість працівників щодо конфіденційності стосувалася типу Big Brother. Ці питання стосувались того, чи зможуть компанії та право користуватися приватною кореспонденцією та обмежувати спосіб приватного користування Інтернетом, наприклад. доступ до сайтів соціальних медіа. Але експерти майже згодні, роботодавці не всі зацікавлені тим, чим займаються працівники у вільний час. Їх більше цікавить, чи може те, що вони роблять, у будь-який спосіб погрожує безпеці компанії. Цілком очевидно, що існує чітка грань, коли йдеться про те, наскільки глибоко організації можуть, повинні і повинні заглиблюватися в особисті дані. Справа в тому, що:

  • Судова практика – Мобільні пристрої співробітників можуть бути предметом запиту на відкриття в рамках судових процесів, пов’язаних із організацією
  • Втрата персональних даних – Безпека компанії BYOD може покладатися на програмне забезпечення, яке не розрізняє особисті та корпоративні дані. Таким чином, якщо вдається виявити порушення безпеки, все з пристрою – особисті та корпоративні – може бути автоматично видалено (називається віддаленою очищенням). Це трохи важко, якщо ви не створювали резервні копії відео про народження своєї першої дитини.
  • Старший брат – Хоча це не робиться навмисно, як це було у випадку з антигероєм Орвелла, ІТ-відділ компанії, безумовно, зможе весь час відстежувати фізичне місцезнаходження працівника та бути в курсі їхньої активності в Інтернеті.

Ставки на безпеку та конфіденційність даних, мабуть, найвищі в галузі охорони здоров’я. Це тому, що дані про пацієнтів є особливо вигідною ціллю для кіберзлочинців. Під ризиком – це медичні історії, страхові та фінансові дані та ідентифікаційна інформація.

Збірка технологій безпеки BYOD

Ось що вам потрібно знати про деякі потенційні зброї у вашому арсеналі.

Управління мобільними пристроями (MDM)

MDM, як правило, є першим портом виклику для безпеки BYOD. Але пам’ятайте, що BYOD – це модель власності. MDM – і управління мобільними додатками (MAM) – це просто типи програмного забезпечення, які компанії можуть купувати та використовувати для забезпечення безпеки BYOD. Організації можуть легко запровадити сторонні системи MDM. Це такі дії, як віддалено витирайте всі дані з телефону та знайдіть телефон, якщо він зник. MDM також чудово підходить до сегрегації даних. Обмін роботою та особистими контактами в одній адресовій книзі, наприклад, створює високий ризик витоку даних. Помилково вибрати неправильний особистий контакт як одержувача і випадково розмістити конфіденційну інформацію про компанію. Майте на увазі, що MDM найкраще працює в поєднанні з програмним забезпеченням мережевого доступу (NAC) (див. Див Контроль доступу до мережі наступного гена (NAC) нижче.)

Управління мобільністю підприємства (EMM)

EMM схожий на MDM. Основна відмінність полягає в тому, що MDM управляє всіма можливостями пристрою, тоді як EMM управляє всім пристроєм.

BYOD 1

Пристрої, що управляються системами MDM, в епоху BYOD 1. З часом ІТ-гуру визначили справжню проблему з BYODs та змінили свою стратегію. Проблема полягала в неоднорідному ризику для працівників та організацій через наявність корпоративних та особистих даних на одному телефоні. Співробітники загрожують їхній конфіденційності, а організації переживають за порушення безпеки корпоративних даних.

BYOD 2

Введіть BYOD 2 та управління мобільними додатками (MAM). MAM керував додатками, а не цілими пристроями. Співробітники могли відчути, що їх особисті дані є приватними, і вони мали контроль над своїми пристроями (чорт, вони платили за них, чи не так?) Зі свого боку, організаціям тепер потрібно було лише хвилюватися про контроль, управління та безпеку даних підприємства та додатки, а не особистий вміст.

Управління мобільними додатками (MAM)

Але чи працює МАМ? Одне питання полягає в тому, що MAM важко керувати додатками з офіційних магазинів додатків. Щоб вирішити цю проблему, постачальники MAM намагалися «обернути» звичайні нестандартні програми із власним шаром безпеки, шифрування та контролю. Проблема полягає в тому, що для того, щоб відділ інформаційних технологій “змотав” додаток для iOS або Android, вони повинні отримати оригінальні файли пакета програми від того, хто написав програму. Але більшість розробників додатків справді не люблять віддавати ці файли. Крім того, продавці MAM написали власні захищені версії програм, які користувачі хотіли завантажити. Це дещо перемогло предмет. Зрештою, однією з переваг BYOD є свобода користуватися пристроєм так, як звикли користуватися ним. Це було однією з рушійних сил, що зумовили тенденцію до BYOD. Такі компанії, як IBM, які випустили безкоштовні Blackberrys, незабаром зрозуміли, що працівники віддають перевагу та зручніше їх персональним пристроям iOS та Android.

Контейнеризація віртуального розміщеного робочого столу (VHD)

VHD створює повне зображення на робочому столі, яке включає в себе операційну систему, всі програми та налаштування. Будь-яка машина може отримати доступ до робочого столу, при цьому обробка та зберігання відбувається на центральному сервері. Приклад – Office 365. Для віддалених працівників основною проблемою цієї моделі була менша, ніж ідеальна продуктивність. Він працював лише для базових офісних програм, таких як обробка текстів, електронних таблиць та основних повідомлень. Контейнізація VHD розміщує нативні програми у безпечній зоні на пристрої. Це ефективно ізолює та захищає їх від певних функцій, таких як бездротові мережеві з’єднання, порти USB або камери пристроїв. Основна проблема контейнерації VHD – це проблеми безпеки, притаманні сховища на стороні клієнта.

Контроль доступу до мережі наступного гена (NAC)

За старих часів сервери Windows легко контролювали статичні машини користувачів і були дуже обмежуючими. Сьогодні керування доступом до мережі є складнішим, оскільки доводиться мати справу з бездротовими BYOD, використовуючи різні операційні системи.

Сучасне програмне забезпечення NAC – під назвою Next Gen NAC – аутентифікує користувачів, реалізує програми безпеки (наприклад, брандмауер та антивірус) і обмежує доступ мережевих ресурсів до пристроїв кінцевих точок відповідно до визначеної політики безпеки, спеціально для мобільних пристроїв. NAC – це справжній стикер для правил і може виконувати оцінки ризиків на основі атрибутів “Хто, що, коли” та “де” як користувача, так і пристрою. Адміністратори можуть створювати та автоматично застосовувати сувору детальну політику доступу. Наприклад, комбінація користувача / пристрою, яка є цілком законною у звичайний робочий час, може не отримувати автоматично доступ до частин системи через години. Між іншим, в галузі її часто називають рольовим контролем доступу (RBAC). Наступний ген NAC вимагає, щоб мережа розпізнавала особу користувача. Це дозволяє лише їм отримати доступ до тих ресурсів, які необхідні, застосовуючи суворі правила ролі користувача.

Коротше кажучи, NAC контролює користувачів, які отримують доступ до певних типів даних. Він найкраще працює разом з MDM, що дозволяє організаціям контролювати, керувати, захищати та застосовувати політику безпеки на пристроях працівників.

Запобігання втратам даних (DLP)

DLP – це стратегія забезпечення того, щоб кінцеві користувачі не надсилали потенційно чутливу або критичну інформацію за межі корпоративної мережі. Під час створення інформації інструменти DLP можуть застосовувати політику використання для неї, будь то файл, електронна пошта чи програма. Наприклад, він може ідентифікувати вміст, що містить номер соціального страхування або інформацію про кредитну карту. Як і Next Gen NAC, DLP є стикером для правил. По суті, він спочатку кладе цифровий водяний знак на чутливі дані. Потім він відстежує, як, коли та ким отримувати та / або передавати ці дані. У різних компаніях є різні типи конфіденційних даних. Існують загальні пакети рішень, які орієнтовані на інформацію, як правило, вважають конфіденційною, наприклад використання слова “конфіденційно” в електронній пошті. Програмне забезпечення DLP може виявити використання слова “конфіденційно” та виконати певні дії, наприклад карантин електронної пошти. Основним недоліком DLP є те, що неправильно реалізовані правила можуть негативно вплинути на досвід роботи користувачів. Наприклад, коли роль підтримки не може отримати доступ до певних програм або даних поза робочим часом.

Контрольний список рішення BOYD

Існує ряд заходів, які організації можуть вжити для зменшення ризиків BYOD:

  • А всебічна стратегія є найкращим підходом, але, маючи на увазі використання Вашої організації, хто, що, коли та де використовує BYOD. Комплексне повинно включати рішення для створення пари, які найкраще працюють при впровадженні в тандемі, як MDM та NAC.
  • Крім того, рішення повинні включати практичні правила які не є нав’язливими або дріб’язковими. Наприклад, якщо ваш інструмент DLP ідентифікує вихідну електронну пошту, яка містить слово “конфіденційно”, може бути зайвим видалити повідомлення користувача прямо. Натомість позначте його для подальшого розслідування. (Подивитися Віддалене протирання нижче.)

Віддалене протирання

Віддалене стирання – це можливість віддаленого видалення даних з пристрою. Сюди входить перезапис збережених даних для запобігання криміналістичному відновленню та повернення пристрою до його початкових заводських налаштувань, тому будь-які дані, що коли-небудь на ньому, недоступні нікому, ніколи.

Широко повідомлялося в Інтернеті в той час, коли з деякими розвагами стався інцидент із дочкою генерального директора Mimecast Пітера Бауера. Граючи зі смартфоном батька у відпустці, вона ввела кілька неправильних паролів. Це призвело до активації функції віддаленого очищення телефону, видаливши всі фотографії, зроблені в поїздці. Хоча функція віддаленого видалення даних є корисним заходом для захисту даних на загублених або викрадених пристроях, їх використання може призвести до непотрібного видалення даних працівника. Рішення: організації повинні створити баланс безпеки між особистим та робочим використанням пристроїв BYOD. Повідомляючи про можливе порушення безпеки, а не автоматично протираючи дані пристрою, адміністратори безпеки можуть фізично підтвердити його втрату або викрадення. Все, що потрібно, – це телефонний дзвінок.

Профілювання ризику

Організації повинні розуміти власні вимоги щодо захисту даних. Особливо це стосується регламентованих середовищ, де можуть бути вимоги відповідності, і складати профіль ризику. Наприклад, міжнародні вимоги до розгортання та дотримання – це два сценарії, коли рівень ризику BYOD особливо високий.

Будьте в курсі

Оновіть операційні системи, браузери та інші програми часто за допомогою останніх патчів безпеки. Дебаль Panama Papers був одним з найбільших витоків даних в історії, спричинений, кажуть фахівці з безпеки, вразливістю застарілого програмного забезпечення.

Ще одним аспектом постійного оновлення є забезпечення того, що пристрої працівників, які виходять з компанії, мають належну змогу переносити корпоративні дані. Якщо їх немає, ризик порушення будь-яких даних може продовжуватись і в майбутньому. Що станеться, наприклад, якщо колишній працівник продає свій пристрій? І чи згадували ми, що хаос незадоволених працівників може спричинити доступ до секретів компанії та інтелектуальної власності? Чутливі корпоративні дані отримують преміальну ціну в Темній павутині.

Виділення даних

Доцільно обмежити доступ до даних підприємства відповідно до характеру ролі роботи працівника. Це місце, де надходить Next Gen NAC. Розумніше надання даних забезпечує мінімально необхідний доступ до конфіденційних даних. Крім того, сегрегація та VPN можуть запобігти витік конфіденційних даних через розмиті загальнодоступні бездротові точки доступу через години.

Відстеження пристроїв

Не варто недооцінювати цінність хорошого старомодного ключа та стратегії безпеки висячого замка. Coca-Cola постраждала від порушення даних, коли працівник викрав багато ноутбуків протягом декількох років, що призвело до ряду порушень даних. Кока-кола навіть не помітила, що ноутбуки були вкрадені. Рішення полягає в тому, щоб компанії застосовували сувору політику відстеження пристроїв. Таким чином, вони завжди знають, де знаходяться всі пристрої компанії, використовуються чи ні. Ще одна добра практика – це впровадження системи спостереження, яка може контролювати всі пристрої, що входять та виходять з приміщень компанії. Включити пристрої відвідувачів до системи спостереження.

Зменшення працівника-шахрая

Співробітник ізгоїв – унікальна істота в міських джунглях. Або хоча б s / він вважає, що вони є. Це людина, яка не зобов’язана слідувати правилам суспільства, як і ми всі. Наприклад, ця людина може з приємністю вважати, що вони краще їздять під впливом алкоголю. На робочому місці водій-шахрай має подібну мізерну зневагу до політики та правил.

Ще в 2013 році TechRepublic повідомив, що 41 відсоток користувачів мобільного бізнесу США використовували несанкціоновані послуги для обміну або синхронізації файлів. 87 відсотків визнали, що знають, що їхня компанія проводила політику обміну документами, яка забороняла цю практику.  

Порушення даних на найнижчому рівні відбувається через помилки людини. Одне з рішень – регулярні, інтенсивні тренінги з безпеки для всіх ролей, від генерального директора до виробника чаю. Що підводить нас до обізнаності з безпекою.

Навчання з підвищення безпеки

Також TechRepublic повідомляв історію про команду з безпеки некомерційної організації, яка виявила, що декілька команд, які використовують Dropbox без ІТ-дозволу, нещодавно були взламані. Команда, дуже розважливо, зв’язалася з DropBox. Вони повідомили КСВ по телефону, що хочуть дізнатися більше про те, як їх організація використовувала платформу. Телефонний представник отримав більше даних, ніж вони очікували, сказавши їм: «У нас є список 1600 імен користувачів та їх електронних адрес. Чи хотіли б ви цей список? ” Постачальник хмарних сховищ очевидно найбільше зацікавлений у тому, щоб продати їм корпоративну версію, і був готовий поділитися списком клієнтів, навіть не засвідчивши автентифікацію того, хто телефонував. Після цього інциденту репортер був зарахований на навчальний курс з питань безпеки. Ми сподіваємось.

Якщо це не записано, воно не існує

Згідно з опитуванням AMANET, колосальні 45 відсотків роботодавців відстежують вміст, натискання клавіш та час, проведений за клавіатурою. Однак, щоб поставити це в перспективу, 83 відсотки організацій інформують працівників, що компанія контролює вміст, натискання клавіш та час, проведений за клавіатурою. 84 відсотків повідомляють працівникам, що компанія переглядає діяльність комп’ютера. 71 відсоток попереджають працівників про моніторинг електронної пошти.

Що стосується BYOD, компаніям потрібно розробити прийнятну політику використання та процедури, що чітко визначають межі. Вони повинні чітко описувати наслідки порушень політики. BYOD вимагає взаємної довіри між організацією та її працівниками – захист даних з одного боку та захист особистої інформації з іншого. Але це мало наслідків, коли порушення даних призводить до судових процесів.

Підприємства повинні запровадити офіційний процес реєстрації та надання послуг для пристроїв, що належать працівникам, перш ніж надати доступ до будь-яких ресурсів підприємства. Співробітники повинні визнати, що вони розуміють правила гри.

Що слід включити:

  • Допустиме використання, включаючи доступ до соціальних медіа  
  • Процедури безпеки (наприклад, оновлення та шифрування паролів) та вказівки щодо реагування на інциденти
  • Фінансові умови використання (відшкодування, якщо такі є)
  • Правила щодо пристрою та втрати даних
  • Який моніторинг може мати місце
  • Які пристрої дозволено чи заборонено

Що перешкоджає прийняттю BYOD – безпека або неоднозначність?

Наскільки поширений BYOD насправді?

Коли BYOD вперше став популярним, 67 відсотків людей користувалися персональними пристроями на робочому місці. Лише 53 відсотки організацій повідомили, що існує політика, яка явно дозволяє таку діяльність, згідно з опитуванням Microsoft у 2012 році. Насправді, справи не змінилися дуже сильно. BYOD як і раніше знаходиться в стані потоку. Давайте подивимося на фігури.

Всесвітнє опитування виконавчих програм Gartner, Inc. зі світових компаній, виявило, що 38 відсотків компаній припиняють надавати пристрої для працівників до 2016 року. Дослідницький гігант продовжував передбачати, що до 2017 року половина всіх роботодавців потребуватиме працівників, щоб забезпечити їх власні пристрій для робочих цілей. Є чимало, якщо такі є, ознак того, що це насправді сталося.

Опитування CompTIA (paywall) у 2015 році – «Будівництво цифрових організацій» – показало, що 53% приватних компаній заборонено BYOD. Сім відсотків опитаних заявили, що вони допускають повну політику BYOD. Повна політика означає, що компанія не несе відповідальності за пристрої. 40 відсотків дозволили часткову політику BYOD. При частковій політиці компанія надає деякі пристрої, але дозволяє деяким особистим пристроям отримати доступ до корпоративних систем.

У дослідженні Blancco (paywall) 2016 року – “BYOD and Mobile Security” – проведено опитування понад 800 фахівців з кібербезпеки, які входили до спільноти інформаційної безпеки на LinkedIn. Дослідження показало, що 25 відсотків опитаних організацій не планували підтримувати BYOD, не пропонували BYOD або не намагалися BYOD, але відмовилися від нього. Дослідження показало, що безпека (39 відсотків) є найбільшим інгібітором прийняття BYOD. Заклопотаність конфіденційності працівників (12 відсотків) була другим найбільшим інгібітором.

Підсумок: інакодумцям може бути прощено за розгляд BYOD, певною мірою, ажіотаж.

BYOD – прибутковий ринок, але для кого?

Опитування ринків та ринків (платний стін) показало, що розмір ринку BYOD та мобільності підприємств зросте з 35,10 млрд. Дол. США в 2016 р. До 73,30 млрд. Дол. До 2021 р. Напевно, схоже, існує багато можливостей для виробників виробляти додатки, що пом’якшують фінансовий прибуток. та програмне забезпечення для управління BYOD.

Дослідження Бланко також встановило, що загрози безпеці для BYOD сприймаються як накладення великих фінансових навантажень на ІТ-ресурси організацій (35 відсотків) та навантаження служб технічного обслуговування (27 відсотків). Але 47 відсотків респондентів сказали, що зниження витрат було користю для BYOD. Незважаючи на наявні переваги та побоювання щодо ризиків безпеки BYOD, лише 30 відсотків респондентів заявили, що збільшать бюджет BYOD у наступні 12 місяців. Ці цифри, схоже, вказують на те, що не лише ризики для безпеки заважають організаціям від усієї душі приймати BYOD.

Альтернативи BYOD

Виберіть власний пристрій (CYOD)

CYOD – дедалі популярніший варіант у великих організаціях. На відміну від BYOD, де користувач може використовувати будь-який пристрій, організації повинні схвалити використання CYOD. Попередньо налаштовані пристрої повинні забезпечувати всі програми, необхідні для продуктивності працівників. Вирішуючи, які пристрої можуть обирати його працівники, компанія точно знає, якими є положення безпеки кожного пристрою. Компанія також знає, яку версію програмного забезпечення працює кожен пристрій. Можна впевнитись, що всі власні програми та програмне забезпечення сумісні та сумісні у всій компанії.

Корпоративний, особистий доступ (COPE)

За допомогою моделі COPE компанії платять за смартфони своїх працівників. Бізнес зберігає право власності на пристрої. Так само, як вони могли на особистому пристрої, працівники можуть надсилати особисті електронні листи та отримувати доступ до соціальних медіа тощо. Мінус полягає в тому, що елементи керування можуть запобігти доступності корпоративних даних на телефон за межами заданих параметрів. Це може перемогти об’єкт для віддалених працівників.

Як це роблять великі хлопці?

Для багатьох менших компаній BYOD, здається, є слоном у кімнаті. Спільне для великих хлопців – це план та прислів до нижньої лінії.

Кілька компаній Fortune 500 – Gannett, корпорація NCR, компанія Western Union та Western Digital – поділилися своїми політиками BYOD з Network World. Вони сказали, що перед тим, як мобільні пристрої перенести в свою мережу, вони обов’язково встановлять безпечні процедури доступу. Їх основними методами безпеки BYOD були:

  • Користувачі BYOD повинні встановити корпоративне затверджене антивірусне програмне забезпечення
  • ІТ-адміністратори також повинні мати доступ до службових BYOD з міркувань безпеки. Причини включали проведення віддалених серветки (звані технології “отруєння таблетки”) втрачених або вкрадених пристроїв або сканування загроз безпеці.
  • Деякі компанії вимагають від співробітників використовувати PIN-коди на своїх пристроях
  • Більшість компаній вимагають, щоб користувачі завантажували свою програму управління мобільними пристроями (MDM) на телефони, планшети та фаблети
  • Кілька компаній, як NCR, забороняють використовувати особисті облікові записи електронної пошти для ділових цілей
  • NCR також забороняє зберігати ділові матеріали чи інформацію в Інтернеті чи хмарних сайтах, якщо це прямо не дозволено

Google

Google має багаторівневий підхід, який визначає стан пристрою, атрибути пристрою, групові дозволи та необхідний рівень довіри для певної ролі працівника. Є чотири яруси:

  • Ненадійний – Немає даних Google чи корпоративних послуг (загалом)
  • Базовий доступ – Послуги з обмеженою експозицією даних про конфіденційні та необхідні знання (наприклад, карти кампусу та графіки автобусів) та HR-дані для запитуючого користувача
  • Пільговий доступ – Послуги з конфіденційними, але не потрібними для інформації (наприклад, відстеження помилок) та HR-даними з доступом на рівні менеджера
  • Високо привілейований доступ – Доступ до всіх корпоративних послуг, у тому числі до тих, що містять конфіденційні дані чи дані, які потрібно знати

Такий підхід, пояснює Google, оскаржує традиційні припущення щодо безпеки, що приватні або “внутрішні” IP-адреси представляють “більш надійний” пристрій, ніж ті, що надходять з Інтернету. Це дозволяє детально забезпечити доступ та дає точний спосіб вираження порогових значень ризику. Користувачі мають можливість використовувати цілий ряд пристроїв і вибирають для них зручніші конфігурації (наприклад, довший час розблокування екрана або повне видалення PIN-коду). Вони також можуть вибирати різні рівні управління підприємством. Рівень доступу користувача до корпоративних послуг залежатиме від пристрою, його поточного стану та конфігурації та їх автентифікації користувача.  

IBM

В IBM правильні правила використання виключають безліч служб, які співробітники регулярно використовують на власних пристроях, але пропонують власні розроблені альтернативи. Регулярні послуги включають DropBox, переадресацію електронної пошти, персональний помічник Siri та голосові програми передачі файлів, наприклад Apple iCloud Apple. Проблема полягає в тому, що якщо IBM (або будь-яка інша компанія) збирається позбавити ці пристрої з тих речей, які спочатку привернули користувачів, швидше за все, ці пристрої взагалі перестануть використовуватися для роботи..

Colgate

Коли Colgate започаткував свою програму BYOD, компанія підрахувала, що вона зекономить 1 мільйон доларів на рік. Це вартість ліцензійних платежів, які б мали заплатити виробник BlackBerry Research in Motion, якби пристрої перебувають у корпоративній власності.

Суть – Хто, що, коли та де?

Трюк у боротьбі з загрозами, властивими віддаленій роботі та BYOD, полягає у створенні мережі, яка контекстно відома. Контекстно усвідомлена мережа – це та, яка може визначити джерело та характер трафіку – за місцем розташування, типом пристрою та поведінкою, наприклад. будь то звичайний чи підозрілий. Визначаючи потенційні загрози, система може приймати розумне рішення щодо того, як реагувати. Наприклад, він може не дозволити доступ до пристрою, який не знаходиться в тому ж географічному розташуванні, як інший пристрій, що належить тому ж користувачеві. Або це може дозволити обмежений доступ до входу користувача через загальнодоступний Wi-Fi. Він також може обмежувати доступ до певних файлів або частин мережі.

Деякі речі, які слід пам’ятати:

  • Важко відкликати пільги BYOD на робочому місці
  • Не вигідно викидати дитину разом з водою за допомогою обмеження BYOD, якщо воно більше не має значення
  • BYOD – насправді одна з найменших загроз, з якими стикаються кіберзлочинці. Звіт ФБР – “Звіт про Інтернет-злочинність за 2016 рік” – консервативно оцінив збитки жертв кіберзлочинністю у 2016 році в 1,33 мільярда доларів.

Урок: поставити BYOD в перспективу з точки зору вартості та ризику для безпеки, і якщо ви вирішите, що вона того варта, налаштуйте практичні правила, щоб вона працювала.

“Паля пристроїв” від Джеремі Кіта, ліцензована за CC BY 2.0

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me