Журнал "Директор по безопасности" Сентябрь 2020 | Page 8

ТЕМА НОМЕРА:
ТЕМА
МОБИЛЬНОСТЬ
НОМЕРА: КАДРОВАЯ
БЕЗОПАСНОСТЬ
И/ИЛИ БЕЗОПАСНОСТЬ
Управляйте
Life-гаджетом
или управлять
будут Вами!
Игорь Калайда,
генеральный директор ООО «НИИ СОКБ»
Тема защиты и управления мобильными
устройствами всегда
вызывает интерес, а сегодня он
дополнительно подогревается перспективой
осенне-зимнего карантина.
Поэтому мы собрали ведущих специалистов
отрасли безопасности мобильных
решений в формате бизнес-завтрака
с целью обсудить весенний
опыт перехода на режим изоляции
компаний и сотрудников.
Из первых уст
В мероприятии приняли участие Алексей
Лукацкий, бизнес-консультант по
безопасности компании Cisco Systems.
Николай Смирнов, директор по продуктам
компании ИнфоТеКС, Михаил
Кудрявцев, руководитель направления
по работе с заказчиками государственного
сектора компании Samsung,
Сергей Орлик, генеральный директор
компании МобилитиЛаб, Игорь Янковский,
руководитель направления
мобильной разработки компании
Digital Design, Михаил Комиссаров,
региональный директор компании
MobileIron, Павел Луцик, директор по
продажам и развитию бизнеса компании
КриптоПро и Илья Федорушкин,
заместитель Председателя Ассоциации
«Доверенная платформа».
В ходе мероприятия, все участники
имели возможность пройти голосование
по обсуждаемым темам.
Подробную информацию, результаты
опросов а так же полную запись конференции
можно посмотреть на странице
мероприятия в Интернете, задав
поиск «Управление мобильностью –
здесь и сейчас!»
Организатором мероприятия выступила
компания ООО «НИИ СОКБ» –
разработчик сертифицированного
ФСТЭК России EMM SafePhone.
Участники мероприятия выбрали и
обсудили пять ключевых вопросов.
Тотальный апгрейд образа жизни.
Теперь Ваша реальность –
это тоже гаджет!
Сегодня существуют две противоположные
точки зрения о перспективах.
Часть экспертов убеждена, что со временем
большая часть бизнеса вернется
в офисы, поскольку удаленные
коммуникации между сотрудниками
нарушают естественные бизнес-процессы
и снижают эффективность. Соответственно,
потребность в мобильных
инструментах, а вместе с ней и
риски при такой модели снизятся.
Другое мнение (к нему склоняется
большинство участников нашего
бизнес-завтрака) состоит в том, что
в среднесрочной перспективе ситуация
с COVID-19 спровоцировала повышенный
спрос на мобилизацию
бизнеса и ситуация уже не вернется к
прошлогоднему состоянию, поскольку,
как работодатели, так и сотрудники
компаний успели на практике
ощутить преимущества работы в формате
«виртуальный офис»: удобство,
гибкость, для работодателя – доступность
сотрудников в течение суток, для
работников – большая самостоятельность,
свобода в принятии организационных
решений, экономия времени.
Сотрудники, особенно ранее работавшие
в open space, отмечают повышение
личной эффективности в домашних
офисах. По опросам до 60%
сотрудников хотели бы остаться на
«удаленке», либо полностью, либо в
«гибридном» режиме, оставаясь дома
хотя бы 1–3 дня в неделю.
Для некоторых отраслей, таких как
здравоохранение и образование, мобильность
стала обязательным требованием
во время пандемии и, скорее
всего, это положение дел не изменится.
Пока не все до конца понимают,
что будут делать с этой новой реальностью.
Процесс развития культуры
удаленных офисов находится в стадии
становления и оценки эффективности
такого формата работы можно будет
делать ближе к концу года.
1
Для некоторых отраслей,
таких как здравоохранение
и образование, мобильность
стала обязательным
требованием во время
пандемии и, скорее всего, это
положение дел не изменится
Защищай или обеднеешь
Прежде чем что-то защищать и тратить
на эту защиту деньги, необходимо
определить модель угроз, их реальность
и обоснованность. Перечислим
основные угрозы, возникающие при переводе
бизнеса в мобильный формат:
нерегулируемый набор приложений
на устройствах сотрудников. Пожалуй,
это самая серьезная угроза, поскольку
даже сами Apple и Google не в
состоянии полноценно контролировать
свои маркеты, ежегодно вычищая из
них тысячи сомнительных приложений;
использование сотрудниками общественных
точек доступа к Wi-Fi;
возможность несанкционированного
физического доступа к устройствам;
нерегулярное обновление операционных
систем и другого ПО;
фишинг. На мобильных устройствах
фишинговые атаки отображаются
несколько иначе, чем на десктопах,
поэтому необходимо уделять внимание,
например, тому, какими почтовыми
клиентами пользуются сотрудники.
Мобилизируя рабочие процессы,
мы сталкиваемся со множеством рисков,
таких как финансовые, репутационные,
нарушения законодательства,
связанные в том числе с цифровым
суверенитетом. Ну и, конечно, не стоит
забывать о классике – о непрерывности
бизнеса, о вопросах национальной
и международной безопасности.
Если говорить о модели нарушителя,
мы, как правило, имеем дело с
невнимательными пользователями,
внутренними и внешними нарушителями.
Пожалуй, наиболее проблемная
категория нарушителей – неинформированный
пользователь или неинформированный
специалист ИТ или ИБ.
Как только мобильные устройства
становятся частью ИТ-инфраструктуры
компании, политики безопасности
должны учитывать эти мобильные
устройства. В принципе, классическая
модель построения и защиты ИС
в полном объеме применима и для
«удаленки». Ключевые аспекты здесь –
авторизация и сегментирование.
Дифференцируя виды доступа,
можно обеспечить функционал, безопасность
и сохранность данных. Но,
конечно, есть некоторые особенности,
которые проявляются именно при переходе
на удаленный формат бизнеса.
Например, сотрудники, волею судьбы
оказавшиеся вместо привычного офиса
в виртуальном, все равно большую
часть своей работы осуществляют в
рамках выверенных процессов. Однако
есть кусочки бизнес-вопросов, которые
не покрыты процессами. Такие
вопросы решаются произвольным способом.
Если раньше это были очные
встречи, то сейчас могут использоваться
несистемные каналы и это – один из
явных векторов утечки, который должен
регулироваться не столько с точки
зрения ИБ, сколько с точки зрения
проработки бизнес-процессов.
Для того, чтобы правильно найти
баланс между управлением и защитой,
нужно действовать последовательно:
сначала необходимо выбрать платформу,
которая решает поставленные
задачи, а уже потом – устройства, технологические
решения.
BYOD, CYOD и прочие стратегии.
Что выбрать?
Дилемма выбора между корпоративными
или личными устройствами сотрудников
встает абсолютно перед любой
компанией. Существует несколько
концепций применения устройств сотрудников
в корпоративной сети. Помимо
наиболее известной BYOD 2 , есть
CYOD 3 , COPE 4 , COBO 5 и т. п.
Такое разнообразие моделей, вероятно,
обусловлено тем, что задача мобилизации
для каждой компании уникальна,
и принципы работы в каждом
случае базируются на специфических
(для компании, отрасли, географического
положения и т. п.) условиях.
По статистике НИИ СОКБ 40% заказчиков
используют концепцию COPE,
35% – концепцию COBO и всего 25%
пользуются моделью BYOD. Однако,
это распределение характеризует ситуацию,
сложившуюся для конкретного
поставщика решений и текущего момента.
Ситуация на рынке меняется
очень быстро и за последние 3–4 года
изменилась кардинально: если раньше
модель зависела от доступности
устройств на рынке, то сейчас парк таких
устройств стал гораздо обширнее
и конечные пользователи обращают
больше внимания на прикладную составляющую,
чем на статусность.
Компании, особенно крупные,
столкнулись с тем, что модель выдачи
корпоративных смартфонов сотрудникам
не очень хорошо работает, поскольку
срок амортизации мобильных
устройств, как правило, гораздо больше,
чем человек готов с таким устройством
ходить. Поэтому со временем
компании все чаще позволяют сотрудникам
использовать те устройства, которые
им нравятся и в большинстве
случаев получается, что компании используют
какие-то комбинации вышеупомянутых
концепций, некие гибридные
модели.
Перед принятием решения, по какому
пути идти, важно понимать, в
каком положении находится компания
– финансовом, экономическом,
техническом, географическом. Готовы
ли сами пользователи осознанно осуществлять
администрирование своих
устройств и т. д. И не важно, как называется
концептуальная модель использования
мобильной инфраструктуры
компании. Важно соответствие требованиям,
которые бизнес предъявляет
к цифровому рабочему пространству.
Удобное и эффективное рабочее
место должно быть омниканальным,
то есть должно обеспечивать бесшовный
переход между устройствами,
между форм-факторами, между географическими
локациями, чтобы сотрудник
мог начать работу в офисе,
продолжить по пути домой и закончить
дома, пользуясь разными устройствами.
Рабочее место должно быть
персонифицированным, настроенным
под конкретного сотрудника или под
конкретную роль, модульным, микросервисным,
функционально расширяемым,
«заточенным» под тяжелый
(медиа) контент, при этом часть сервисов
может быть облачной.
Цифровое рабочее пространство
глобально включает в себя инструменты
совместной работы и инструменты
коммуникаций, покрывающие широкий
круг задач. На текущий момент
эти потребности невозможно «закрыть»
какой-то одной системой.
Поэтому нужен комплексный подход
в интеграции мобильных решений,
начиная от построения инфраструктуры
и заканчивая созданием
мобильных бизнес-приложений.
Дилемма выбора между
корпоративными или личными
устройствами сотрудников встает
абсолютно перед любой компанией