🔆 🚶🏾 🍸 Ayer fue imposible, pero hoy es necesario: ¿cómo comenzar a trabajar de forma remota y no causar una fuga? 👩🏽‍🤝‍👨🏿 ❗️ 🗒️

Durante la noche, el trabajo remoto se ha convertido en un formato popular y necesario. Todo por culpa de COVID-19. Nuevas medidas para prevenir la infección aparecen todos los días. En las oficinas, se mide la temperatura, y algunas compañías, incluidas las grandes, transfieren a los trabajadores a una ubicación remota para reducir las pérdidas por tiempo de inactividad y baja por enfermedad. Y en este sentido, el sector de TI con su experiencia en equipos distribuidos es el ganador.

Este no es el primer año que en el SRI SOKB hemos estado organizando el acceso remoto a datos corporativos desde dispositivos móviles y sabemos que el trabajo remoto es una pregunta difícil. Debajo del corte, diremos cómo nuestras soluciones ayudan a administrar de forma segura los dispositivos móviles de los empleados y por qué es importante para el trabajo remoto.

¿Qué necesita un empleado para trabajar de forma remota?

Un conjunto típico de servicios que necesita para proporcionar acceso remoto para el trabajo completo son los servicios de comunicación (correo electrónico, mensajería), recursos web (varios portales, por ejemplo, servicio de atención al cliente o sistema de gestión de proyectos) y archivos (sistemas de gestión de documentos electrónicos, control de versiones etc.)

No podemos esperar que las amenazas de seguridad esperen hasta que terminemos de combatir el coronavirus. El trabajo remoto tiene sus propias reglas de seguridad que deben observarse incluso durante una pandemia.

La información que es importante para las empresas no puede simplemente enviarse al correo electrónico personal de un empleado, de modo que el empleado pueda leerla y procesarla fácilmente en un teléfono inteligente personal. Puede perder un teléfono inteligente, puede instalar aplicaciones que roban información sobre él, al final, los niños que están en casa debido al mismo virus pueden jugarlo. Por lo tanto, cuanto más importantes son los datos con los que trabaja el empleado, mejor deben protegerse. Y la protección de los dispositivos móviles no debería ser peor que la estacionaria.

¿Por qué el antivirus y la VPN no son suficientes?

Para estaciones de trabajo estacionarias y computadoras portátiles con Windows, la instalación de un antivirus es una medida justificada y necesaria. Pero para dispositivos móviles, no siempre.

La arquitectura del dispositivo Apple interfiere con la comunicación entre aplicaciones. Esto limita la posible escala de las consecuencias del software infectado: si se utiliza la vulnerabilidad del cliente de correo, las acciones no pueden ir más allá del alcance de este cliente de correo. Al mismo tiempo, dicha política reduce la efectividad de los antivirus. Comprueba automáticamente el archivo que llegó por correo, ya no funciona.

En la plataforma Android, tanto los virus como los antivirus tienen más posibilidades. Pero aún surge la cuestión de la conveniencia. Para instalar malware desde la tienda de aplicaciones, deberá otorgar manualmente muchos permisos. Los atacantes obtienen derechos de acceso solo de aquellos usuarios que permiten todo a las aplicaciones. En la práctica, es suficiente para prohibir a los usuarios instalar aplicaciones de fuentes desconocidas para que las tabletas para aplicaciones pagas instaladas gratis no "curen" los secretos corporativos de la confidencialidad. Pero esta medida va más allá de las funciones de antivirus y VPN.

Además, VPN y antivirus no podrán controlar cómo se comporta el usuario. La lógica sugiere que al menos se debe establecer una contraseña en el dispositivo del usuario (como protección contra la pérdida). Pero la presencia de una contraseña y su confiabilidad dependen solo de la conciencia del usuario, que la compañía no puede influir de ninguna manera.

Por supuesto, hay métodos administrativos. Por ejemplo, documentos internos, según los cuales los empleados serán personalmente responsables de la falta de contraseñas en los dispositivos, la instalación de aplicaciones de fuentes no confiables, etc. Incluso puede obligar a todos los empleados a firmar una descripción de trabajo modificada que contenga estos elementos antes de ir a un trabajo remoto. Pero seamos sinceros: la empresa no podrá verificar cómo se ejecuta esta instrucción en la práctica. Ella estará ocupada con la reestructuración urgente de los procesos principales, mientras que los empleados, a pesar de las políticas implementadas, copiarán documentos confidenciales en su Google Drive personal y abrirán el acceso a ellos por referencia, porque es más conveniente trabajar juntos en un documento.

Por lo tanto, el trabajo remoto repentino de la oficina es una prueba para la estabilidad de la empresa.

Gestión de movilidad corporativa

Desde el punto de vista de la seguridad de la información, los dispositivos móviles son una amenaza y una posible violación del sistema de seguridad. Para cerrar esta brecha hay soluciones de la clase EMM (gestión de movilidad empresarial).

La gestión de movilidad corporativa (EMM) incluye las funciones de gestión de dispositivos (MDM, gestión de dispositivos móviles), sus aplicaciones (MAM, gestión de aplicaciones móviles) y contenido (MCM, gestión de contenido móvil).

MDM es un látigo necesario. Mediante las funciones de MDM, un administrador puede restablecer o bloquear un dispositivo si se pierde, configurar políticas de seguridad: disponibilidad y complejidad de la contraseña, deshabilitar las funciones de depuración, instalar aplicaciones desde apk, etc. Estas características básicas son compatibles con dispositivos móviles de todos los fabricantes y plataformas. Configuraciones más detalladas, por ejemplo, la prohibición de instalar una recuperación personalizada, solo están disponibles en dispositivos de fabricantes individuales.

MAM y MCM son la zanahoria en forma de aplicaciones y servicios a los que proporcionan acceso. Al proporcionar seguridad suficiente para MDM, puede proporcionar acceso remoto seguro a recursos corporativos utilizando aplicaciones instaladas en dispositivos móviles.

A primera vista, parece que administrar aplicaciones es una tarea puramente de TI, que se reduce a operaciones elementales como "instalar la aplicación, configurar la aplicación, actualizar la aplicación a una nueva versión o revertirla a la anterior". De hecho, aquí no está exento de seguridad. Es necesario no solo instalar y configurar las aplicaciones necesarias para los dispositivos en los dispositivos, sino también para proteger los datos corporativos de la carga en su Dropbox o Yandex.Disk personal.

Para separar las empresas y los personales, los sistemas EMM modernos ofrecen crear un contenedor en el dispositivo para aplicaciones corporativas y sus datos. El usuario no puede eliminar datos sin autorización del contenedor, por lo que el servicio de seguridad no necesita prohibir el uso "personal" del dispositivo móvil. Por el contrario, esto es beneficioso para los negocios. Cuanto más entienda el usuario su dispositivo, más eficientemente usará las herramientas de trabajo.

Volvamos a las tareas de TI. Hay dos tareas que no se pueden resolver sin EMM: la reversión de la versión de la aplicación y su configuración remota. La reversión es necesaria cuando la nueva versión de la aplicación no es adecuada para los usuarios: tiene errores graves o simplemente es inconveniente. En el caso de las aplicaciones en Google Play y App Store, la reversión no es posible, solo la última versión de la aplicación siempre está disponible en la tienda. Con un desarrollo corporativo interno activo, las versiones se pueden lanzar casi todos los días, y no todas son estables.

La configuración remota de aplicaciones se puede implementar sin EMM. Por ejemplo, haga diferentes compilaciones de la aplicación para diferentes direcciones de servidor o guarde el archivo de configuración en la memoria pública del teléfono, luego cámbielo manualmente. Todo esto se encuentra, pero difícilmente puede llamarse mejores prácticas. A su vez, Apple y Google ofrecen enfoques estandarizados para resolver este problema. Es suficiente que el desarrollador incorpore el mecanismo necesario una vez, y la aplicación podrá configurar cualquier EMM.

¡Compramos un zoo!

No todos los casos de uso móvil son igualmente útiles. Las diferentes categorías de usuarios tienen diferentes tareas y deben abordarse a su manera. El desarrollador y el financiero necesitan conjuntos específicos de aplicaciones y, posiblemente, conjuntos de políticas de seguridad debido a la diferente confidencialidad de los datos con los que trabajan.

No siempre es posible limitar el número de modelos y fabricantes de dispositivos móviles. Por un lado, resulta más barato hacer el estándar corporativo para dispositivos móviles que comprender las diferencias entre Android de diferentes fabricantes y las características de mostrar la interfaz de usuario móvil en pantallas de diferentes diagonales. Por otro lado, la compra de dispositivos corporativos en una pandemia se está volviendo más complicada, y las empresas tienen que permitir el uso de dispositivos personales. La situación en Rusia se ve agravada por la presencia de plataformas móviles nacionales que no son compatibles con las soluciones occidentales de EMM.

Todo esto a menudo lleva al hecho de que en lugar de una solución centralizada para administrar la movilidad corporativa, se opera un zoológico diverso de sistemas EMM, MDM y MAM, cada uno de los cuales es atendido por su propio personal de acuerdo con reglas únicas.

¿Cuáles son las características en Rusia?

En Rusia, como en cualquier otro país, existe una legislación nacional sobre la protección de la información, que no cambia según la situación epidemiológica. Por lo tanto, en los sistemas de información estatales (SIG), se debe utilizar equipo de protección certificado de acuerdo con los requisitos de seguridad. Para cumplir con este requisito, los dispositivos que acceden a datos SIG deben administrarse utilizando soluciones EMM certificadas, que incluyen nuestro producto SafePhone.

Largo e incomprensible? Realmente no

Las herramientas de nivel empresarial, como EMM, a menudo se asocian con una implementación lenta y una larga preparación previa al proyecto. Ahora simplemente no hay tiempo para esto: las restricciones debidas al virus se están introduciendo rápidamente, por lo que no hay tiempo para sintonizar el trabajo remoto.

En nuestra experiencia, aunque hemos implementado muchos proyectos para implementar SafePhone en empresas de varios tamaños, incluso con implementación local, la solución se puede lanzar en una semana (sin contar el tiempo para negociar y firmar contratos). Los empleados ordinarios podrán usar el sistema dentro de 1-2 días después de la implementación. Sí, para una configuración de producto flexible, debe capacitar a los administradores, pero la capacitación puede llevarse a cabo en paralelo con el inicio del funcionamiento del sistema.

Para no perder el tiempo instalando en la infraestructura del cliente, ofrecemos a nuestros clientes un servicio SaaS basado en la nube para el control remoto de dispositivos móviles utilizando SafePhone. Además, brindamos este servicio desde nuestro propio centro de datos, certificado para cumplir con los requisitos máximos para SIG y sistemas de información de datos personales.

Como contribución a la lucha contra el coronavirus, el SRII SOKB conecta a las pequeñas y medianas empresas con el servidor SafePhone de forma gratuita para garantizar el trabajo seguro de los empleados que trabajan de forma remota.