💇🏾 📥 ⛹🏽 Hier c'était impossible, mais aujourd'hui c'est nécessaire: comment commencer à travailler à distance et ne pas provoquer de fuite? 🤦🏿 🏑 ☕️

Du jour au lendemain, le travail à distance est devenu un format populaire et nécessaire. Tout cela à cause de COVID-19. De nouvelles mesures pour prévenir l'infection apparaissent chaque jour. Dans les bureaux, la température est mesurée et certaines entreprises, y compris les grandes, transfèrent les travailleurs dans un endroit éloigné afin de réduire les pertes dues aux temps d'arrêt et aux congés de maladie. Et en ce sens, le secteur informatique avec son expérience des équipes réparties est le vainqueur.

Ce n'est pas la première année que nous, au SRI SOKB, organisons l'accès à distance aux données d'entreprise à partir d'appareils mobiles et nous savons que le travail à distance est une question difficile. Sous la coupe, nous expliquerons comment nos solutions aident à gérer en toute sécurité les appareils mobiles des employés et pourquoi elles sont importantes pour le travail à distance.

De quoi un employé a-t-il besoin pour travailler à distance?

Un ensemble typique de services dont vous avez besoin pour fournir un accès à distance pour un travail complet est les services de communication (e-mail, messagerie), les ressources Web (divers portails, par exemple, centre de services ou système de gestion de projet) et les fichiers (systèmes de gestion électronique des documents, contrôle de version etc.).

Nous ne pouvons pas espérer que les menaces à la sécurité attendront que nous ayons fini de combattre le coronavirus. Le travail à distance a ses propres règles de sécurité qui doivent être respectées même en cas de pandémie.

Les informations importantes pour l'entreprise ne peuvent pas simplement être envoyées au courrier électronique personnel d'un employé, de sorte que celui-ci puisse facilement les lire et les traiter sur un smartphone personnel. Vous pouvez perdre votre smartphone, vous pouvez installer des applications qui volent des informations dessus, au final, les enfants qui sont tous à la maison à cause du même virus peuvent y jouer. Ainsi, plus les données avec lesquelles l'employé travaille sont importantes, mieux elles doivent être protégées. Et la protection des appareils mobiles ne devrait pas être pire que fixe.

Pourquoi l'antivirus et le VPN ne suffisent-ils pas?

Pour les postes de travail fixes et les ordinateurs portables fonctionnant sous Windows, l'installation d'un antivirus est une mesure justifiée et nécessaire. Mais pour les appareils mobiles - pas toujours.

L'architecture des appareils Apple interfère avec la communication entre les applications. Cela limite l'ampleur possible des conséquences des logiciels infectés: si la vulnérabilité du client de messagerie est utilisée, les actions ne peuvent pas dépasser la portée de ce client de messagerie. Dans le même temps, une telle politique réduit l'efficacité des antivirus. Vérifiez automatiquement le fichier qui est venu par courrier, ne fonctionne plus.

Sur la plate-forme Android, les virus et les antivirus ont plus de perspectives. Mais la question de l'opportunité se pose toujours. Pour installer des logiciels malveillants à partir du magasin d'applications, vous devrez donner manuellement de nombreuses autorisations. Les attaquants obtiennent des droits d'accès uniquement auprès des utilisateurs qui autorisent tout les applications. En pratique, il suffit d'interdire aux utilisateurs d'installer des applications de sources inconnues pour que les tablettes des applications payantes installées gratuitement ne «remettent pas» les secrets d'entreprise de la confidentialité. Mais cette mesure va au-delà des fonctions d'antivirus et de VPN.

De plus, VPN et antivirus ne pourront pas contrôler le comportement de l'utilisateur. La logique suggère qu'au moins un mot de passe doit être défini sur la machine utilisateur (comme protection contre la perte). Mais la présence d'un mot de passe et sa fiabilité ne dépendent que de la conscience de l'utilisateur, que l'entreprise ne peut en aucun cas influencer.

Bien sûr, il existe des méthodes administratives. Par exemple, des documents internes, selon lesquels les employés seront personnellement responsables du manque de mots de passe sur les appareils, de l'installation d'applications à partir de sources non fiables, etc. Vous pouvez même forcer tous les employés à signer une description de travail modifiée contenant ces éléments avant de se rendre au travail à distance. Mais avouons-le: l'entreprise ne pourra pas vérifier comment cette instruction est exécutée dans la pratique. Elle sera occupée à restructurer d'urgence les principaux processus, tandis que les employés, malgré les politiques mises en œuvre, copieront les documents confidentiels sur leur Google Drive personnel et y accéderont par référence, car il est plus pratique de travailler ensemble sur un document.

Par conséquent, le travail soudain à distance du bureau est un test de la stabilité de l'entreprise.

Gestion de la mobilité d'entreprise

Du point de vue de la sécurité des informations, les appareils mobiles sont une menace et une violation potentielle du système de sécurité. Pour combler cet écart, des solutions de la classe EMM (Enterprise Mobility Management).

La gestion de la mobilité d'entreprise (EMM) comprend les fonctions de gestion des appareils (MDM, gestion des appareils mobiles), de leurs applications (MAM, gestion des applications mobiles) et du contenu (MCM, gestion des contenus mobiles).

MDM est un fouet nécessaire. À l'aide des fonctions MDM, un administrateur peut réinitialiser ou bloquer un appareil en cas de perte, configurer des politiques de sécurité: disponibilité et complexité des mots de passe, désactiver les fonctions de débogage, installer des applications depuis apk, etc. Ces fonctionnalités de base sont prises en charge sur les appareils mobiles de tous les fabricants et plates-formes. Des paramètres plus détaillés, par exemple l'interdiction d'installer une récupération personnalisée, ne sont disponibles que sur les appareils de fabricants individuels.

MAM et MCM sont la carotte sous forme d'applications et de services auxquels ils donnent accès. En fournissant une sécurité suffisante pour MDM, vous pouvez fournir un accès distant sécurisé aux ressources de l'entreprise à l'aide d'applications installées sur des appareils mobiles.

À première vue, il semble que la gestion des applications soit une tâche purement informatique, qui se résume à des opérations élémentaires telles que «installer l'application, configurer l'application, mettre à jour l'application vers une nouvelle version ou revenir à la précédente». En fait, ce n'est pas sans sécurité. Il est nécessaire non seulement d'installer et de configurer les applications nécessaires pour les appareils sur les appareils, mais également de protéger les données de l'entreprise contre le chargement dans votre Dropbox personnelle ou Yandex.Disk.

Pour séparer l'entreprise et le personnel, les systèmes EMM modernes proposent de créer un conteneur sur l'appareil pour les applications d'entreprise et leurs données. L'utilisateur ne peut pas supprimer de manière non autorisée des données du conteneur, le service de sécurité n'a donc pas besoin d'interdire l'utilisation «personnelle» de l'appareil mobile. Au contraire, cela profite aux entreprises. Plus l'utilisateur comprend son appareil, plus il utilisera efficacement les outils de travail.

Revenons aux tâches informatiques. Deux tâches ne peuvent pas être résolues sans EMM: la restauration de la version de l'application et sa configuration à distance. La restauration est nécessaire lorsque la nouvelle version de l'application ne convient pas aux utilisateurs - elle comporte de graves erreurs ou est tout simplement gênante. Dans le cas d'applications sur Google Play et l'App Store, la restauration n'est pas possible - seule la dernière version de l'application est toujours disponible dans la boutique. Grâce au développement interne actif de l'entreprise, les versions peuvent être publiées presque tous les jours et elles ne sont pas toutes stables.

La configuration à distance des applications peut être implémentée sans EMM. Par exemple, créez différentes versions de l'application pour différentes adresses de serveur ou enregistrez le fichier de paramètres dans la mémoire publique du téléphone, puis modifiez-le manuellement. Tout cela se trouve, mais on peut difficilement parler de meilleures pratiques. À leur tour, Apple et Google proposent des approches standardisées pour résoudre ce problème. Il suffit que le développeur intègre une fois le mécanisme nécessaire et l'application pourra configurer n'importe quel EMM.

On a acheté un zoo!

Tous les cas d'utilisation mobile ne sont pas également utiles. Différentes catégories d'utilisateurs ont des tâches différentes et doivent être traitées à leur manière. Le développeur et le financier ont besoin d'ensembles d'applications spécifiques et, éventuellement, d'ensembles de politiques de sécurité en raison de la confidentialité différente des données avec lesquelles ils travaillent.

Il n'est pas toujours possible de limiter le nombre de modèles et de fabricants d'appareils mobiles. D'une part, il s'avère moins coûteux de créer la norme d'entreprise pour les appareils mobiles que de comprendre les différences entre Android de différents fabricants et les fonctionnalités d'affichage de l'interface utilisateur mobile sur des écrans de diagonales différentes. D'un autre côté, l'achat d'appareils d'entreprise dans une pandémie devient plus compliqué, et les entreprises doivent autoriser l'utilisation d'appareils personnels. La situation en Russie est encore aggravée par la présence de plateformes mobiles nationales qui ne sont pas prises en charge par les solutions EMM occidentales.

Tout cela conduit souvent au fait qu'au lieu d'une solution centralisée de gestion de la mobilité d'entreprise, un zoo diversifié de systèmes EMM, MDM et MAM est exploité, chacun étant entretenu par son propre personnel selon des règles uniques.

Quelles sont les fonctionnalités en Russie?

En Russie, comme dans tout autre pays, il existe une législation nationale sur la protection des informations, qui ne change pas en fonction de la situation épidémiologique. Ainsi, dans les systèmes d'information d'État (SIG), un équipement de protection certifié conformément aux exigences de sécurité doit être utilisé. Pour répondre à cette exigence, les appareils accédant aux données SIG doivent être gérés à l'aide de solutions EMM certifiées, qui incluent notre produit SafePhone.

Long et incompréhensible? Pas vraiment

Les outils au niveau de l'entreprise, tels que EMM, sont souvent associés à une mise en œuvre lente et à une longue préparation d'avant-projet. Maintenant, il n'y a tout simplement pas de temps pour cela - les restrictions dues au virus sont introduites rapidement, donc il n'y a pas de temps pour se connecter au travail à distance.

D'après notre expérience, alors que nous avons mis en œuvre de nombreux projets pour implémenter SafePhone dans des entreprises de différentes tailles, même avec un déploiement local, la solution peut être lancée en une semaine (sans compter le temps de négociation et de signature des contrats). Les employés ordinaires pourront utiliser le système dans les 1-2 jours suivant la mise en œuvre. Oui, pour une configuration de produit flexible, vous devez former des administrateurs, mais la formation peut être effectuée en parallèle avec le début de fonctionnement du système.

Afin de ne pas perdre de temps à installer dans l'infrastructure du client, nous proposons à nos clients un service SaaS basé sur le cloud pour le contrôle à distance des appareils mobiles à l'aide de SafePhone. De plus, nous fournissons ce service à partir de notre propre centre de données, certifié pour la conformité aux exigences maximales pour les SIG et les systèmes d'information sur les données personnelles.

En tant que contribution à la lutte contre les coronavirus, le SRII SOKB connecte gratuitement les petites et moyennes entreprises au serveur SafePhone pour assurer la sécurité du travail des employés travaillant à distance.