Get best of the week

Expériences sur des personnes qui sont allées à "udalenka"

Il y a six mois, peu de gens pouvaient imaginer que la quasi-totalité du contingent de bureaux passerait au travail à distance du jour au lendemain. Les pires cauchemars pour les services de sécurité se sont réalisés - Zoom, Skype, Telegram, WhatsApp Microsoft Teams, Gmail et d'autres sont devenus les principaux canaux de discussion des problèmes commerciaux, d'accord des documents, de prise de décisions. Les données confidentielles n'ont jamais été aussi accessibles et vulnérables, que nous avons plus d'une fois, et pas deux à entendre.

allé à udalenka

Avec l'image apocalyptique de la sécurité de l'information, l'image de l'efficacité du travail à distance n'est plus perçue comme synonyme de procrastination, de baisse de productivité et de travail incontrôlé des employés. Ce n'est pas un hasard si vingt pour cent des employés des entreprises de construction et industrielles, qui ont repris leur travail à Moscou, continuent de travailler à domicile, plus de 500 employés du Contact Center VTB étant restés à distance.

Avec cette transformation révolutionnaire, l'utilisation des appareils mobiles est devenue l'un de ses composants les plus importants, et aujourd'hui c'est un axiome. Par conséquent, il n'y a plus de mot sur la pertinence et l'efficacité de la mobilité des entreprises, et toute l'attention ci-après porte sur sa sécurité.

Recommandations des régulateurs de la sécurité de l'information


Les régulateurs russes et européens dans le domaine de la sécurité de l'information ont rapidement émis des recommandations, y compris des mesures organisationnelles et techniques pour protéger l'infrastructure de l'entreprise pendant le travail à distance.

En termes de mesures organisationnelles, il a été recommandé:

  1. Réaliser un inventaire des actifs informationnels, si les mains n'avaient pas été jointes auparavant. Protéger «Je ne sais pas quoi» n’est possible que «Je ne sais pas comment».
  2. Limitez la connexion au réseau d'entreprise des appareils personnels, car il est généralement impossible de les protéger.
  3. Menez des conversations éducatives avec le «personnel», expliquant la gravité de la charge de la responsabilité des secrets d'entreprise qui leur incombent. Afin de ne pas transformer ces conversations en bavardages et en agitation d'entreprise pour une cause juste, formulez les règles dans le langage le plus simple possible, en utilisant des exemples illustratifs. Par exemple:

    • Ne vous connectez pas à des réseaux WiFi inconnus, il est préférable de distribuer Internet depuis votre téléphone.
    • Ne téléchargez pas et n'ouvrez pas les pièces jointes de sources inconnues, même s'il s'agit d'une newsletter sur les coronavirus. Utilisez des sources officielles. Les attaquants ne voleront donc pas l'accès à vos comptes et cartes bancaires.
    • Verrouillez l'écran lorsque vous vous éloignez d'un ordinateur ou d'un appareil mobile pour que vos enfants ne commencent pas à travailler (... et dépensent ce que vous avez gagné à votre place ... (Auteur).
    • N'envoyez pas d'informations sur les réunions d'entreprise à Zoom via des canaux non constitués en société. Envoyez-le par mail afin que les étrangers ne s'y connectent pas.

Les recommandations techniques ne semblent pas aussi sévères:

  1. «» . , , , . , «», «» .
  2. .
  3. :
    • . malware, , .
    • , , .
    • . , , .
    • .
    • Surveiller les appareils mobiles - surveillez l'installation des applications et des emplacements des appareils mobiles, bloquez la connexion au réseau d'entreprise des appareils piratés depuis root ou jailbreak.
  4. Afin de prendre en compte les spécificités mobiles, en plus des solutions VPN classiques et des antivirus, vous devez utiliser les systèmes de protection de la mobilité d'entreprise UEM (Unified Endpoint Management), qui sont devenus Active Directory d'entreprise dans le monde de la mobilité. Nous en parlerons plus en détail ci-dessous.

Conseils pratiques des survivants


(peut provoquer une légère suffocation, de la transpiration, mais la récupération est garantie):

Conseils pratiques des survivants

1. Ne comptez sur les utilisateurs dans rien


Considérez les utilisateurs comme des bébés qui voient d'abord leurs mains. Et cela s'applique non seulement aux travailleurs sur le terrain, pour qui un smartphone d'entreprise peut être le premier de leur vie (en particulier dans les régions), mais aussi aux managers. Donnez un smartphone Android à un leader qui n'utilise que des produits Apple depuis 10 ans, et vous verrez que même OH n'est pas un génie.

2. Il ne suffit pas d'installer uniquement un antivirus et un outil de chiffrement


Toujours sur les espaces ouverts du portail des marchés publics, il y a beaucoup à acheter des appareils mobiles PROTÉGÉS avec VPN et antivirus. N'ayant à sa disposition que cet ensemble ascétique "gentleman", vous ne pouvez configurer les appareils qu'une seule fois sans possibilité supplémentaire de mettre à jour les outils de protection ou de configurer les politiques de sécurité sur les appareils mobiles.

3. Tous les smartphones ne sont pas également utiles, tous les développeurs ne sont pas également expérimentés


Plus l'appareil est moins cher, plus il est coûteux à entretenir et à protéger. Toutes sortes d'optimiseurs de batteries bon marché ne permettent pas seulement aux moyens de protection, mais aussi aux applications professionnelles de fonctionner normalement. Après avoir acheté de tels appareils, il faut compenser les menaces réelles pour la sécurité par des mesures organisationnelles fictives, croyant que les utilisateurs ne perdent jamais leurs appareils mobiles, ils surveillent eux-mêmes la pertinence et le lancement du logiciel et mettent régulièrement à jour leurs propres outils de protection et uniquement à l'intérieur du périmètre contrôlé.

La croyance des enfants en l'existence du Père Noël semble plus justifiée.

Souvent, les applications d'entreprise sont écrites pour les appareils mobiles d'entreprise. Au fil des années, nous en avons vu beaucoup: les deux rapports, dont la préparation mange l'iPad en trois heures, et six versions d'une application par jour. Un volume séparé de «mémoires de mobilité» peut être consacré à la gestion des paramètres des applications. Tôt ou tard, tout le monde arrive à la conclusion qu'une partie des paramètres de l'application, par exemple l'adresse du serveur ou la licence, doit être distribuée à distance afin que l'utilisateur ne les saisisse pas manuellement. IOS et Android ont des mécanismes intégrés pour distribuer les paramètres à distance, mais ils sont généralement «mémorisés» après avoir créé leur mécanisme «unique». La manière la plus «créative» consiste à créer des versions distinctes d'applications en fonction des paramètres requis.Par conséquent, au lieu de fournir plusieurs lignes avec des paramètres à des milliers d'appareils, vous devez fournir une application de 40 mégaoctets.

Pensez à l'avance à la gestion de vos applications.

4. Les grands patrons et les sciences humaines ne peuvent pas lire plus loin


Architecture typique de l'accès à distance:

Architecture d'accès à distance typique

I. Au périmètre du réseau d'entreprise, dit Dans la zone démilitarisée, en plus des pare-feu et des outils de détection et de prévention des intrusions, des passerelles cryptographiques VPN sont installées qui mettent fin à tout le trafic d'accès à distance.

II. L'accès à distance aux services d'entreprise peut être organisé en utilisant:

  • Technologies de bureau virtuel, VDI. À l'aide de VDI, il est recommandé de donner accès aux informations les plus sensibles qui ne doivent pas quitter le périmètre de l'entreprise et être traitées hors ligne sur les appareils mobiles.
  • , . , , .
  • , UEM-. , .


III. Le système UEM comprend deux blocs fonctionnels: la gestion de la mobilité d'entreprise EMM (Enterprise Mobility Management) et l'analyse de la sécurité des appareils mobiles MTD (Mobile Threat Defense). Le deuxième bloc comprend la fonctionnalité de l'antivirus et la soi-disant conformité, ou, sinon, la vérification de la conformité des appareils mobiles avec les exigences de sécurité. En particulier, la suppression des données d'entreprise lors de la détection des signes de piratage d'un appareil.

IV.Les appareils clients peuvent être n'importe lesquels. Avec les appareils mobiles traditionnels basés sur Android et iOS, les systèmes UEM modernes vous permettent de contrôler les ordinateurs portables basés sur Windows et macOS. La réalité russe s'ajoute à ces ordinateurs portables et tablettes Astra Linux, ainsi qu'aux appareils mobiles basés sur le système d'exploitation Aurora. Tout ce "zoo" doit être géré et il est extrêmement souhaitable d'avoir une plate-forme unique pour cela, et non un "ragoût" éclectique des décisions de différents fournisseurs.
Par exemple, SafePhone .
V. Les services informatiques de presque toutes les entreprises étant désormais surchargés, ils ont besoin d'un outil UEM qui n'a pas besoin d'être traité en permanence. Je suis d'accord avec le service de sécurité sur les politiques de restriction, je les configure, je détermine les applications typiques et leurs paramètres par groupes d'utilisateurs, et je ne surveille qu'occasionnellement la façon dont les utilisateurs se connectent automatiquement. Cela devrait être recherché.

Quelques recommandations plus ennuyeuses au lieu de conclusions


Si vous utilisez des appareils iOS d'entreprise, avant de les envoyer aux utilisateurs, mettez-les en mode supervisé. Il s'agit d'un mode spécial dans lequel des interdictions et des paramètres de base sont disponibles et ne nécessitent pas de confirmation de l'utilisateur. L'utilisation de la technologie Apple est donc plus sûre et plus pratique. Il est important de passer en mode supervisé juste avant d'émettre l'appareil , car Les sauvegardes d'appareils iOS contiennent une indication supervisée. Cela signifie que l'utilisateur ne pourra pas restaurer les données du périphérique de sauvegarde tant qu'elles ne seront pas transférées dans le mode souhaité. Il est terrible d'imaginer la réaction d'un leader qui a reçu un iPad d'entreprise il y a un an et qui est maintenant invité à le donner aux informaticiens pour qu'il clignote avec la perte de données d'une copie de sauvegarde.

Considérez les appareils mobiles achetés «d'entreprise». La popularité des appareils mobiles sur le marché grand public est souvent déterminée par le rapport qualité / prix, et le concept de qualité est principalement défini par le matériel - le nombre de cœurs, la vitesse d'horloge du processeur, la résolution de l'écran, etc. Les appareils utilisés sur le marché des entreprises doivent être choisis différemment, car leur valeur réelle se compose non seulement du prix du matériel, mais également des heures de travail nécessaires pour leur connexion, leur configuration et leur maintenance ultérieure, ainsi qu'indirectement des risques de sécurité des informations qui y sont associés. avec leur utilisation. N'achetez pas d'appareils trop bon marché. L'argent économisé sur leur achat n'est pas suffisant pour le salaire du personnel qui les sert.Choisissez des fabricants fiables capables d'assurer l'utilisation rapide et sûre des appareils mobiles dans votre entreprise.

Souvent, lors de la conception d'interdictions typiques, le service de sécurité est guidé par le principe "Je ne sais pas pourquoi, il faut donc l'interdire". C'est correct du point de vue de la sécurité de l'information, mais après le prochain tour de vis, l'utilisateur peut "casser le fil" et il mettra le téléphone d'entreprise en charge pour toujours, et il utilisera son téléphone personnel avec des services qui n'interfèrent pas, mais l'aident à travailler. Ne vous pliez pas en toute sécurité .
N'ayez pas peur de la transition vers la mobilité d'entreprise.
Si vous avez des doutes ou des questions, veuillez contacter les professionnels de l' Institut de recherche scientifique du Bureau d'études spéciales .

More articles:


All Articles