🦓 👩🏻‍💼 🗄️ Ontem foi impossível, mas hoje é necessário: como começar a trabalhar remotamente e não causar vazamentos? 🔼 👩‍❤️‍💋‍👨 👨🏽‍🏭

Durante a noite, o trabalho remoto se tornou um formato popular e necessário. Tudo por causa do COVID-19. Novas medidas para prevenir a infecção aparecem todos os dias. Nos escritórios, a temperatura é medida e algumas empresas, inclusive as grandes, transferem trabalhadores para um local remoto, a fim de reduzir as perdas por tempo de inatividade e licença médica. E, nesse sentido, o setor de TI, com sua experiência em equipes distribuídas, é o vencedor.

Este não é o primeiro ano em que nós da SRI SOKB organizamos o acesso remoto a dados corporativos a partir de dispositivos móveis e sabemos que o trabalho remoto não é um problema fácil. Abaixo, mostramos como nossas soluções ajudam a gerenciar com segurança os dispositivos móveis dos funcionários e por que é importante para o trabalho remoto.

O que um funcionário precisa para trabalhar remotamente?

Um conjunto típico de serviços que você precisa fornecer acesso remoto para o trabalho completo são serviços de comunicação (email, messenger), recursos da web (vários portais, por exemplo, central de atendimento ou sistema de gerenciamento de projetos) e arquivos (sistemas de gerenciamento eletrônico de documentos, controle de versão etc.)

Não podemos esperar que as ameaças à segurança esperem até terminarmos de combater o coronavírus. O trabalho remoto tem suas próprias regras de segurança que devem ser observadas mesmo durante uma pandemia.

As informações importantes para os negócios não podem simplesmente ser enviadas para o email pessoal de um funcionário, para que ele possa ler e processar facilmente em um smartphone pessoal. Você pode perder o seu smartphone, pode instalar aplicativos que roubam informações; no final, as crianças que estão em casa por causa do mesmo vírus podem reproduzi-lo. Portanto, quanto mais importantes os dados com os quais o funcionário estiver trabalhando, melhor eles precisam ser protegidos. E a proteção de dispositivos móveis não deve ser pior do que estacionária.

Por que antivírus e VPN não são suficientes?

Para estações de trabalho estacionárias e laptops com Windows, a instalação de um antivírus é uma medida justificada e necessária. Mas para dispositivos móveis - nem sempre.

A arquitetura do dispositivo Apple interfere na comunicação entre aplicativos. Isso limita a possível escala das consequências do software infectado: se a vulnerabilidade do cliente de email for usada, as ações não poderão ir além do escopo desse cliente de email. Ao mesmo tempo, essa política reduz a eficácia dos antivírus. Verificar automaticamente o arquivo que veio por correio, não funciona mais.

Na plataforma Android, vírus e antivírus têm mais perspectivas. Mas ainda surge a questão da conveniência. Para instalar o malware da loja de aplicativos, você terá que dar manualmente muitas permissões. Os invasores ganham direitos de acesso apenas daqueles usuários que permitem tudo aos aplicativos. Na prática, basta proibir os usuários de instalar aplicativos de fontes desconhecidas, para que os tablets de aplicativos pagos instalados gratuitos não "curem" os segredos corporativos da confidencialidade. Mas essa medida vai além das funções de antivírus e VPN.

Além disso, a VPN e o antivírus não poderão controlar como o usuário se comporta. A lógica sugere que pelo menos uma senha seja definida no dispositivo do usuário (como proteção contra perda). Mas a presença de uma senha e sua confiabilidade dependem apenas da consciência do usuário, que a empresa não pode influenciar de forma alguma.

Claro, existem métodos administrativos. Por exemplo, documentos internos, segundo os quais os funcionários serão pessoalmente responsáveis pela falta de senhas nos dispositivos, instalando aplicativos de fontes não confiáveis etc. Você pode até forçar todos os funcionários a assinar uma descrição de tarefa alterada contendo esses itens antes de ir para o trabalho remoto. Mas vamos ser sinceros: a empresa não poderá verificar como essa instrução é executada na prática. Ela estará ocupada com a reestruturação urgente dos principais processos, enquanto os funcionários, apesar das políticas implementadas, copiarão documentos confidenciais para seu Google Drive pessoal e abrirão acesso a eles por referência, porque é mais conveniente trabalhar juntos em um documento.

Portanto, o trabalho remoto repentino do escritório é um teste para a estabilidade da empresa.

Gestão de Mobilidade Corporativa

Do ponto de vista da segurança da informação, os dispositivos móveis são uma ameaça e uma possível violação no sistema de segurança. Para fechar essa lacuna, existem soluções da classe EMM (gerenciamento de mobilidade corporativa).

O gerenciamento de mobilidade corporativa (EMM) inclui as funções de gerenciamento de dispositivos (MDM, gerenciamento de dispositivos móveis), seus aplicativos (MAM, gerenciamento de aplicativos móveis) e conteúdo (MCM, gerenciamento de conteúdo móvel).

MDM é um chicote necessário. Usando as funções do MDM, um administrador pode redefinir ou bloquear um dispositivo se ele for perdido, configurar políticas de segurança: disponibilidade e complexidade de senhas, desativar funções de depuração, instalar aplicativos a partir de apk, etc. Esses recursos básicos são suportados em dispositivos móveis de todos os fabricantes e plataformas. Configurações mais detalhadas, por exemplo, a proibição de instalar a recuperação personalizada, estão disponíveis apenas em dispositivos de fabricantes individuais.

MAM e MCM são a cenoura na forma de aplicativos e serviços aos quais eles fornecem acesso. Ao fornecer segurança suficiente para o MDM, você pode fornecer acesso remoto seguro aos recursos corporativos usando aplicativos instalados em dispositivos móveis.

À primeira vista, parece que gerenciar aplicativos é uma tarefa puramente de TI, que se resume a operações elementares, como “instalar o aplicativo, configurar o aplicativo, atualizar o aplicativo para uma nova versão ou reverter para a anterior”. De fato, aqui não é sem segurança. É necessário não apenas instalar e configurar os aplicativos necessários para os dispositivos nos dispositivos, mas também proteger os dados corporativos contra o carregamento no Dropbox ou no Yandex.Disk pessoal.

Para separar corporativos e pessoais, os modernos sistemas EMM oferecem a criação de um contêiner no dispositivo para aplicativos corporativos e seus dados. O usuário não pode remover dados de forma não autorizada do contêiner, portanto, o serviço de segurança não precisa proibir o uso "pessoal" do dispositivo móvel. Pelo contrário, isso é benéfico para os negócios. Quanto mais o usuário entender seu dispositivo, mais eficiente ele usará as ferramentas de trabalho.

Vamos voltar às tarefas de TI. Há duas tarefas que não podem ser resolvidas sem o EMM: reversão da versão do aplicativo e sua configuração remota. A reversão é necessária quando a nova versão do aplicativo não se adequa aos usuários - ela apresenta erros graves ou é simplesmente inconveniente. No caso de aplicativos no Google Play e na App Store, a reversão não é possível - apenas a versão mais recente do aplicativo está sempre disponível na loja. Com o desenvolvimento corporativo interno ativo, as versões podem ser lançadas quase todos os dias, e nem todas são estáveis.

A configuração remota de aplicativos pode ser implementada sem EMM. Por exemplo, faça diferentes compilações do aplicativo para diferentes endereços do servidor ou salve o arquivo de configurações na memória pública do telefone e altere-o manualmente. Tudo isso é encontrado, mas dificilmente pode ser chamado de melhores práticas. Por sua vez, Apple e Google oferecem abordagens padronizadas para resolver esse problema. É suficiente para o desenvolvedor criar o mecanismo necessário uma vez, e o aplicativo poderá configurar qualquer EMM.

Nós compramos um Zoológico!

Nem todos os casos de uso móvel são igualmente úteis. Diferentes categorias de usuários têm tarefas diferentes e precisam ser abordadas à sua maneira. O desenvolvedor e o financista precisam de conjuntos específicos de aplicativos e, possivelmente, conjuntos de políticas de segurança devido à diferente confidencialidade dos dados com os quais trabalham.

Nem sempre é possível limitar o número de modelos e fabricantes de dispositivos móveis. Por um lado, é mais barato tornar o padrão corporativo para dispositivos móveis do que entender as diferenças entre o Android de diferentes fabricantes e os recursos de exibição da interface do usuário móvel em telas de diferentes diagonais. Por outro lado, a compra de dispositivos corporativos em uma pandemia está se tornando mais complicada, e as empresas precisam permitir o uso de dispositivos pessoais. A situação na Rússia é agravada pela presença de plataformas móveis nacionais que não são suportadas pelas soluções Western EMM.

Tudo isso geralmente leva ao fato de que, em vez de uma solução centralizada para gerenciar a mobilidade corporativa, um zoológico diversificado de sistemas EMM, MDM e MAM é operado, cada um dos quais é atendido por seu próprio pessoal de acordo com regras exclusivas.

Quais são os recursos na Rússia?

Na Rússia, como em qualquer outro país, existe legislação nacional sobre proteção de informações, que não muda dependendo da situação epidemiológica. Portanto, nos sistemas de informação do estado (SIG), devem ser utilizados equipamentos de proteção certificados de acordo com os requisitos de segurança. Para atender a esse requisito, os dispositivos que acessam dados GIS devem ser gerenciados usando soluções EMM certificadas, que incluem nosso produto SafePhone.

Longo e incompreensível? Na verdade não

As ferramentas de nível corporativo, como o EMM, geralmente são associadas à implementação lenta e à longa preparação do pré-projeto. Agora simplesmente não há tempo para isso - as restrições devido ao vírus estão sendo introduzidas rapidamente, portanto não há tempo para sintonizar o trabalho remoto.

Em nossa experiência, embora tenhamos implementado muitos projetos para implementar o SafePhone em empresas de vários tamanhos, mesmo com implantação local, a solução pode ser lançada em uma semana (sem contar o tempo para negociação e assinatura de contratos). Os funcionários comuns poderão usar o sistema dentro de 1-2 dias após a implementação. Sim, para uma configuração flexível do produto, você precisa treinar administradores, mas o treinamento pode ser realizado em paralelo com o início da operação do sistema.

Para não perder tempo instalando na infraestrutura do cliente, oferecemos aos clientes um serviço SaaS baseado em nuvem para controle remoto de dispositivos móveis usando o SafePhone. Além disso, fornecemos este serviço a partir de nosso próprio data center, certificado para conformidade com os requisitos máximos para sistemas de informações de GIS e dados pessoais.

Como contribuição à luta contra o coronavírus, o SRII SOKB conecta pequenas e médias empresas ao servidor SafePhone gratuitamente para garantir o trabalho seguro dos funcionários que trabalham remotamente.