. Як виробити політику MDM BYOD, якій будуть слідувати ваші співробітники
У центрі безпеки будь-якої корпорації стоїть конкретна людина. Тому будь-яка політика буде виконуватися тільки в тому випадку, якщо вона зрозуміла і близька вашим користувачам. Особливо складно це в тому випадку якщо ваша організація дотримується політики BYOD.
Блокування корпоративних даних і додатків на пристроях співробітників може бути непростим завданням, особливо коли найбільшим каменем спотикання є самі працівники.
Тенденція «принеси свій пристрій» (BYOD) давно перейшла з норми в більшість компаній і співробітників. Але з усіма цими пристроями приходить безліч потенційних проблем безпеки. Шахрайські додатки, шкідливі програми, зломи даних іноді виконуються одним клацанням миші.
Навіть з урахуванням цієї реальності розробка політик для пристроїв співробітників і керівників залишається складним завданням, оскільки більшість людей опираються втручанню в найбільш важливі пристрої, якими вони володіють, - їх смартфони, планшети і ноутбуки. Проблема не в технічних можливостях; більше про те, як застосовувати вже наявні рішення для управління мобільними пристроями (MDM) і ефективно передавати корпоративні рекомендації та правила користувачам.
Як можна вирішити проблему заблукалих користувачів і ігнорування корпоративних політик.
Комунікація і прозорість є обов'язковими
Давайте почнемо з самого важливого питання: спілкування.
Спілкування - це не та область, в якій ІТ-відділи зазвичай досягають успіху. Більшість повідомлень від ІТ до користувачів є одностороннім, не вистачає деталей, і, ймовірно, в кращому випадку на них можна звертатимуть увагу, перш ніж вони будуть відкинуті або видалені. (Неважливо, чи є це терміновим електронним листом або угодою, яке співробітники переглядають, не читаючи.) Це створює пару проблем, перша з яких полягає в тому, щоб привернути увагу співробітників і утримувати їх досить довго, щоб працівники могли зрозуміти повідомлення.
Як правило, користувачі отримують вказівку зареєструвати свої смартфони або інші персональні пристрої під час процесу реєстрації. Це дозволяє фахівцям з персоналу говорити про поточні політиках BYOD і ІТ і припускати, що це питання вже вирішене. Але більшість співробітників відділу кадрів не розуміються на проблемах BYOD, і їм вже доручено надавати так багато інформації новим співробітникам; ІТ-правила, ймовірно, будуть втрачені у випадковому порядку, навіть якщо вони будуть ефективно передані.
Заява про політику BYOD є більш важливим, ніж інші опису політики, тому що ІТ-фахівцям доводиться мати справу з тим, як основний пристрій індивідуума буде проглядатися, контролюватися і управлятися. У більшості випадків це сприймається - досить точно - як вторгнення ІТ в особистий простір.
Конфіденційність часто є найбільш важливою проблемою користувачів, пов'язаної з BYOD, і з поважної причини. Наші смартфони і пов'язані з ними пристрої тепер містять деякі самі особисті дані, починаючи від інформації про здоров'я і закінчуючи даними про місцезнаходження, спогадами про сім'ю і навіть банківської та юридичною інформацією.
Ось чому важливо повідомляти заздалегідь, що конфіденційність є священною (і переконайтеся, що це так), і багато разів підсилювати послання за допомогою різних механізмів. Політика і заяву про конфіденційність повинні охоплювати користувачів в будь-якій формі, в якій вони можуть перетравити повідомлення. Це означає письмові правила, електронні листи з нагадуванням, особисті зустрічі і будь-які інші необхідні форми спілкування.
Очевидне час для передачі політик MDM - це процес реєстрації пристроїв, який тепер підтримується всіма основними рішеннями EMM. Все ще є хороший шанс, що користувачі просто погодяться, не прочитавши або не засвоїли побачене. Вітальний лист - ще один хороший спосіб, але воно також може бути прочитане або не прочитане. Коли хтось явно говорить про корпоративних політиках (ІТ-персонал, персонал, менеджери, навіть колеги по роботі), це ще кращий варіант, навіть якщо це просте ознайомлювальне відео. Також важливо повторювати політики з плином часу і важливо повідомляти про зміни у міру їх виникнення.
Так що саме потрібно повідомити? Політика конфіденційності, яка дає зрозуміти, що ІТ-відділ може відстежувати, записувати, управляти або видаляти на пристрої користувача. Кожен елемент політики повинен детально описувати причини його включення і реальні ситуації, коли його можна використовувати - віддалене блокування пристрою і вибіркову очистку корпоративних даних у разі їх втрати або крадіжки; відстеження місця розташування загубленого пристрою; налаштування доступу до електронної пошти і різних хмарних сервісів; і інформація про те, які дані будуть видалені, коли співробітник покине компанію. (Це приклади; специфіка буде відрізнятися від компанії до компанії.
Управління з хірургічною точністю
Десять років тому, коли пристрої та інструменти управління пристроями за межами BlackBerry були зароджується частиною ІТ-стека, управління пристроями зазвичай було жорстким - і майже абсолютним. Приказка про те, що «якщо єдиний інструмент, який у вас є, це молоток, кожна проблема виглядає як цвях», була відмінною аналогією для управління мобільними пристроями, коли Apple вперше підкреслила його поруч з оригінальним iPad і iPhone 4.
часи змінилися
Сучасні комплекти управління мобільністю підприємства (EMM) виходять далеко за рамки політики «все або нічого». Найбільш важливим є те, що вони розмежовують грань між призначеними для користувача і бізнес-додатками, і контентом. Крім того, тепер політики можна застосовувати вибірково до пристрою в цілому, до всіх керованих додатків, до конкретних програм і навіть до певних функцій додатків при певних умовах.
Цей підхід, відомий як умовний доступ, переносить управління з загального пристрою на окремі додатки. Кращим прикладом є Office 365, який підтримує надання привілеїв на основі ряду критеріїв - конкретного пристрою, облікового запису користувача і членства в групах, певного часу доби, місця розташування (як в мережі, так і по всьому світу), версії додатка і даних конфігурації. По суті, це розширення умовних прав, якими можна управляти для ПК, переведених в мобільний світ.
Не всі програми мають вбудовані можливості умовного доступу. Але цей рівень управління все ще можливий, встановлюючи обмеження для облікового запису користувача і / або для мережевих і хмарних ресурсів, до яких вони підключаються. Це дозволяє дійсно керувати програмами та даними незалежно від пристрою або типу пристрою.
Управління на рівні додатків також важливо в тому сенсі, що певні програми і їх дані можуть бути встановлені або обмежені пакетом EMM з корпоративним магазином додатків або без нього. У багатьох випадках конкретні конфігурації додатків також можуть застосовуватися або за допомогою можливостей, вбудованих в самі додатки, або шляхом створення даних конфігурації, які можуть бути реалізовані за допомогою програми.
Якщо управління на рівні додатків недоступно або ненадійно, то найкращим варіантом буде створення контейнерів бізнес-додатків. Це забезпечує безпеку і настройку для ряду додатків, не зачіпаючи особисті додатки, облікові записи або дані користувача.
Ви помітите, що в замітці не згадані такі речі, як політики для всього пристрою (наприклад, відключення камери смартфона). Це тому, що мета доброго врядування в цілому - і BYOD зокрема - повинна бути якомога більш стриманою. Ви повинні покладатися на обмеження на рівні пристрою, тільки якщо менш обмежувальний рішення не є технічним або реалістичним варіантом. Мета полягає в тому, щоб управління пристроями було якомога більш плавним і прозорим. В ідеалі, користувач не повинен навіть знати про управління в повсякденному використанні. Це допомагає гарантувати, що користувачі не стануть шахраями.
Також важливо відзначити, що пакети EMM підтримують використання корпоративних користувачів і групових даних для застосування політик. Краще уникати монолітних політик, які містять конфігурацію і дані доступу для декількох додатків і функцій пристрою. Кожна обліковий запис користувача або членство в групі - це спосіб застосування певної політики, так само як права доступу до файлів можуть бути строго обмежені для настільних комп'ютерів. Абсолютно доцільно об'єднати велику кількість певних політик для управління індивідуальним доступом і можливостями. Насправді це більш доречно, ніж обмежена кількість політик, що включають десятки правил і обмежень. (Політики EMM часто можна створювати навколо існуючих груп доступу в корпоративній системі каталогів.)
Користувач - центр уваги!
Як я вже зазначав, реальна проблема для ефективного управління BYOD не так проблема політики. Програмне забезпечення та політики управління, необхідні для блокування пристроїв і даних, легко доступні. Саме користувач повинен бути в центрі уваги IT MDM. Забезпечення прозорості для користувачів, щоб вони розуміли, що відбувається, має вирішальне значення, так як робить політики максимально легкими і детальними. Це може бути застосовано незалежно від платформи або рішення EMM.
Це обговорення відноситься конкретно до пристроїв BYOD. Якщо ви виявите, що вам потрібен більший контроль над пристроями, ніж той, який може бути застосований таким чином, вам потрібно буде подумати, чи варто замість цього інвестувати в корпоративні пристрої. Крім більш широких політик і обмежень, більш прийнятних для користувачів, iOS і Android пропонують більш строгий набір елементів управління для пристроїв, що належать компанії і придбаних у деяких постачальників. Якщо ви вибираєте варіант, що належить компанії, ви можете розглянути модель CYOD (виберіть собі корпоративне пристрій), при цьому користувачі вибирають з набору пристроїв і їм пропонується використовувати їх як в особистих, так і в ділових цілях.
https://ib-bank.ru/bisjournal/news/15008
Джерело - Блог Володимира Безмаль "Бути, а не здаватися. Про безпеку і не тільки ".
Більше цікавого матеріалу на cisoclub.ru. Підписуйтесь на нас: Facebook | VK | Twitter | Instagram | Telegram | дзен | Мессенджер | ICQ New | YouTube | Pulse.