Как сделать личные устройства сотрудников безопасными для данных компании

Как сделать личные устройства сотрудников безопасными для данных компании

Пока Neuralink от Илона не захватил наши умы (во всех смыслах), мы еще можем рассуждать на тему полезности и безопасности смартфонов, которые давно стали нашими главными порталами в информационную сеть. Правда, они же могут стать и порталом для хакеров в сеть вашей компании.

Потому мы погрузимся в конкретную среду корпоративной безопасности этих "еще не встроенных в голову" гаджетов и расскажем, какие технические инновации имеют место быть на примере именитого вендора.

Почему так много аббревиатур

Если самостоятельно пытаться понять рынок Endpoint Management решений, немудрено споткнуться о разнообразие терминов. MDM, MAM, EMM, UEM — все это, по сути, служит одной цели: подготовить устройство для безопасной удаленки. Безопасная она потому, что защищать будем или сами устройства (контроль уровня ОС — Mobile Device Management или MDM), или установленные на них приложения (Mobile Application Management или MAM), что позволит регулировать доступ внутрь корпоративной IT-среды.

Зачем вообще нужно защищать личные устройства сотрудников?

Можно сказать уверенно, сегодня самым популярным типом организации удаленки является использование личных устройств сотрудников или, используя терминологию — BYOD (bring your own device). Конечно, в наш регион тренды приходят с опозданием, но уже на данный момент прослеживается яркая тенденция в эту сторону, в большей степени это касается смартфонов. Во всем мире подумали и поняли, что лучше быть спокойным с мобильностью в кармане, чем спешить к корпоративному ПК для чтения важного письма от коллеги/руководства/клиента и т.д.

Немного свежей статистики по использованию личных устройств в организации мобильности на примере мирового опыта:

Мобильное рабочее место может функционировать в компании, где об этом еще не знают. По данным Gartner, в скором времени около 70% всех программных взаимодействий на предприятии будет происходить на мобильных устройствах.

Это означает, что сотрудники смогут использовать свои личные устройства для работы, часто используя нативные приложения или другие небезопасные решения. Предприятия должны удовлетворять этот спрос на мобильную работу, сохраняя при этом все корпоративные данные защищенными.

Подход, ориентированный на мобильные устройства, обеспечивает большую производительность и лояльность сотрудников. Результаты исследований показывают, что 60% сотрудников говорят, что мобильные технологии делают их более продуктивными, и многие из них также обнаружили, что это вызывает рост их креативности в решении тех или иных задач.

Таким образом, компаниям необходимо придумать, как создать основу для быстрой "мобилизации" бизнеса, при этом не теряя в безопасности, удобстве и гибкости. Совершенно очевидно, что для этого нужны какие-то технические реформы, но вот, какие именно — уже вопрос.

Подготовка устройств к отправке

Стоить заметить, что обеспечение безопасной удаленки на личных устройствах — это не единственное предназначение Endpoint Management решений. Подготовка стационарных станций и терминалов с полным контролем "всего, что отображается на экране" — один из примеров применения системы.

Самое популярное в прошлом — приобретение партии новеньких смартфонов (или лэптопов) для последующей подготовки и отправки пользователям. Такой вариант мог и часто сопровождался учитыванием личных вкусов и пожеланий сотрудников (Choose your own device). Отличие такого варианта от модели BYOD — нет необходимости ограничивать и изолировать рабочую область, дабы не навредить приватности сотрудника. Следовательно, любой функционал, будь то камера, Bluetooth, Wi-Fi, airplane mode, single app mode (работа в режиме киоска или демо-стенда) и многое другое — все контролируется политиками Endpoint Management.

Таким образом, имеем дело с тремя типами устройств:

  • choose your own device (CYOD);
  • company-owned, personally enabled (COPE) devices;
  • company-owned, business-only (COBO) devices.

Что такое BlackBerry Dynamics?

BlackBerry закрывает все вопросы по шифрованию хранилищ, предотвращению утечки и созданию туннелированного трафика, в том числе — на уровне защищенных приложений. В этом случае сотруднику не обязательно осуществлять enroll устройства, использовать сторонние VPN и беспокоиться и собственной приватности.

Достаточно загрузить, к примеру, защищенный почтовый клиент с магазина приложений AppStore, Play Market и активировать по аналогии с любым банкингом или мессенджером. В отличие от того же публичного мессенджера, корпоративный почтовый клиент будет обладать безоговорочной изоляцией от личного пространства на мобильном устройстве, включая несанкционированные создание скриншотов, копирование или передачу данных.

Именно поэтому мы остановимся и поговорим в подробностях на втором базовом направлении системы — защита уровня приложений (контроль приложений).

BlackBerry Dynamics — это технология контейнеризации, которая работает на уровне изолированных приложений-контейнеров для следующих типов устройств: ios, android, macOS, Windows.

Платформа BlackBerry Dynamics позволяет мобильным корпоративным приложениям использовать ведущие в отрасли функции безопасности, такие как:

  • Инфраструктура прокси, обеспечивающая соединения между мобильными клиентами и серверами приложений, которые находятся за корпоративным брандмауэром. Нет необходимости в VPN или в том, чтобы открывать порты в корпоративном брандмауэре для конечных точек;
  • Сквозное шифрование данных при передаче между мобильными клиентами и серверами приложений;
  • Хранение корпоративных данных на устройстве в отдельном безопасном контейнере, который может быть удален администратором;
  • Шифрование с помощью 256-битного шифра AES. Эта технология используется для защиты данных в состоянии покоя, в безопасном контейнере и для защиты данных при передаче между клиентом и сервером;
  • Применение политик соответствия паролей и устройств при доступе к корпоративным данным.

Для применения сотрудниками на IOS, Android, macOS и Windows разработано несколько приложений с использованием платформы Dynamics: BlackBerry Work (Почтовый клиент), BlackBerry Access (Браузер клиент), BlackBerry Edit (редактор), BlackBerry Workspaces (файлообмен) и т. д.

Многие ISV (независимые поставщики программного обеспечения) также создали приложения с использованием BlackBerry Dynamics и опубликовали их на публичных ресурсах. Предприятия могут создавать свои собственные приложения с использованием библиотек Dynamics для удовлетворения любых бизнес-потребностей.

К слову, контейнер BlackBerry обладает наивысшей сертификацией по версии Common Criteria — EAL 4+. Также НАТО одобрило корпоративное решение BlackBerry для хранения и передачи данных в соответствии с классификацией NATO RESTRICTED.

В следующей части статьи расскажу, на что стоит обращать внимание при выборе UEM решения и как выбрать между Cloud и On-Prem версиями.