О безопасности личных устройств сотрудников. Часть 2
В первой части этой статьи мы поговорили, зачем вообще защищать личные устройства сотрудников, как подготовить устройство для безопасной работы и рассмотрели платформу BlackBerry Dynamics — технологию контейнеризации, которая работает на уровне изолированных приложений-контейнеров.
Переходим к основным элементам безопасности контейнера и их особенностям, которые расположены в ниже.
Доступ к контейнеру:
- Разные политики для разных пользователей;
- Удаленная блокировка приложения;
- Применение автоматических реакций на нарушение политик соответствия;
- Автоблокировка контейнера в зависимости от нарушения compliance-политик;
- Требования к паролю или биометрии для локальной аутентификации внутри контейнера;
- DLP-политики, препятствующие переносу/копированию/захвату скриншотов.
Хранилище данных контейнера:
- Управляемое хранилище с поддержкой интеграции и синхронизации с внутренними репозиториями;
- Шифрование данных по алгоритму AES-256 в состоянии покоя внутри контейнера;
- Удаленная очистка и блокировка хранилища;
- FIPS140-2 сертифицированный крипто-модуль.
Передача данных:
- TLS соединение;
- AES-256 шифрование;
- FIPS140-2 сертифицированные крипто-алгоритмы;
- Мониторинг соединения.
Защита корпоративных ресурсов:
- Нет надобности в открытии брандмауэра;
- Ролевая модель администрирования;
- Нет надобности в использовании корпоративного пароля за периметром компании;
- Централизированный и кроссплатформенный контроль безопасности;
- Управляемый доступ к назначенным серверам приложений или доменам.
Cloud vs On-Prem
Выбирая Unified Endpoint Management решение уровня Enterprise, нужно обращать внимание на организацию, простоту, многофункциональность и кастомизацию конкретно серверного оборудования. В этом контексте BlackBerry поддерживает как On-Premise, так и Cloud Vendor hosted разворачивание. Выделяется возможность организации собственного VPN-туннеля и активации полностью изолированной от облака инфраструктуры передачи корпоративного трафика.
Сервер управления Blackberry UEM Cloud* имеет свои преимущества по сравнению с локальной версией:
- Быстрая активация и установка сервера управления (2-5 минут на поднятие облачного образа);
- Ответственность за высокую доступность полностью лежит на специалистах Blackberry;
- Ответственность за аварийное восстановление полностью лежит на специалистах Blackberry.
*Для подключения локальных ресурсов (файловых серверов, почтовых серверов, серверов приложений, корпоративных сайтов) — необходимо установить и настроить коннекторы внутри корпоративного периметра или в демилитаризованной зоне.
Так нужна ли корпоративная мобильность?
Опыт и примеры западного рынка заявляют единогласно — нужна! Однако, решение принимает каждый отдельно и выводы должны делаться на основе текущего состояния инфраструктуры, пробелов в безопасности или продуктивности сотрудников. Я строго не рекомендую слепо доверять трендам, но закрывать глаза на реалии 21-го века не нужно. Анализ брешей адаптивного периметра сети, поиск, тестирование и обсуждения необходимости продукта — первые шаги на пути в мобильность.
Отдел безопасности, администрирования и руководители разного калибра могут сосредоточить свои силы на закрытии трёх важных задач под внедрение любой IT-системы, среди которых UEM — не исключение.
Это должно быть выгодно. Использование личных устройств экономит финансовый ресурс компании и освобождает от процесса настройки и оптимизации. Нагрузка на человеческий ресурс администраторов системы должна быть минимальна, а хелпдеск — сводиться к минимуму за счёт использования инструментов самообслуживания по восстановлению пароля, добавлению второго/третьего устройства и удаленной блокировке рабочих данных с украденного или забытого аппарата.
Это должно быть безопасно. Как отмечалось выше, три столпа информационной безопасности рабочей области должны функционировать 24/7: шифрованное хранилище, встроенный туннель до корпоративных ресурсов и политики предотвращения утечки. Мобильные устройства, смартфоны не должны становиться исключением в этих вопросах.
Это должно быть удобно. От положительного опыта использования клиентских приложений до интерфейса и быстроты настройки серверных компонентов. Ключевая задача — понравиться сотруднику и приучить его работать с корпоративным софтом, полностью вычеркнув так называемое "теневое IT". Тонкая грань в вопросе удобства корпоративного софта на личных устройствах будет чуть ли не одним из первых вопросов, уж поверьте. Иначе этим просто не будут пользоваться и процесс придется переносить на следующее решение.
Обсудим?