О безопасности личных устройств сотрудников. Часть 2

В первой части этой статьи мы поговорили, зачем вообще защищать личные устройства сотрудников, как подготовить устройство для безопасной работы и рассмотрели платформу BlackBerry Dynamics — технологию контейнеризации, которая работает на уровне изолированных приложений-контейнеров.

Переходим к основным элементам безопасности контейнера и их особенностям, которые расположены в ниже.

Доступ к контейнеру:

  • Разные политики для разных пользователей;
  • Удаленная блокировка приложения;
  • Применение автоматических реакций на нарушение политик соответствия;
  • Автоблокировка контейнера в зависимости от нарушения compliance-политик;
  • Требования к паролю или биометрии для локальной аутентификации внутри контейнера;
  • DLP-политики, препятствующие переносу/копированию/захвату скриншотов.

Хранилище данных контейнера:

  • Управляемое хранилище с поддержкой интеграции и синхронизации с внутренними репозиториями;
  • Шифрование данных по алгоритму AES-256 в состоянии покоя внутри контейнера;
  • Удаленная очистка и блокировка хранилища;
  • FIPS140-2 сертифицированный крипто-модуль.

Передача данных:

  • TLS соединение;
  • AES-256 шифрование;
  • FIPS140-2 сертифицированные крипто-алгоритмы;
  • Мониторинг соединения.

Защита корпоративных ресурсов:

  • Нет надобности в открытии брандмауэра;
  • Ролевая модель администрирования;
  • Нет надобности в использовании корпоративного пароля за периметром компании;
  • Централизированный и кроссплатформенный контроль безопасности;
  • Управляемый доступ к назначенным серверам приложений или доменам.

Cloud vs On-Prem

Выбирая Unified Endpoint Management решение уровня Enterprise, нужно обращать внимание на организацию, простоту, многофункциональность и кастомизацию конкретно серверного оборудования. В этом контексте BlackBerry поддерживает как On-Premise, так и Cloud Vendor hosted разворачивание. Выделяется возможность организации собственного VPN-туннеля и активации полностью изолированной от облака инфраструктуры передачи корпоративного трафика.

Сервер управления Blackberry UEM Cloud* имеет свои преимущества по сравнению с локальной версией:

  • Быстрая активация и установка сервера управления (2-5 минут на поднятие облачного образа);
  • Ответственность за высокую доступность полностью лежит на специалистах Blackberry;
  • Ответственность за аварийное восстановление полностью лежит на специалистах Blackberry.

*Для подключения локальных ресурсов (файловых серверов, почтовых серверов, серверов приложений, корпоративных сайтов) — необходимо установить и настроить коннекторы внутри корпоративного периметра или в демилитаризованной зоне.

Так нужна ли корпоративная мобильность?

Опыт и примеры западного рынка заявляют единогласно — нужна! Однако, решение принимает каждый отдельно и выводы должны делаться на основе текущего состояния инфраструктуры, пробелов в безопасности или продуктивности сотрудников. Я строго не рекомендую слепо доверять трендам, но закрывать глаза на реалии 21-го века не нужно. Анализ брешей адаптивного периметра сети, поиск, тестирование и обсуждения необходимости продукта — первые шаги на пути в мобильность.

Отдел безопасности, администрирования и руководители разного калибра могут сосредоточить свои силы на закрытии трёх важных задач под внедрение любой IT-системы, среди которых UEM — не исключение.

Это должно быть выгодно. Использование личных устройств экономит финансовый ресурс компании и освобождает от процесса настройки и оптимизации. Нагрузка на человеческий ресурс администраторов системы должна быть минимальна, а хелпдеск — сводиться к минимуму за счёт использования инструментов самообслуживания по восстановлению пароля, добавлению второго/третьего устройства и удаленной блокировке рабочих данных с украденного или забытого аппарата.

Это должно быть безопасно. Как отмечалось выше, три столпа информационной безопасности рабочей области должны функционировать 24/7: шифрованное хранилище, встроенный туннель до корпоративных ресурсов и политики предотвращения утечки. Мобильные устройства, смартфоны не должны становиться исключением в этих вопросах.

Это должно быть удобно. От положительного опыта использования клиентских приложений до интерфейса и быстроты настройки серверных компонентов. Ключевая задача — понравиться сотруднику и приучить его работать с корпоративным софтом, полностью вычеркнув так называемое "теневое IT". Тонкая грань в вопросе удобства корпоративного софта на личных устройствах будет чуть ли не одним из первых вопросов, уж поверьте. Иначе этим просто не будут пользоваться и процесс придется переносить на следующее решение.

Обсудим?