Наверх

Концепция BYOD: вопросы безопасности и реальные кейсы. Подкаст

Время чтения: 4 минуты
5
Концепция BYOD: вопросы безопасности и реальные кейсы. Подкаст

В чем суть угроз? Как обезопасить корпоративные данные? Какие реальные кейсы есть в сфере BYOD в мире?

Участники подкаста:

Ришат Мухаметшин – ИТ-аналитик, блоггер ECM-Journal

Анрей Подкин - редактор ECM-Journal, программист

Ведущий - Павел Овчинников

[ От ред. Для введения в тему рекомендуем читателям материал Что такое BYOD и насколько она эффективна в организациях? ]

Скачать mp3-файл (10.7 Мб/18:25 мин, 81 kbps)

1:19 Безопасность и BYOD

С 2006 года этот термин упоминается в зарубежных интернет-источниках, с 2009 – в российских.

Сотрудник практически не несет ответственности за корпоративные данные, которые на этом устройстве эксплуатируются и хранятся.

Грандиозных «историй успеха» по обеспечению безопасности BYOD не слышно.

Есть интересные WhitePapers от компании Airwatch о том, как они реализуют распространение, управление приложениями на устройствах, но есть «Но».

5:00 BYOD кажется такой же модной фишкой, как когда-то были Ent 2.0 и SaaS. Какие больные точки есть сейчас у BYOD?

Андрей: Для того чтобы определить больные точки, необходимо понять, для чего устройство будет использоваться, что именно будет делать сотрудник по рабочим вопросам. Давайте по порядку:

Самое простое, что существует уже давно и никогда не называлось BYOD – синхронизация с exchange: корпоративная почта, календарь, контакты. Можно проверить рабочую почту в отпуске, можно посмотреть непубличные контакты, или, например, обратиться к корпоративной системе через web-интерфейс. Такое решение существует уже много лет. Есть ли здесь какие-то проблемы?

Ришат: Определенно есть. Это корпоративные данные, хранящиеся на устройстве сотрудника, которое у него всегда с собой. Он может унести его в пятницу в бар и там и оставить. Это тот случай, когда действительно возникает угроза. И если обращение через web-интерфейс не так опасно, то приложения используют данные, хранящиеся локально на устройстве. Значит, к ним можно получить доступ из другого приложения, т.е. какое-либо вредоносное ПО может обращаться к хранилищу напрямую и получить данные, распространение которых нежелательно. Это действительно угроза безопасности.

9:14 Влияние BYOD на работу ИТ-отделов с точки зрения надежности и работоспособности устройств, ремонта.

10:22 Как BYOD будет приживаться в России с учетом менталитета?

12:31 Концепция Get our corporate device (GOCD), когда компания выдает сотруднику свой гаджет, привязанный к своей системе, для использования в корпоративных и личных интересах.

15:35 Samsung KNOX для реализации защищенных BYOD-стратегий.

Задавайте вопросы, высказывайте свое мнение в комментариях.

До свидания!

Чтобы прочитать эту статью до конца,
или зарегистрируйтесь

Комментарии 5

Соглашусь, что проблема безопасности в ИТ актуальна как никогда, и не только для BYOD, но и  для ИТ инфраструктуры в целом. Если говорить по конкретному направлению, ну например, удаленный доступ, BOYD, то компания, принимающая для себя, что, да, мы готовы использовать данные технологии для решения бизнес-задач, должна определиться не только в том, как   реализовать выбранные технологии, но и "наложить" потом на них политику безопасности. Т.е. мало принять факт, что сотрудники компании, для поставленных перед ними задач, используют и будут использовать свои гаджеты для оптимизации или банального удобства, но ведь надо задуматься и о способах обезопасить свою ИТ инфраструктуру от "нелояльных" сотрудников, ну и собственно от злоумышленников в "чистом виде". И если разобраться, такие методы защиты есть - как организационные, так и технические.
Как вы уже поняли, это не столько вопрос к авторам статьи, сколько призыв к руководителям компаний, не забывать о необходимости обезопасить принятые решения автоматизации бизнес-процессов :)

Отредактировано 23 апреля 2013

Андрей Подкин верно сказал:

Для того, чтобы определить больные точки надо сначала понять, как, вообще, устройство-то будет использоваться.

Если устройство не используется для терминального доступа, для принятия важных решений, а используется только для запуска приложений способных просмотреть статистику и список контактов. То устройство не будет защищаться. Максимум, если в используемых приложениях используется сохранение учётных данных. То ИТ отдел составит инструкцию предписывающую уведомлять об утере контроля над устройством с последующей сменой учётных данных для доступа к коорпоративным сервисам посредством мобильных приложений.

Если устройство используется для более важных задач. То, думаю, используются те же процедуры, что и для случая терминального доступа к локальной сети организации с домашнего компьютера сотрудника. А именно, VPN, аутентификация по ключу (токен с неизвлекаемым ключом, одноразовым паролем), проверка соответствия удалённого компьютера внутренним политикам безопасности (с помещением в карантинную зону, в случае несоответствия).

И VPN и строгая аутентификация, думаю возможны для мобильных устройств. А на счёт проверки соответствия политикам безопасности - не слышал ничего. Политику безопасности можно составить для фиксированного количества моделей устройств и набора программного обеспечения. А это скорее тот случай, что в подкасте назван "reverse BYOD" (Ришатом Мухаметшиным) - устройства компании, выданные сотрудникам.

Если организация заботится о безопасной коммуникации между домашними компьютерам сотрудников и сетью компании или запрещает такие коммуникации. То некое компромиссное решение для мобильных устройств будет найдено (или будет аналогичный запрет их использования).

Если же организация не учитывает возможные риски работы с домашних компьютеров, то и BYOD не будет нести в себе никаких угроз, которые организация может учесть как существенные. Напротив, мобильные устройства могут оказаться даже более безопасными, чем персональные компьютеры.

Отредактировано 23 апреля 2013
А вот Госдума видимо, уже решила все проблемы безопасности BYOD и будет представлять из себя успешный российский кейс:
"У российской Государственной Думы появился каталог мобильных приложений. Опубликованное ПО делится на приложения, не требующие авторизации, и более «тяжелые», для установки которых личность скачивающего должна быть подтверждена.

Ко второму классу относятся телефонный справочник депутатов с мобильными телефонами, доступный сейчас только заместителям председателя Думы и самому председателю, а также электронный офис депутата и ПО для работы с документами. Для установки двух последних, как пояснил CNews советник председателя Госдумы Максут Шадаев, требуется предварительная настройка с участием службы ИТ-поддержки. Для авторизации всем депутатам розданы скретч-карты с логинами и паролями."

http://corp.cnews.ru/news/top/index.shtml?2013%2F04%2F19%2F526420
Отредактировано 23 апреля 2013

Основной вопрос BYOD, как мне кажется, достижение компромисса между функциональностью и безопасностью. Демонстрационный пример крайних точек - терминальный доступ к корпоративной системе с административными правами и веб-доступ на чтение (например, почты) без возможности сохранить что-либо. Перегибы и в ту и в другую сторону нежелательны по понятным причинам.

Андрей совершенно верно сказал, что первым делом необходимо определить, как и для чего устройство будет использоваться. Вторым параметром будет то, как "глубоко" в своё устройство владелец готов пускать ИТ-департамент. Другими словами, на сколько сотрудник доверяет своим ИТ-шникам. В этом плане концепция "Get our corporate device" хороша всем (конечно, если компания готова платить) - сотрудник получает в пользование устройство, которое до определенной степени волен использовать по своему усмотрению, но, при этом, не создает нежелательных угроз корпоративным ресурсам (конечно же, при грамотном администрировании). 

Если же всё-таки BYOD, то разумный объем функционала (я бы даже сказал, грамотная реализация функционала, минимизирующая какую-либо зависимость от устройства типа локального хранения данных итд.), сознательность сотрудников и согласие от них же, что теперь на девайсе хозяйничает кто-то ещё.

Подтверждение мысли, которая была поднята на DOCFLOW, от Алексея Лукацкого: "За BYOD мягкой поступью идет BYOT, т.е. "принеси свою технологию", когда пользователь начинает приносить свои приложения, делающие их работу удобней и эффективней. " http://lukatsky.blogspot.ru/2013/01/blog-post_11.html

Чтобы прокомментировать, или зарегистрируйтесь