Как управлять устройствами сотрудника, работающего удаленно

14.05.2020

В условиях пандемии множество компаний во всем мире перевели своих сотрудников на удаленную работу, на работу вне офиса. При этом предприятия сталкиваются с проблемами управления и защиты как корпоративных, так и личных устройств персонала, поскольку они получают доступ к ресурсам компании за пределами периметра сети.

Если у Вас еще нет MDM-решения (Mobile Device Management) и BYOD-политики, самое время об этом позаботиться. Для этого потребуется по меньшей мере три шага.

1. Провести оценку рисков безопасности в контексте мобильных устройств

Угрозы мобильной безопасности растут с рекордной скоростью. Согласно отчету McAfee Mobile Threat Report в последнем квартале 2019 г. было обнаружено более 35 млн новых вредоносных программ для мобильных устройств, что на 5 млн больше, чем годом ранее. Количество вредоносных атак на мобильные устройства выросло почти на 70% всего за два года!

Кроме того, есть еще десятки угроз, связанных с мобильными устройствами. Вот лишь часть из них:

  • Кража данных и устройств.
  • Плохая кибергигиена.
  • BYOD & IoT вторжение.
  • Потерянные устройства.
  • Устаревшее ПО.
  • Небезопасный Wi-Fi.
  • Spyware.
  • Скрытые приложения.
  • Фишинговые атаки.
  • Социальная инженерия.
  • Небезопасное использование криптографии.
  • Cryptojacking.
  • Неправильная обработка сессий.
  • Мошенничество с рекламой и поддельные обзоры.

Если вы осведомлены о том, что перечислено выше, значит вы уже начали оценивать риски безопасности для мобильных устройств.

Осведомленность является начальным и финальным этапом оценки и управления рисками, которые могут быть сопряжены с работой сотрудников, работающих удаленно. Также настоятельно рекомендуется идентифицировать активы компании и заранее планировать процедуры выхода из кризисных ситуаций.

Если вы читаете этот пост, вероятно вы несете ответственность за информационную безопасность в вашей компании. Совет для вас: не несите весь груз этой ответственности на себе. Ваши сотрудники должны разделять ее с вами.

В случае, если у вас нет времени или ресурсов для обучения персонала самостоятельно, имеется множество онлайн-курсов по повышению осведомленности в области кибербезопасности, которые охватывают и мобильную тематику. Причем, когда ваши сотрудники проходят такие курсы, требуйте от них получение сертификатов. Это будет гарантией того, что они относятся к данному процессу серьезно.

Определитесь с тем, какими активами располагает компания. Согласно данным института Ponemon взлом корпоративных сетей в 2018 г. для американских компаний в среднем обходился в 3,86 млн долл.

Нужно отдавать себе отчет в том, что угроза реальна и ставки очень высоки.

Защита цифровых активов компании от мобильных утечек и других угроз безопасности требует определенного анализа ситуации. И нужно, как минимум, ответить на следующие вопросы в контексте вашей компании.

  • Что необходимо считать конфиденциальными данными?
  • Как вы собираете, храните и передаете данные?
  • Кто имеет доступ к вашим данным?
  • Есть ли у мобильных устройств доступ к вашим данным?
  • Где конфиденциальные данные переходят из рук в руки?
  • Может ли потерянное или украденное устройство скомпрометировать ваши данные?
  • Каковы последствия утечки данных?
  • Нужно очень четко представлять, что происходит, когда вы увольняете недовольного сотрудника, который имеет доступ к чувствительным данным компании. Что происходит, когда, скажем, вы разрываете контракт с обслуживающим вас разработчиком. Следует представлять общую картину, которую можно описать следующим образом:
  • Как долго длится процесс, необходимый чтобы удалить данные с устройства или изменить пароли?
  • Знаете ли вы, какие именно устройства использовались?
  • Использовались ли только лишь подтвержденные политиками устройства или были и другие?
  • Какие приложения использовались работником?
  • Какой уровень доступа у них был?
  • Где они хранили данные?
  • Кто имел доступ к данным на смартфонах сотрудников?
  • Можете ли в=вы законно удалить информацию на их устройствах?

Вам нужен план не только для экстренных ситуаций, когда сотрудник увольняется срочно или задним числом, но и для моментов обычного ухода, например, в ситуации «я нашел работу своей мечты». Хотя мы сейчас и обсуждаем угрозы, исходящие от использования мобильных устройств, но следует помнить, что люди являются самой большой угрозой для безопасности Вашей компании — причем, часто непреднамеренно.

Согласно недавним исследованиям 87% опрошенных сотрудников признались, что после увольнения на их компьютерах и мобильных телефонах осталась информация, связанная с предыдущей работой.

Что, если они будут использовать эти данные злонамеренно или сами пострадают от фишингатаки, и, в результате мошенничества, эти данные попадут третьим лицам?

Нужно быть готовым к любому развитию ситуации.

В случае ухода сотрудника необходимо:

  • убедится, что отделы HR и ИТ работают синхронно;
  • убедится, что действуют соглашения о неразглашении и политики безопасности;
  • вернуть устройства, предоставленные компанией;
  • удалить корпоративные приложения и данные с личных устройств;
  • отключить доступ к корпоративной электронной почте;
  • отключить доступ к корпоративным системам и приложениям;
  • сменить пароли к корпоративным аккаунтам;
  • мониторить подозрительную активность.

В кризисной ситуации необходимо:

  • документировать риски и активы;
  • создать и обучить команду реагирования на инциденты;
  • создать систему отчетов об инцидентах;
  • подготовить список уведомлений об инцидентах;
  • провести резервное копирование важных данных;
  • убедится, что инциденты могут быть обработаны дистанционно;
  • отработать реагирование на инциденты.

Опередить возникающие угрозы непросто, но четкий план действий поможет вам уволить сотрудников с минимальным риском для компании и, в случае возникновения кризиса сократить нанесенный урон.

2. Внедрить политики BYOD и удаленного доступа

В условиях пандемии работа на дому из нишевой (еще недавно лишь 5,2% работников в США) стала повсеместной. Мы со всех сторон слышим рекомендации по личной гигиене:

  • оставайтесь дома;
  • мойте руки;
  • не трогайте свое лицо;
  • если чихать, то в локоть;
  • носите маску;
  • держите дистанцию.

А как насчет кибергигиены?

Большинство готовы изменить свои привычки и обыденные процессы в своей жизни в это непростое время, но они не хотят отказываться от своих личных устройств. Почти 61% представителей поколения Y и 50% работников старше 30 лет считают, что BYOD-инструменты делают их более производительными.

«Это открывает доступ различным зловредам, как через устройства работодателей, так и работников»- предупреждает исследователь QUT доктор Кенан Дегирменси (Kenan Degirmenci). BYOD и, в более широком смысле, мобильный доступ к корпоративным системам сопряжен с проблемами в области безопасности, которые нельзя игнорировать.

Увы, но организации недостаточно быстро реагируют на угрозы кибербезопасности, связанные со стремлением сотрудников использовать личные мобильные устройства на рабочем месте.

В период, когда весь мир страдает от разразившегося кризиса в области здравоохранения, вы можете предотвратить киберкризис, изложив некоторые основные правила своим сотрудникам. И в этом нет ничего зазорного. Все же напоминают им, чтобы они мыли чаще руки.

BYOD и политика удаленного доступа могут защитить Вашу компанию и сотрудников от угроз безопасности, которые исходят от использования мобильных устройств.

Итак, каковы же основные правила кибергигиены, что они должны охватывать:

  • допустимые устройства и приложения;
  • ветируемые мобильные приложения;
  • безопасные конфигурации;
  • допустимое использование и неправильное использование;
  • аутентификация и управление паролями;
  • права доступа и разрешения;
  • социальные сети и безопасность электронной почты;
  • безопасность браузера и веб-приложений;
  • методы шифрования и безопасного соединения;
  • соответствие и конфиденциальность;
  • разделение личных и корпоративных данных;
  • стратегии предотвращения потери данных (DLP);
  • обновления безопасности и обновления программного обеспечения.

Ваша политика BYOD и политики удаленного доступа должны охватывать ряд рекомендаций по безопасности конечных точек, сетей и облачных вычислений — от советов, которые базируются, на первый взгляд, лишь на здравом смысле до технических конфигураций, нацеленных на минимизацию последствий хакерских атак.

Если вы хотите убедиться, что устройства ваших сотрудников соответствуют вашим политикам, стоит попробовать решение MDM. Ко всему прочему вы получите возможность контроля и управления, а также возможность помещать в карантин устройства, не соответствующие требованиям безопасности.

Сложившаяся ситуация, когда сотрудники перешли из офисов на работу из дому — отличная возможность, наконец-то, реализовать корпоративные политики использования мобильных устройств. Тем не менее, вы должны реально оценивать возможности вашего ИТ-отдела, что и как он может контролировать, без понимания и поддержки со стороны сотрудников тут не обойтись.

3. Запустить корпоративную платформу MDM

В сложившейся беспрецедентной ситуации сотрудники, работающие дома постоянно, сталкиваются с проблемами безопасности, к которым, согласно недавнему опросу читателей Threatpost, большинство организаций не готово.

MDM, безусловно, не панацея, но это один из действующих инструментов для того, чтобы снизить риски и взять ситуацию под контроль.

Как правило, MDM входит в состав более широкого корпоративного пакета EMS (Enterprise Mobility Suite), оно может отличаться по набору функций, но большинство позволяет следующее:

  • Контроль доступа.
  • Управление приложениями.
  • Обеспечение соблюдения политик.
  • Обновление на ходу (OTA).
  • Устранение неполадок устройств.
  • Отслеживание устройства.
  • Дистанционное удаление информации.

MDM — это, по сути, возможность контроля того, что пользователь делает с устройством и что происходит с корпоративными данными на нем, а также того, как устройства используются для доступа к корпоративной сети.

Наилучший результат, как и во многом другом, достигается за счет тщательно продуманной реализации MDM, готового коробочного решения.

Итак, что же требуется для успешной реализации MDM?

Максимизируйте самообслуживание и автономность. Сотрудники пользуются гибкостью BYOD, и стоит избегать заметного сокращения этих возможностей. Более того, MDM, обеспечивающий автономность пользователей, может снизить нагрузку на ИТ-персонал, предоставляя конечному пользователю ряд функций, например, сбрасывание паролей, отслеживание потерянных устройств и т.д.

Обеспечьте должный уровень конфиденциальности пользователя. Ваши сотрудники могут использовать свои устройства для личных и бизнес целей. Хотя MDM позволяет получить полный контроль над этими устройствами, это не должно сказываться на пользователе и нарушать конфиденциальность его персональных данных.

Продумайте набор политик под ваши задачи. Готовые политики большинства платформ MDM могут обеспечить надежный старт работы, но не экономьте на доработке этих политик для решения задач вашей организации. Политики MDM могут быть сколь угодно детализированы в соответствии с вашими организационными требованиями.

Обеспечьте обновления. Ваша MDM-стратегия должна включать регулярное необходимое обновление используемого программного обеспечения MDM. Это сведет к минимуму потенциальные проблемы с безопасностью.

MDM необходимо для снижения рисков, связанных с BYOD и мобильными устройствами. Но это лишь часть необходимых средств по обеспечению безопасности. Да, MDM даст вам начальное понимание и контроль, но вы должны постоянно оценивать ситуацию и внедрять необходимые решения.

Постарайтесь уделять должное внимание безопасности и выбирать лучшие решения в контексте использования мобильных устройств. Оценка рисков, внедрение политик под BYOD наряду с политиками удаленного доступа, и, плюс к этому, внедрение решения MDM — это тот самый необходимый базис для Вашей дальнейшей безопасной и продуктивной работы.