Управление безопасностью мобильных устройств (BYOD, CYOD, MDM)
IV Форум АЗИ|Актуальные вопросы информационной безопасности России| 14.04.2015
Presenter
Presentation Notes
Уважаемые коллеги, добрый день! Меня зову Лунгу Максим, я представляю компанию Элвис+. Сегодня поговорим с Вами о том, как сделать использование личных мобильных устройств, безопасным для компании. Т.е. поговорим о концепции BYOD.
О чем пойдет речь
1. BYOD –положение дел на практике.
2. Личное устройство на работе – ценность для бизнеса.
3. Личное устройство на работе – возможные проблемы.
4. Подходы и инструменты для безопасного использования мобильных устройств в Компании.
2
Presenter
Presentation Notes
О чем конкретно пойдет речь в презентации: Тема BYOD довольно давно и активно обсуждается. А каково положение дел на практике? Каковы действительные масштабы вовлечения личных мобильных устройств в деловой оборот? Какую дополнительную ценность может привнести в бизнес использование сотрудниками личных устройств? Личное устройство на работе - новая угроза информационной безопасности компании, в сегодняшних условиях - неизбежная угроза. Какими способами удается разграничить на мобильном устройстве область персональной информации и корпоративной?
Корпоративная мобильность сегодня
3
>70%
регулярно используют личные мобильные устройства для выполнения
служебных функций
Presenter
Presentation Notes
Да, это так и цифра будет только расти.
Право или привилегия?
4
>50%
считают такое использование личных мобильных устройств своим правом, а
не привилегией
Presenter
Presentation Notes
Попробуйте доказать обратное. Практически каждый второй пользователь корпоративной сети считает своим правом пользоваться личным мобильным устройством. Иногда сотрудника проще уволить, чем запретить ему пользоваться своим гаджетом на рабочем месте. Но всегда ли стоит прибегать к радикальным мерам? Об этом поговорим далее.
Очевидно
5
1 Тренд, модно.
2 Удобно, выгодно.
3 Эффективно.
Presenter
Presentation Notes
Повсеместному использованию мобильных устройств, способствует сам ритм современной жизни. Важную роль играет мобильность - желание и необходимость всегда оставаться на связи, иметь доступ к рабочим документам и ресурсам компании из любой географической точки. �
Концепция BYOD
6
Концепция, посредством которой сотрудникам компании предоставляется возможность использовать собственные мобильные устройства для выполнения
служебных обязанностей { {
Presenter
Presentation Notes
Тему BYOD сегодня наверно не затронул только «ленивый». Говорим именно про BYOD, т.е. когда сотрудники приносят на работу свое устройство, а не пользуются тем, что выделила компания. Об этом много пишут и говорят на специализированных мероприятиях – мы тому подтверждение. Иногда сдается двойственное ощущение: во-первых ‑ рынок зрелый, все всё понимают и знают что делать; во-вторых – поставщики товаров и услуг ранок насильно пытаются «взорвать», показывая, а иногда и навязывая подходы, методы и средства. Для российского рынка скорее характерно второе – его пытаются взорвать и пытаются это сделать уже ни один год. Причины понятны – личная корпоративная мобильность сотрудников растет, а её управляемость, практически в каждой компании остается на нуле. Так называемый BYOD «по умолчанию» - де-юре такую концепцию мало кто вводит, а де-факто она повсюду. Де-юре – это значит, что не просто разрешили пользоваться личным мобильным устройством в рабочих целях, но и этот процесс управляем – обеспечивается как минимум контролируемый доступ к ресурсам компании с личного мобильного устройства. Де-факто – в большинстве случаев закрываются глаза на то, что сотрудник так или иначе получает неконтролируемый доступ к корпоративным ресурсам с личного мобильного устройства. Причины разные – не осознается масштаб возможных проблем, лень или в компании некому заниматься новым направлением или проблем попросту нет. Т.е. масштабы вовлечения личных мобильных устройств на деловом рынке велики, но говорить про их зрелость и ориентированность именно на BYOD, который подразумевает внедрение целого направления в корпоративную ИТ/ИБ-культуру и инфраструктуру, в наверно рано. Разве – нет?
В чем выгода для Компании?
7
Presenter
Presentation Notes
Увеличение продуктивности сотрудника. Экономия на средствах связи для сотрудника. Мобильность и доступность сотрудника. Лояльность сотрудника.
В чем выгода для сотрудника?
8
Presenter
Presentation Notes
Право выбора личного устройства. Независимость от корпоративных стандартов. Мобильность. Баланс между личной жизнью и работой.
Возможны ли проблемы от такой концепции?
9
Presenter
Presentation Notes
Возможны ли проблемы от того, что мы разрешим сотрудникам пользоваться личными мобильными устройствами?
Проблемы глазами сотрудника
10
Проблемы?
Presenter
Presentation Notes
У пользователей нет проблем. Разрешили и отстаньте!
Возможные проблемы, для компании
1. Утрата мобильных устройств пользователями.
2. Несанкционированный доступ в корпоративную сеть.
3. Утечка конфиденциальной.
4. «Внедрение» вредоносного программного обеспечения.
11
Presenter
Presentation Notes
Для компании возможны следующие проблемы. Перечислим основные: Кража, утеря мобильных устройств пользователями. Несанкционированный доступ в корпоративную сеть с помощью украденного/потерянного мобильного устройства. Утечка конфиденциальной (кража данных) информации через потерянные устройства. Внедрение через мобильные устройства в корпоративную сеть вредоносного программного обеспечения.
Нужен компромисс, баланс интересов
12
Presenter
Presentation Notes
Предположим, компания видит и осознает риски, связанные с использованием мобильных устройств и готова бороться за их минимизацию. Как бороться? Искать компромисс. Т.е. сделать так, чтобы пользователь остался при своем и компания не проиграла.
В чем может быть компромисс
13
1. Для компании: подготовка и реализация единой политики безопасности для мобильных устройств.
2. Для сотрудника: гибкость политики безопасности.
!
Presenter
Presentation Notes
Как мы отметили ранее, более половины сотрудников считает своим правом пользоваться личными мобильными устройствами для решения служебных задач. Но далеко не все готовы к тому, что бы на личное мобильное устройство были установлены корпоративные средства управления, которые зачастую воспринимаются сотрудниками, как средства «слежки». Как быть: Для компании: подготовка и реализация единой политики безопасности для мобильных устройств. Для сотрудника: гибкость политики безопасности.
Организационно-технические мероприятия
14
Планирование и организация
Организационные мероприятия 1 2
4 3 Учет правовых аспектов
Реализация технических мер
Presenter
Presentation Notes
Классика жанра: планируем, оцениваем, внедряем. Планирование и организация: Ответить на вопрос – насколько BYOD необходим компании и какие бизнес задачи будут решаться? Узнать отношение сотрудников компании к BYOD. Выявить возможные угрозы и риски связанные с BYOD. Уточнить – требуется ли соответствие требованиям регуляторов? Определить, возможно ли интеграция политики безопасности BYOD в существующую ИТ и ИБ концепцию компании. Возможно по результатам первого этапа, вы для себя поймете, что проще все оставить как есть. Организационные мероприятия: Разработка регламентирующих документов, например: Регламент безопасного подключения мобильных устройств. Регламент обмена и хранения данных. Регламент управления приложениями. Определить перечень мобильных устройств/платформ. Проработка алгоритма действий в случае кражи/утери мобильного устройства. Проработка порядка реагирования на инциденты. Учет правовых аспектов, т.е. узаконить право пользования мобильными устройствами в компании: Заключить доп. соглашение с сотрудником. Определить порядок увольнения сотрудника и «лишения» его прав на мобильный доступ. Согласовать, как будет осуществляться мониторинг и отслеживание за мобильным устройство сотрудника. Реализация технических мер: Выбор технических средств управления мобильными устройствами и безопасностью, связанной с мобильными устройствами. Разработка корпоративной политики доступа: Правила доступа из/вне контура компании. Правила шифрования – VPN, крипто-контейнеры. Усиленная аутентификация при доступе к ресурсам. Перечень корпоративных ресурсов – e-mail, календарь, документы, др. Антивирусная защита. Удаленной управление устройством, принудительное удаление информации на устройстве.
Вывод
1. Запретить – практически невозможно.
2. Принимать риски – право каждой отдельной компании.
3. Главное – не «перегибать».
15
Presenter
Presentation Notes
Сегодня, запретить пользоваться мобильными устройствами в компании практически невозможно. Принимать риски, связанные с мобильными устройствами или управлять ими – право каждой отдельной компании. В реализации безопасного BYOD главное не «перегибать» палку и извлекать для себя выгоду.
www.elvis.ru
Лунгу Максим Аурелович Начальник Отдела решений по контролю и защите контента e-mail: [email protected] Тел. рабочий: (495) 276-0211, 424 Тел. моб.: 8 (916) 933-02-40
