Контакты
Подписка
МЕНЮ
Контакты
Подписка

Мобилизация бизнеса - можно ли совместить мобильность и безопасность?

Мобилизация бизнеса - можно ли совместить мобильность и безопасность?

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Мобилизация бизнеса - можно ли совместить мобильность и безопасность?

Современные технологии дают бизнесу новые возможности. Когда в продаже появились первые смартфоны и планшетные компьютеры, многие отнеслись к ним, как к дорогим игрушкам, забавным, но бесполезным. Однако прошло немного времени, и мобильные устройства завоевали признание бизнес-пользователей.
Олег Сафрошкин
Менеджер по развитию бизнеса
компании "Информзащита"

Ведь действительно удобно, когда можно выполнять отдельные нересурсоемкие задачи (например, работу с электронной почтой или Web-приложениями) на компактном устройстве, которое всегда с тобой. На такой интерес бизнеса обратили внимание разработчики информационных систем, и в последнее время на рынке появляются клиентские бизнес-приложения (к примеру, CRM или BI) под мобильные устройства. Все это в совокупности дает возможность использовать мобильные устройства как практически полноценные рабочие места, позволяя покидать офис без отрыва от бизнес-процесса.

Мобильные устройства и безопасность

Как показывает практика, мобильные устройства легко теряются, их часто крадут. Это создает предпосылки для утечки информации с них или их использования для попыток проникновения в сеть компании. Мобильные устройства могут также применяться для обхода решений класса DLP - в этой ситуации инсайдер, получая конфиденциальную информацию по корпоративной электронной почте на мобильное устройство, может его переслать с использованием своей учетной записи в бесплатных почтовых системах (Gmail, Yandex и т.д.). Поскольку в таком случае пересылаемое письмо не будет проходить через почтовый сервер организации, существующая DLP-система не сможет предотвратить утечку. Наконец, мобильные устройства подвержены заражению вредоносным ПО. Наиболее популярной платформой среди вирмейкеров сегодня является Google Android, однако начинают появляться угрозы и под другие мобильные платформы.

При использовании мобильных устройств в бизнесе появляются новые риски ИБ. В этом случае ценная информация обрабатывается не на контролируемой службой ИБ рабочей станции, а на подконтрольном пользователю мобильном устройстве, большую часть времени используемом вне защищенного периметра организации. В этой связи служба ИБ сталкивается с новыми для себя вызовами.

Возникает логичный вопрос - возможно ли совместить преимущества, предоставляемые использованием мобильных устройств в бизнесе, и безопасность? Наш опыт показывает, что это возможно при выполнении некоторых условий.

Для начала необходимо определиться с основными потребностями бизнеса, в том числе:

  • К каким информационным ресурсам и в рамках каких бизнес-процессов будет предоставляться доступ с мобильных устройств?
  • Кому и откуда будет разрешен мобильный доступ?
  • Какие мобильные платформы бизнес хотел бы использовать для работы?
  • Планируется ли разрешить использование личных устройств для доступа к защищаемой информации?

После чего необходимо оценить риски ИБ, которые возникнут при использовании мобильных устройств в бизнес-процессах организации. В случае если эти риски окажутся неприемлемыми для организации, необходимо выработать решение по их минимизации. Как показывает наша практика, оптимальным решением будет создание комплексной системы защиты мобильных устройств. Такая система включает в себя три основных компонента: организационные меры, технические средства и обучение пользователей.

Организационные меры

Обычно оргмеры включают в себя локальные нормативные документы, регламентирующие порядок использования и защиты мобильных устройств в организации, а также санкции за нарушения такого порядка. К таким документам могут относиться политика использования мобильных устройств, частные политики ИБ и IT, а также регламент жизненного цикла мобильных устройств. Такие документы должны быть утверждены руководством организации и доведены под роспись до всех лиц, которые будут использовать мобильные устройства.

Технические средства

Комплекс технических средств позволяет организации обеспечить защиту мобильных устройств, а также контроль выполнения требований к порядку их использования. Основой комплекса является решение класса MDM, которое могут дополнять специализированные средства защиты (антивирус, средства защиты канала связи, решения класса NAC и т.д.). Комплекс технических средств интегрируется в IT- и ИБ-ландшафт предприятия для обеспечения требуемого уровня защиты.

Обучение пользователей

Не менее важным является обучение и повышение осведомленности пользователей в области безопасного использования мобильных устройств. По статистике, одной из наиболее часто встречающихся причин инцидентов ИБ является человеческий фактор. И именно работа с людьми, доведение до них основных положений по безопасному использованию мобильных устройств и контроль их осведомленности являются, по нашему опыту, одной из самых эффективных мер предотвращения инцидентов.

ИНФОРМЗАЩИТА, КОМПАНИЯ
127018 Москва, ул. Образцова, 38
Тел/факс: (495) 980-2345
E-mail: market@infosec.ru
www.infosec.ru

Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2013
Посещений: 4455

Приобрести этот номер или подписаться
  Автор

Олег Сафрошкин

Олег Сафрошкин

менеджер по развитию бизнеса
компании "Информзащита"

Всего статей:  4

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций