Самым важным вопросом, который следует задать себе перед выбором решения по мобильной безопасности является: "Разрешено ли сотрудникам обрабатывать на мобильных устройствах конфиденциальную информацию компании?". И уже от ответа на него планировать и реализовывать систему защиты.
1. Если запрещаем
Если мы отвечаем "Запрещено", то нам следует сосредоточить усилия именно на том, чтобы конфиденциальная информация не появилась на мобильных устройствах сотрудников. Для этого необходимо:
- Разработать и довести до сведения сотрудников Политику допустимого использования (Acceptable Use Policy), в которой в явном виде прописать требования по использованию мобильных устройств (корпоративных и личных) и удаленного доступа к корпоративным ресурсам и сервисам.
- Обеспечить контроль и блокирование передачи конфиденциальной информации на устройства. По сути, это будет что-то типа контроля утечки информации за счет:
- передачи файлов по электронной почте;
- выкладыванию файлов в сети Интернет ;
- передачи данных напрямую на устройство при подключении;
- созданию устройством дополнительных сетей (например wifi) и передача данных по ним.
- Запретить и контролировать отсутствие на компьютерах запрещенного/не разрешенного программного обеспечения (различные "синхронизаторы" (iTunes, Activesync и пр.), облачные хранилища (iCloud, DropBox, GoogleDrive, Яндекс Диск, SkyDrive и пр.), средства удаленного доступа (TeamViewer, PC Remote Control и пр.), и другие, с помощью которых можно передать на мобильные устройства конфиденциальную информацию).
- Пересмотреть подход к предоставлению удаленного доступа к корпоративным ресурсам и сервисам.
Как вы понимаете, малореалистичный вариант запретить проносить мобильные устройства на работу и контролировать этот запрет, мы не рассматриваем. А риск фото/видео/аудиозаписи рассматриваем отдельно и скорее принимаем.
2. Если не запрещаем
Обратите внимание, что я употребляю термин "Не запрещено", а не "Разрешено". Это связано с тем, что во многих компаниях на использование мобильных устройств сотрудниками смотрят "сквозь пальцы", в явном виде ничего не запрещая, но и не разрешая. При этом часто сотрудники имеют доступ к корпоративной электронной почте, календарю и списку контактов, а также могут обрабатывать конфиденциальные документы на устройстве. Оценка рисков такой обработки обычно не проводится.
Ну вот, если мы отвечаем "Не запрещено", то нам следует сосредоточить усилия на управлении рисками и инцидентами.
Первым делом необходимо понять область (scope), для этого следует четко определить:
- Перечень информации и ИТ-сервисов, которые могут быть доступны сотрудникам.
- Перечень устройств, которые могут использовать сотрудники. Тут важно понимать, это будут корпоративные устройства или еще и личные (см.BYOD), а также перечень операционных систем (это нам необходимо для понимания рисков и выбора конечного решения).
После сбора первичной информации следует оценить возможные риски и еще раз ответить на вопрос "А все-таки, следует ли разрешить ли сотрудникам обрабатывать на мобильных устройствах конфиденциальную информацию компании?". Если и сейчас ответ утвердительный, то необходимо:
- Разработать и довести до сведения сотрудников Политику допустимого использования (Acceptable Use Policy), в которой в явном виде прописать требования по использованию мобильных устройств (корпоративных и личных) и удаленного доступа к корпоративным ресурсам и сервисам.
- Обучить (повысить осведомленность) пользователей базовым принципам безопасности мобильных устройств (например, "не оставлять без присмотра", "использовать пароли", "установить ПО для поиска/блокирования устройства и стирания информации", "решить с антивирусной защитой" и пр.).
- C учетом оценки рисков выбрать и внедрить дополнительные средства защиты и управления мобильными устройствами.
Обратите внимание, что пока вы не пройдете все шаги, то выбирать дополнительные средства защиты не особо целесообразно...
Дополнительно можете посмотреть:
