По прогнозам Ericsson, с 2013 по 2019 год количество используемых в мире мобильных устройств вырастет с 6,7 до 9,3 млрд. Как ожидают аналитики IDC, в 2015 году продажи смартфонов в мире превысят 1 млрд штук, из которых более 400 млн будут использоваться в бизнес-среде, причем в большей степени по инициативе сотрудников компаний, а не вследствие требований корпоративных стандартов.
Концепция использования собственного устройства в рамках корпоративной ИТ-инфраструктуры (Bring Your Own Device, BYOD) набирает популярность, хотя и вызывает у ИТ-руководителей немало вопросов, прежде всего связанных с обеспечением безопасности, контроля, администрирования и поддержки. Аналитики Gartner называют использование сотрудниками собственных мобильных устройств одной из основных проблем ИБ.
Мобильность меняет фундаментальные принципы доставки приложений пользователям и защиты их данных в части авторизации, аутентификации, контроля доступа и функций управления. В Gartner считают, что все больше задач безопасности будет возлагаться на конечных пользователей. У них появятся новые обязанности по защите данных и соблюдению принятых компаниями требований. Для этого необходимо организовывать обучение пользователей и осуществлять мониторинг их действий.
Поскольку переход на мобильные и облачные технологии ставит перед специалистами по ИБ сложные задачи, затраты на ИТ-безопасность не только не сокращаются, но и продолжают расти значительно быстрее рынка в целом. Аналитики IDC убеждены, что в ближайшие годы эта тенденция сохранится.
ПРОБЛЕМЫ BYOD
По данным опросов, две трети зарубежных компаний уже практикуют подключение мобильных устройств к корпоративной инфраструктуре. По информации «Билайна», если в 2012 году лишь каждый пятый сотрудник корпоративных клиентов использовал для работы смартфон, то в 2013 году уже каждый четвертый, а в текущем, согласно прогнозам, таковым будет каждый третий.
По признанию экспертов, несмотря на то что модель BYOD резко увеличивает количество инцидентов ИБ, она становится все популярнее — ее используют как крупные, так и небольшие предприятия из разных отраслей экономики. По данным исследования Dimensional Research, проведенного в 2013 году по заказу Check Point, 67% зарубежных компаний позволяют сотрудникам подключаться к корпоративным сетям с мобильных устройств, причем в 45% таких организаций число личных устройств увеличилось за последние два года в пять раз.
При этом 63% организаций никак не управляют корпоративной информацией, находящейся на личных устройствах, 93% сталкиваются со сложностями при внедрении политики безопасности, а 67% считают защиту корпоративной информации главной проблемой BYOD. 60% опрошенных полагают, что беспечные сотрудники представляют больший риск для ИТ-безопасности, чем киберпреступники. Объемы конфиденциальных данных и корпоративной информации, хранящихся на мобильных устройствах, постоянно растут. Ее утеря или утечка может иметь серьезные последствия. В прошлом году 79% респондентов столкнулись хотя бы с одним инцидентом мобильной безопасности.
Поддержка множества различных мобильных устройств, тысячи неконтролируемых приложений, удаленная работа, размывание границ корпоративной сети и облачные сервисы, управляемые внешними провайдерами, — все это усложняет задачи обеспечения ИБ настолько, что аналитики не исключают даже спада интереса к BYOD. Целесообразность внедрения BYOD зависит от способности компаний обеспечить безопасность и контроль доступа к корпоративным ресурсам не только из офиса, но и из любой точки, где может находиться сотрудник. Наконец, хотя модель BYOD позволяет компаниям сократить затраты на покупку оборудования, стоимость обслуживания ИТ увеличивается.
В марте Oracle опубликовала отчет «Oracle European BYOD Index Report», раскрывающий отношение представителей бизнеса в Европе к концепции BYOD. По данным исследования, 44% компаний не одобряют эту концепцию или допускают ее применение лишь в исключительных обстоятельствах. В 29% организаций устройства BYOD используются только руководителями, в 22% категорически запрещено размещение корпоративной информации на устройствах BYOD, а в 20% не принято никаких правил. Более половины предприятий не управляют смартфонами в рамках BYOD.
Безопасность информации — самая серьезная проблема BYOD. По данным Oracle, респонденты обеспокоены защитой устройств (45%), приложений (53%) и данных (63%). Однако многие из этих опасений связаны с недостаточной осведомленностью о возможностях современных решений: 37% опрошенных никогда не слышали о контейнеризации (разделении корпоративных и персональных данных), почти треть не используют технологии для управления мобильными устройствами (Mobile Device Management, MDM), 22% не знакомы с технологиями управления мобильными приложениями (Mobile Application Management, MAM). Проблема обеспечения безопасности заставляет многие организации по всей Европе отказываться от BYOD. В то же время лишь 21% сторонников BYOD серьезно беспокоит защита информации. Они хорошо осведомлены о доступных технологиях — например, около 80% используют какие-либо средства управления мобильными приложениями, и лишь 7% не управляют защитой данных либо хранят их на устройствах в незашифрованном виде.
Как отмечает Виктор Ивановский, заместитель руководителя направления инфраструктурных решений ИБ компании Softline, в России регламенты построения мобильной инфраструктуры — редкое явление. В основном все полагаются на личный опыт сотрудников и их представление о безопасности и рисках. Иногда компании пытаются ориентироваться на стандарты построения систем управления ИБ, поскольку соответствующие нормы для мобильного сектора отсутствуют. В «Билайне» барьерами на пути к реализации «корпоративной мобильности» считают большое разнообразие устройств и ПО, быструю эволюцию устройств, при этом отмечается, что использование приложений в личных целях создает риски утечки данных и утраты корпоративной информации.
IDC рекомендует применять централизованные системы управления ИБ, решения MDM (см. врезку «MDM как основа корпоративной мобильности»), рассмотреть возможность развертывания систем управления доступом (Identity and Access Management, IAM), в том числе сетевым (Network Access Control, NAC), и шифрования на клиентских устройствах. В условиях размытого периметра нужна грамотная сегментация сети. В крупных организациях возрастает роль решений управления событиями безопасности (Security Information and Event Management, SIEM), предотвращения утечки данных (Data Leak Prevention, DLP), межсетевых экранов нового поколения (NGFW) с идентификацией пользователей, приложений и контролем данных. Использование VPN обеспечит защищенное подключение к сети организации.
MDM как основа «корпоративной мобильности»
«Корпоративная мобильность» складывается из многих решений, и одним из основных является MDM. Эта система управления позволяет контролировать локальные приложения на устройствах, предоставлять надежную парольную защиту устройства и т. п. Она реализует такие функции, как удаленное обновление правил безопасности, распространение приложений и данных, а также управление конфигурацией. Решения MDM обеспечивают удаление данных с устройства в случае его потери или кражи, шифрование встроенной памяти и карт хранения данных, создание защищенных контейнеров для данных приложений. Однако это не дает 100-процентной гарантии от взлома устройства, случайной утечки данных или от действий инсайдеров.
Решения MDM рассчитаны на определенный сегмент компаний, решающих задачи обеспечения ИБ мобильных устройств. Однако потенциальные клиенты зачастую не информированы о современных технических и программных средствах, а также возможностях MDM. Кроме того, как считает Виктор Ивановский, заместитель руководителя направления инфраструктурных решений ИБ компании Softline, из-за того, что на рынке не сформировалось серьезных историй успеха, выбор решений MDM определяется случайными факторами. Каждая компания фактически самостоятельно проводит тестирование и пробует разные варианты использования MDM. В результате этот процесс затягивается, а компании, даже использующие мобильные технологии, фактически не управляют своей инфраструктурой.
Очень многое зависит от отраслевого сегмента и требований к безопасности. «MDM — это серьезная система со своей логикой, и работе с ней нужно обучаться. А поскольку новые версии ОС выходят очень быстро, она требует постоянного обновления, — говорит Игорь Воробьев, руководитель портфеля дополнительных услуг компании «Билайн». — При выборе решения MDM очень важным фактором является наличие русскоязычной поддержки. Ведущие решения MDM схожи по функциональным возможностям, однако лишь немногие вендоры готовы общаться с клиентами в России».
В «Билайне» процесс выбора и внедрения MDM занял около года. Это решение стало основой для развертывания облачного сервиса на базе системы SAP. «Сейчас мы предоставляем первый в России полноценный облачный сервис MDM», — подчеркивает Игорь Воробьев. Услуга MDM позволяет управлять планшетами и смартфонами из Web-интерфейса: настраивать устройства (пароли, почту, контакты, сертификаты, доступ в корпоративную сеть), устанавливать и контролировать приложения (черный и белый списки), вести статистику по устройствам и приложениям, управлять политикой безопасности (например, блокировать камеру), удалять данные. Однако перечень доступных функций различен для разных мобильных платформ.
Особенности продукта «Билайн MDM» — моментальное подключение сервиса (не требуется устанавливать оборудование или ПО), оплата «за использование», единый интерфейс управления смартфонами и планшетами всех популярных ОС, более 70 политик безопасности. По данным оператора, каждый день это решение подключает для себя еще одна компания. Лидеры — строительная отрасль, ИТ и энергетика. Сервис «Билайна» будет обходиться в 200 руб. в месяц за одно устройство, сейчас, пока он находится в опытной эксплуатации, им можно пользоваться бесплатно.
При выборе решения MDM в первую очередь надо обратить внимание на то, в какой мере система соответствует стратегическим целям компании и не мешает ли нововведение исполнению ключевых бизнес-процессов, считает Андрей Данкевич, менеджер по продуктовому маркетингу InfoWatch. Если есть возможность интегрировать MDM с другими корпоративными системами, особенно в части управления пользователями и генерации отчетности, процесс его эксплуатации будет проще. Что касается безопасности, то не лишними будут такие функции, как управление установкой приложений на мобильные устройства по принципу белых и черных списков или наличие собственного корпоративного магазина приложений. Возможность разделения персональной и корпоративной частей интерфейса мобильного устройства упрощает интеграцию решения в корпоративную ИТ-инфраструктуру и повышает уровень безопасности при работе с конфиденциальными данными.
Системы класса MDM не могут решить всех проблем, связанных с BYOD и управлением различными аспектами корпоративной мобильности, но позволяют достичь максимальной эффективности в применении устройств, считают в компании Digital Design. Они позволяют точечно воздействовать на все факторы эксплуатации парка мобильных устройств и приложений, включая распространение приложений и управление их настройками, передачу ключевой информации для шифрования данных, централизованное ведение журналов и диагностику. Решения, предоставляющие указанные функции, а также инструменты поддержки разработчиков постепенно появляются на рынке и уже сейчас могут быть использованы для эффективного управления мобильными устройствами.
Аналитики Gartner относят к лидерам рынка MDM компании MobilеIron, Airwatch (VMware), Fiberlink, Zenprize и Good Technology. Известность получили уже более десятка вендоров таких решений.
Особую роль приобретает защита мобильных устройств от вредоносных программ. Компания McAfee в 2013 году собрала 2,47 млн новых образцов таких программ для мобильных устройств. На конец прошлого года их насчитывалось уже 3,73 млн, что на 197% больше, чем к концу 2012 года (см. Рисунок 1). Вредоносные программы могут попасть на мобильное устройство в результате загрузки приложений, посещения вредоносных Web-сайтов, получения спама и SMS, загрузки рекламных баннеров. Все большее распространение получают мобильные приложения для сбора пользовательских данных и телеметрической информации о мобильном устройстве.
.png "Рисунок 1. Общее количество вредоносных программ для мобильных платформ (по данным McAfee).") |
| Рисунок 1. Общее количество вредоносных программ для мобильных платформ (по данным McAfee). |
Программа, установленная на телефоне генерального директора компании и отслеживающая местонахождение, может на самом деле оказаться шпионом, предоставляющим информацию конкурентам, поставщикам, финансовым аналитикам, шантажистам и даже тем, кто собирается причинить физический вред. McAfee (Intel Security Group) ведет базу данных о репутации мобильных приложений, а для защиты наиболее уязвимых мобильных платформ на базе Android выпущен бесплатный антивирус.
«Для каждой компании стратегия должна учитывать ее специфику, но пару особенностей стоит выделить, — подчеркивает Михаил Кондрашин, технический директор компании Trend Micro в России, Украине и Белоруссии. — Прежде всего, не стоит делать вид, что проблем BYOD можно избежать. Офисные сотрудники и, что очень важно, руководители, используют для работы те устройства, которыми, несмотря на предписания, наиболее удобно пользоваться в данной конкретной ситуации. Кроме того, «стратегия BYOD» — это погоня за постоянно удаляющейся целью, поэтому нет возможности определить фронт работ и реализовать все контрмеры. Спектр устройств будет постоянно расширяться, а пользователи станут изыскивать способы применять личные устройства для выполнения своих должностных обязанностей». Что же заставляет организации идти на риск?
ПРЕИМУЩЕСТВА BYOD
В отчете «Oracle European BYOD Index» утверждается, что в организациях, внедряющих BYOD, сокращаются ИТ-затраты и повышается эффективность работы пользователей. В настоящее время существуют решения, предлагающие средства контроля безопасности для корпоративных и персональных устройств. С их помощью организации могут гибко определять права доступа к корпоративной информации, осуществлять более детальный контроль благодаря изоляции корпоративных и персональных данных, предоставлять защищенный доступ к корпоративным приложениям и управление данными.
В Oracle считают, что сторонники концепции BYOD в состоянии справиться со многими проблемами обеспечения безопасности и готовы к дальнейшему развитию этой концепции. Такие технологии, как контейнеризация, шифрование и управление устройствами и приложениями, интегрированные с единым корпоративным хранилищем идентификационной информации, способны защитить среды BYOD.
«Мобилизация» бизнеса предоставляет преимущества всем организациям, вне зависимости от их размера и отраслевой специфики, уверены в Softline. Количество компаний, уже оценивших выгоды от мобильности сотрудников, продолжает увеличиваться. Удаленный доступ ко всем корпоративным ресурсам (почте, программам «1С», порталу, СRM- и ERP-системам и т. д.) с личного или рабочего ноутбука, планшета или смартфона становится нормой в современной организации. Это требует выстраивания жизненного цикла использования мобильных устройств, регламентирующего все процессы — от инвентаризации до удаленной технической поддержки.
Наряду с BYOD появились и более гибкие варианты применения мобильных устройств в корпоративной среде. Поскольку многие компании с неохотой разрешают использование мобильных устройств, да и пользователи не всегда горят желанием применять свои смартфоны или планшеты в рабочих целях, компании иногда предоставляют сотрудникам устройство по их выбору с уже оформленным договором на оказание услуг связи. Такая модель получила название «выбери свое устройство» (Choose Your Own Device, CYOD). Иногда это мобильное устройство разрешается использовать в личных целях (Corporate Owned, Personally Enabled, COPE), при этом сотрудникам раздают одинаковые мобильные устройства с установленным на них стандартным ПО. Модели COPE и BYOD рассчитаны на разные группы пользователей, могут применяться одновременно и, таким образом, помогают стандартизировать управление и обеспечение безопасности.
«Для снижения рисков, связанных с BYOD, в периметр безопасности компании следует включить мобильные устройства по аналогии с тем, как контролируются сейчас рабочие станции и серверы, — комментирует Андрей Данкевич, менеджер по продуктовому маркетингу компании InfoWatch. — Проблема в том, что число моделей смартфонов и версий мобильных ОС очень велико. Таким образом, если сотрудникам разрешается работать с корпоративной информацией со своих устройств, то на них необходимо принудительно установить системы обеспечения ИБ для соответствующего варианта операционных систем и моделей смартфонов, что на практике случается редко. Выходом может стать предоставление сотрудникам ограниченного числа корпоративных мобильных устройств на единой платформе. При массовой закупке они обойдутся относительно недорого, а схема управления ими будет понятна и прозрачна. Да и с юридической точки зрения гораздо проще управлять устройством, являющимся собственностью предприятия».
РЕШЕНИЯ BYOD
Системные интеграторы постепенно накапливают опыт создания комплексных решений для обеспечения корпоративной мобильности, настройки и адаптации таких продуктов под существующую инфраструктуру заказчиков и сценарии использования, технической поддержки и обучения сотрудников ИТ-департаментов. При необходимости разрабатываются специализированные продукты и приложения.
Softline использует в таких проектах системы управления мобильными устройствами (MDM) и приложениями (MAM). В сочетании с корпоративными средствами защиты данных они способны обеспечивать требуемый уровень безопасности, причем функции MAM вендоры все чаще включают в MDM.
Существующие решения BYOD гарантируют разграничение личной и рабочей среды, использование защищенных коммуникационных каналов, стандартизацию и применение политики безопасности. В случае утери устройства предусмотрены средства удаления с него корпоративных данных. Для реализации особых мер защиты, например обеспечения безопасности персональных данных, разработаны сертифицированные решения.
В случае BYOD обычно приходится иметь дело с мультивендорной средой. Удобный вариант — развертывание на всех клиентах Citrix XenMobile с технологией контейнеризации и возможностями управления политикой безопасности. «Этого хватит, чтобы обеспечить руководителям компании требуемый уровень технической поддержки и базовую защиту данных на устройствах. Далее с помощью Citrix XenMobile на мобильные устройства сотрудников доставляются программные агенты. Такая методика позволяет привести имеющуюся у клиента инфраструктуру в соответствие с регламентами ИБ не прибегая к значительным затратам», — рассказывает Виктор Ивановский.
Для демонстрации концепций BYOD и COPE компания Softline развернула несколько стендов, на которых заказчики могут опробовать решения Citrix XenMobile (см. Рисунок 2), MobileIron и SOTI Mobile Control. Они предоставляются на определенное время в безвозмездную аренду. Для демонстрации решений используются стенды SafePhone, VMware AirWatch и Symantec MDM.
.png "Рисунок 2. Citrix предлагает два варианта XenMobile: пакет MDM и полную платформу управления мобильными приложениями (Mobile Solutions Bundle) с VPN, SSO и политиками доступа.") |
| Рисунок 2. Citrix предлагает два варианта XenMobile: пакет MDM и полную платформу управления мобильными приложениями (Mobile Solutions Bundle) с VPN, SSO и политиками доступа. |
Компания Samsung для обеспечения безопасности своих планшетов и смартфонов разработала защищенный контейнер KNOX для приложений (см. Рисунок 3). Уже появилась вторая версия KNOX, не требующая «завертывать» приложения (wrapping). В ней реализованы поддержка контейнеров сторонних производителей, контроль целостности ядра в реальном времени, защищенное хранилище ключей TrustZone и управление сертификатами, а кроме того, обеспечивается совместимость с SSL VPN от F5, Cisco и Juniper, IPSec VPN от Mocana, SSO Kerberos и Centrify. В лицензию KNOX входит облачный сервис MDM компании Samsung.
.png "Рисунок 3. Решение Samsung KNOX обеспечивает трехуровневую аппаратную защиту данных и отвечает требованиям безопасности данных, содержащихся в инструкции Security Requirements Guide (SRC) для мобильных ОС. Customizable Secure Boot (CSB) — первая линия защиты, обеспечивающая загрузку только сертифицированных ОС и приложений. TrustZone-based Integrity Measurement Architecture (TIMA) защищает, контролирует и проверяет целостность ядра и отсутствие нарушений в процессе загрузки. Security Enhancements for Android (SE for Android) — встроенная в Android технология безопасности для изоляции приложений и данных в разных доменах с использованием концепции конфиденциальности") |
| Рисунок 3. Решение Samsung KNOX обеспечивает трехуровневую аппаратную защиту данных и отвечает требованиям безопасности данных, содержащихся в инструкции Security Requirements Guide (SRC) для мобильных ОС. Customizable Secure Boot (CSB) — первая линия защиты, обеспечивающая загрузку только сертифицированных ОС и приложений. TrustZone-based Integrity Measurement Architecture (TIMA) защищает, контролирует и проверяет целостность ядра и отсутствие нарушений в процессе загрузки. Security Enhancements for Android (SE for Android) — встроенная в Android технология безопасности для изоляции приложений и данных в разных доменах с использованием концепции конфиденциальности |
«Из всех возможных подходов к BYOD самый инновационный — виртуализация мобильных приложений с размещением их в ЦОД и предоставлением защищенного удаленного доступа к ним с любых мобильных платформ», — считает Михаил Кондрашин.
.png "Рисунок 4. Для работы на планшете, смартфоне, ноутбуке или ПК пользователям достаточно иметь один токен Secure MicroSD со строгой двухфакторной аутентификацией и подсоединить его через переходник к порту USB или к слоту для карты памяти SD. Подключиться к системе или сервису компании сможет только тот, кто обладает им и знает PIN-код.") |
| Рисунок 4. Для работы на планшете, смартфоне, ноутбуке или ПК пользователям достаточно иметь один токен Secure MicroSD со строгой двухфакторной аутентификацией и подсоединить его через переходник к порту USB или к слоту для карты памяти SD. Подключиться к системе или сервису компании сможет только тот, кто обладает им и знает PIN-код. |
Важная роль отводится аутентификации пользователей. В конце прошлого года российская компания «Аладдин Р.Д.» представила новую линейку смарт-карт, USB- и Secure MicroSD-токенов JaCarta для строгой аутентификации, электронной подписи и безопасного хранения ключей и цифровых сертификатов (см. Рисунок 4). Она включает в себя продукты серии JaCarta PKI для применения в корпоративных и государственных системах и JaCarta ГОСТ для обеспечения юридической значимости действий пользователей при работе в различных электронных сервисах. На продуктах линейки JaCarta строятся все новые решения компании, в том числе для мобильных платформ, Web-порталов и облачных сервисов.
В JaCarta обеспечиваются строгая двух- и трехфакторная аутентификация, усиленная квалифицированная электронная подпись и защита от угроз недоверенной среды. JaCarta поддерживается на всех современных мобильных платформах — Apple iOS, Android, Linux, Mac OS. Использование смарт-карт и токенов способствует упорядочению технологий и механизмов защиты информации для всего многообразия устройств, считают в компании «Аладдин Р.Д.».
Применение электронной подписи в решении JC-Mobile позволяет организовать безопасный доступ к системам и сервисам компании с мобильных устройств и гарантирует подлинность подписанных документов. На мобильных устройствах будут доступны такие функции, как строгая взаимная двухфакторная аутентификация, формирование усиленной квалифицированной электронной подписи, безопасное хранение ключей и цифровых сертификатов на отчуждаемом модуле безопасности (смарт-карте или токене Secure MicroSD). С помощью JC-Mobile можно предоставить сотрудникам, партнерам и клиентам безопасный доступ к сервисам компании — корпоративной почте, корпоративным ресурсам и системам внутри компании.
Для создания полноценного и эффективного решения по предотвращению утечек данных с мобильных устройств системы MDM должны взаимодействовать с резидентными системами DLP, уверены в компании DeviceLock. Специализированные решения DLP помогают выявить важные для бизнеса данные и определить правила работы, хранения и передачи информации за пределы компании. Технологии DLP полезны, когда требуется быстро интегрировать персональные мобильные устройства в бизнес-процессы предприятия, однако для этого необходимо четко выделить критичные для организации данные и политику доступа к ним, определить правила хранения, перемещения и передачи, а также использования данных (см. Рисунок 5).
.png "Рисунок 5. Эффективная защита от утечек данных предполагает контроль на разных уровнях и разными методами (как основанными на контексте данных, так и на анализе содержимого файлов и данных) в сочетании с избирательностью применения технологий контроля для широкого спектра потенциальных каналов утечки данных.") |
| Рисунок 5. Эффективная защита от утечек данных предполагает контроль на разных уровнях и разными методами (как основанными на контексте данных, так и на анализе содержимого файлов и данных) в сочетании с избирательностью применения технологий контроля для широкого спектра потенциальных каналов утечки данных. |
В DeviceLock считают, что всеобъемлющая и оптимальная стратегия безопасности BYOD должна включать в себя MDM, DLP, VPN и средства виртуализации, например Citrix (см. Рисунок 6). Причем, в представлении компании, DLP — это система, интегрированная в виртуальную среду Windows и обеспечивающая контроль доступных каналов передачи данных для предотвращения утечек данных с устройства BYOD.
.png "Рисунок 6. Архитектура BYOD от Citrix.") |
| Рисунок 6. Архитектура BYOD от Citrix. |
Сложность или простота последующей поддержки мобильных систем всецело зависит от правильности архитектурных решений, принятых на этапе проектирования, уверен Александр Сидорук, начальник отдела разработки центра мобильных технологий компании Digital Design. Как правило, соответствующие вопросы затрагивают два аспекта: технологическую платформу мобильного приложения и корпоративный мобильный шлюз. Эти решения принимаются исходя из целей и приоритетов ИТ-подразделения. Они могут отличаться эргономикой для конечного пользователя и стоимостью первичной разработки.
Корпоративные мобильные шлюзы позволяют централизованно управлять парком мобильных приложений и их трафиком, помогают диагностировать и устранять аварийные ситуации, что в условиях удаленности пользователей крайне важно. Сейчас существует множество разновидностей программных продуктов такого класса.
РЕЦЕПТЫ BYOD
Каждое решение класса MDM, IAM или NAC эффективно в своей достаточно узкой нише. При отсутствии продукта с более широкой функциональностью их лучше использовать в комплексе, подчеркивает Андрей Данкевич. «Ни одно из семейств продуктов не решает «проблемы BYOD», поскольку сложность заключается не в появлении новой платформы, для которой требуется обеспечить контроль, управление и безопасность, а в том, что подразделения ИТ/ИБ не могут контролировать часть информационной системы, — считает Михаил Кондрашин. — Если же риски использования мобильных устройств рассматривать в разрезе применения технических контрмер, то в первую очередь надо обратить внимание на решения, ориентированные на безопасность, а не на управление. Причина в том, что угрозы развиваются стремительно, поэтому только поставщик, специализирующийся на защите информации, сможет дать надежду на то, что появляющиеся виды угроз будут отражены. Кроме того, практика показывает, что крайне непросто развернуть несколько средств безопасности на персональных устройствах, поэтому стоит выбрать одно, наличие которого и будет «пропуском в сеть» для каждого сотрудника. Это самый прагматичный подход к BYOD».
По мнению Алексея Александрова, руководителя направления по работе с технологическими партнерами компании «Аладдин Р.Д.», в BYOD необходимо сбалансированно совмещать организационные и технические меры — проводить обучение сотрудников, использовать различные системы класса MDM и др. Нужна комбинация средств, но набор решений будет зависеть от того, как и какую конфиденциальную информацию обрабатывает мобильный пользователь на своем устройстве. Речь идет о централизованном управлении парком устройств в организации,
об использовании решений для ограничения доступа к данным на устройстве (при его краже или утере), шифрования передаваемых данных (при работе по открытым каналам связи), обеспечения доверия к созданным на нем документам и произведенным операциям (благодаря строгой аутентификации и электронной подписи).
Стратегия BYOD зависит от множества факторов и внутренних корпоративных правил, но, обобщая накопленный опыт, можно говорить о необходимости разделения личного и рабочего пространства на мобильном устройстве, поясняют в компании Digital Design. Такая стратегия позволит сохранить удобство и эргономику мобильных устройств, используемых для личных целей, и обеспечить защиту корпоративных данных. Благодаря данному подходу можно добиться повышения производительности труда сотрудников за счет удаленной, но комфортной работы. Однако не все мобильные платформы позволяют организовать такой подход без применения специализированных программных и инструментальных средств.
Различные технологии управления и обеспечения безопасности реализуют концепции BYOD в разной степени. В первую очередь следует определить, какую цель преследуют ИТ-подразделения, желающие внедрить в своих организациях BYOD, и исходя из этого выбрать необходимые инструментальные средства. Как правило, прежде всего надо позаботиться о защите корпоративных данных, обрабатываемых в связке мобильное устройство — бизнес-системы: речь идет о множестве компонентов, включая каналы связи, хранилище данных на мобильном устройстве, подсистемы аутентификации/авторизации и даже сами бизнес-системы.
К сожалению, единого рецепта для BYOD нет. Решить данную задачу позволит только комплексный подход с применением большого количества инструментов и организационно-технических мер, который обеспечит конфиденциальность и целостность обрабатываемых данных.
Сергей Орлов — ведущий редактор «Журнала сетевых решений/LAN». С ним можно связаться по адресу: sorlov@lanmag.ru.