Принципы корпоративной защиты iPad

Принципы корпоративной защиты iPad

iPad и другие планшетники значительно повышают продуктивность работы предприятия, но в то же время они создают некоторые достаточно большие проблемы, связанные с безопасностью.

Автор: Jeff Goldman

В то время как iPad’ы продолжают прокладывать себе путь в организации, проблема безопасности планшетников также растет. Недавнее исследование, проведенное компанией Context Information Security, показало, что iPad угрожающе уязвим к jailbreak-атакам, и что без строгой парольной политики шифрование диска неэффективно.

В докладе, озаглавленном “Планшетник на предприятии - это горькая пилюля?”[PDF], главный консультант компании Context Information Security Джонатан Роач (Jonathan Roach) предложил несколько простых способов того, как улучшить безопасность iPad в корпоративной среде. Среди всего прочего Джонатан советует своевременно обновлять прошивку, обязывать пользователей устанавливать буквенно-цифровые пароли длиной не менее 8 символов и через политики устройства запрещать подключения к iTunes.

Несмотря на то, что вышеперечисленные советы весьма очевидны, Эндрю Борг (Andrew Borg) – директор по развитию мобильных технологии на предприятии из компании Aberdeen Group – говорит, что более 50% американских компании-респондентов не хотят ничего менять в сложившейся инфраструктуре планшетных компьютеров (“и так сойдет”).

“Такое попустительское отношение означает, что в компании не соблюдаются политики безопасности, должного контроля над устройствами нет, и безопасность компании подвержена значительному риску”, – утверждает Борг.

Оценка рисков безопасности, связанных с iPad

Во многих случаях, говорит Борг, планшетники представляют для предприятия большую опасность, чем смартфоны, поскольку планшетники чаще, чем смартфоны интегрируются с корпоративными источниками данных. “Конфиденциальная информация вероятнее всего будет храниться на планшетниках… и тот факт, что предприятия не контролируют устройства должным образом, вызывает беспокойство”, – продолжает Борг.

Недавно специально для исследования Aberdeen выбрала 13 законодательных актов и норм, затрагивающих деятельность наибольшего числа компаний. Затем у компаний-респондентов просили оценить максимальный финансовый риск, с которым столкнется организация после единичного нарушения такого закона или после потери/кражи устройства. “В среднем, компании теряли в лучшем случае около $10.600 от единственного нарушения нормативных требований, – говорит Борг. – В худшем случае, убытки составили чуть больше $491.600. И это от единственного нарушения.”

В результате, компания Aberdeen рекомендует использовать планшетники в соответствии с передовой практикой, но Борг также добавляет, что важно привести в порядок и сопутствующие системы.

“Передовые практики затрагивают не только управление мобильными устройствами, но и так называемое управление корпоративной мобильной средой, которое сосредоточено на мобильной экосистеме в целом, – говорит он. – Управление корпоративной мобильной средой включает в себя закупку, внедрение, поддержку, безопасность, управление контентом, предотвращение потери данных, списание и утилизацию мобильных устройств.”

Развертывание MDM-решения

Основная проблема внедрения систем управления корпоративной мобильной средой проистекает из того факта, что инициатива здесь обычно принадлежит не IT-отделу. “Необходимость в подобных системах, как правило, возникает из потребностей самого бизнеса, – говорит Борг. – Руководитель забирает одно устройство на праздники, затем возвращает его и говорит: “Отличная вещь, заметно повышает продуктивность. Дайте такую же каждому из отдела продаж.”… И вот IT-отдел бегает, как белка в колесе, пытаясь хоть как-нибудь защитить организацию и ее активы, не обладая дополнительным бюджетом и ресурсами.”

И поэтому, при внедрении систем управления мобильными устройствами (Mobile Device Management - MDM) и систем управления корпоративной мобильной средой (Enterprise Mobility Management - EMM) лучше использовать метод кнута и пряника. “Кормить одними пряниками, то есть говорить, что все легко и просто, все время поглаживать по головке, не следует, но и постоянно бить кнутом и настаивать на тотальном контроле тоже не стоит, – поясняет Борг. – Здесь нужно равновесие.”

Во многих случаях, говорит Борг, электронная почта – идеальная морковка. “Если вы хотите получать доступ к электронной почте, то ваше устройство должно удовлетворять нашим политикам… Электронная почта в некотором роде “наркотик” для мобильных пользователей, – сравнивает Борг. – Получив доступ к e-mail, вы рано или поздно получите доступ к любой информации. Так что следование принципу кнута и пряника (если хочешь что-то, то сделай так) в действительности делает жизнь намного проще.

Выбор MDM-провайдера

При выборе провайдера систем корпоративного управления мобильными устройствами или систем управления корпоративной мобильной средой Борг советует помнить о пяти основных способах развертывания MDM-решения:
  • MDM развернута внутри организации и управляется организацией;
  • MDM развернута внутри организации, но управляется третьей стороной;
  • MDM развернута у третьей стороны, но организация может управлять системой удаленно;
  • MDM развернута и управляется третьей стороной;
  • MDM развернута в облаке и организация пользуется ей, как сервисом.

Если компания уже отдает предпочтение одной из вышеперечисленных моделей, то выбор конкретного провайдера пройдет быстрее и проще. “К примеру, не каждый вендор может предложить облачный сервис, – говорит Борг. – И не каждый вендор имеет полностью управляемый сервис… Так что когда вам придется выбирать EMM-провайдера из большого числа вариантов, то сузить выбор поможет точное знание, какая именно модель больше всего подходит именно для вашей организации.”

Борг утверждает, что многие IT-отделы уже прошли через процесс принятия решения. “Хорошо то, что проблема выбора не нова для IT-отделов, – уверяет Борг. – С чем-то подобным мы сталкивались на заре клиент-серверных вычислений…где именно разместить программы, и как именно давать к ним доступ? И поскольку подобная проблема уже решалась, то и соответствующие политики в организации уже могут быть разработаны.”

Гибридная BYOD[1]-модель

Для управления рисками, возникающими из-за использования iPad’ов и других планшетников, Борг предлагает радикальное на первый взгляд решение. “Что я предлагаю компаниям, так это вернуться к централизованной выдаче планшетников, – говорит он. – Бессмысленно думать, что поскольку BYOD – это политика для смартфонов, то и с планшетниками нужно следовать этой же политике. Нам кажется, что планшетники – это возможная альтернатива ноутбуку, но не смартфону.”

Но это не означает, что сотрудники не могут хранить персональную информацию на планшетниках, говорит Борг. “Хранение пользовательских данных вполне допустимо до тех пор, пока устройство управляется должным образом, согласно политикам организации… Но если организация не в состоянии настроить устройство в соответствие с политиками, то вот тут и начинают возникать проблемы, – предупреждает Борг. – А с BYOD-моделью всё усложняется еще сильнее.”

Так что гибридная модель – неплохое решение. В качестве примера Борг приводит одно медицинское учреждение, в котором сотрудникам разрешено пользоваться собственными устройствами, при условии, что устройства предварительно сконфигурированы организацией. “Сотрудники покупают устройства и являются их владельцами, но получат они устройства только после того, как организация произведет соответствующую настройку, – поясняет Борг. – Сотрудники что угодно могут делать с устройствами, но теперь организация уверена, что корпоративные данные под надежной защитой.”

Защита приложений

По словам директора по исследованиям компании Gartner Эрика Альма (Eric Ahlm) к проблеме управления безопасностью iPad можно подойти с другой стороны: нужно сфокусироваться на защите приложений и данных, нежели на защите самого устройства.

“Если я не могу защитить устройство на нужном мне уровне, то могу ли я, по крайней мере, воздвигнуть более высокую защиту вокруг важного для меня контента? Именно такой подход исследует наша компания, и мы активно предлагает его нашим клиентам,”– говорит Альм.

В зависимости от вендора подобные технологии называются защитой мобильных приложений, либо расширенной защитой приложений. “Я могу взять хорошо написанное приложение, которое с точки зрения безопасности незащищено, и методами информационных технологии (не модифицируя самих приложений) добавить дополнительный уровень защиты, а затем применять к приложению любые политики: установить пароль только для приложения, зашифровать одно лишь приложение или при потере устройства стереть только приложение, но не всё устройство,” – пояснил Альм.

Превосходное решение, особенно для iPad в BYOD-среде. “Поскольку я ставлю защиту на приложение, то я могу контролировать, что происходит с приложением, даже когда контроля над защитой устройства у меня нет, – говорит Альм. – Так что принцип добавления дополнительного уровня защиты к приложению играет большую роль в мире персональных устройств… Защита приложений дает именно такой уровень безопасности, который необходим организации, и при этом не оказывает отрицательного влияния на персональное устройство или на возможности пользователя.

Нужный уровень контроля

При выборе MDM-провайдера Альм советует предварительно решить, какой именно уровень контроля вам нужен.

“Нужны ли вам массивные и богатые опциями системы управления мобильными устройствами? Возможно, и нужны, особенно если владеет устройствами компания и требования к безопасности высоки, – говорит он.– Если же ваша компания средних размеров, и у вас разработана гибкая политика управления мобильными устройствами, то подойдет и более простая MDM-система. Еще одна крайность – это если устройство принадлежит исключительно вам; в таком случае я бы искал MDM с минимальным функционалом, либо вообще обошелся без MDM и просто добавил бы дополнительный уровень защиты вокруг моих приложений.”
GoodLife Team – это еще одна компания, которая не любит всё усложнять. Кристина Вайз (Krisstina Wise) – основатель и президент техасской фирмы по торговле недвижимостью – практически сразу после покупки устройства поняла, что iPad может стать идеальным инструментом для агентов по торговле недвижимостью, работающих на выезде. “Мы очень мобильны, и iPad сильно упрощает нам жизнь, – утверждает Кристина. – Он позволяет мне взаимодействовать с людьми без необходимости возвращаться в офис, также повышается и качество работы, поскольку бумаг теперь значительно меньше.”

В недавнем времени Вайз попросила от всей своей команды по продажам (примерно 15 человек) закупиться iPad’ами и использовать их в работе. Вначале она встретила некоторое сопротивление нововведению со стороны сотрудников, но все-таки Вайз соглашается, что использование iPad оказало чрезвычайно положительное влияние на работу компании в целом. “Благодаря iPad мои агенты предоставляют клиентам больше возможностей, лучше работают… и сейчас мы даже проводим тренинги и делимся опытом с другими агентами по всей стране,” – утверждает Вайз.

Поскольку все агенты фирмы – независимые подрядчики и купили они свои iPad’ы сами, то, говорит Вайз, во внедрении MDM-решения не было необходимости. Вместо MDM, сотрудники просто используют приложения типа Evernote и Cartavi для безопасного хранения и обмена важной информацией. “Все протоколы безопасности у нас под рукой… Так что мой совет: работать с компаниями или приложениями, которые совершенно очевидно заинтересованы в защите данных,” – говорит она.

Практика внедрения iPad в больших компаниях

Но для крупных предприятий, скорее всего, такого простого подхода будет недостаточно. В штате ADT – компании, занимающейся продажей систем безопасности – в настоящее время находится более 4500 торговых представителей с iPad’ами. Вице-президент компании Джозеф О’Коннел (Joseph O’Connel) говорит, что устройство прекрасно поддерживает CRM-системы[2] и позволяет торговым представителям демонстрировать клиентам функционал ADT Pulse, программного продукта компании.

О’Коннел утверждает, что компания активно думает над тем, как можно расширить область использования планшетников для продавцов; наряду с другими возможностями компания планирует добавить возможность электронных заказов и электронного расписания. “Мы бы хотели использовать возможности устройства по полной: назначать встречи, управлять встречами, показывать презентации, заключать сделки, принимать заказы, составлять расписания. Таким мы видим устройство: выкладывающимся на все 100%.”

Но Натали МакДональд (Natalie MacDonald) – директор по информационным технологиям в ADT – говорит, что попутно с внедрением iPad в компании, немедленно дают о себе знать несколько проблем. “Устройства сами по себе очень заманчивы, и мы знаем, что, скорее всего, их часто будут пытаться украсть, – говорит она. – Поэтому мы хотим убедиться, что наши торговые представители обращаются с устройствами с должной осторожностью.“

МакДональд также говорит, что нужно будет с нуля разработать несколько внутренних организационных процессов. “Нам нужно управлять всей логистикой закупок, распределения и возвращения устройств. Нам необходимо воздвигнуть полный логистический процесс вокруг iPad, а с подобной задачей мы никогда раньше не сталкивались… Дабы не тратить время на ожидание заказа, мы хотим, чтобы устройства всегда были на складе, чтобы мы могли всегда стереть с них данные, как с персонального компьютера, а затем доставить и выдать их другим сотрудникам, которые работают на выезде,” – говорит она.

Для управления логистикой компания работала с Dell. “Они построили отдельный склад для хранения планшетников, управляли инфраструктурой планшетников вместо нас: осуществляли поставку, восполнение и ремонт… Для обслуживания использовались внутренние ресурсы компании, с тем лишь отличием, что Dell выступал в качестве партнера и дополнял нашу обычную службу поддержки,” – объясняет МакДональд.

Выбор подходящей MDM-системы

После рассмотрения нескольких возможных MDM-решении для iPad, говорит МакДональд, ADT остановились на MobileIron. “MobileIron позволяет делать некоторые полезные вещи, например, создавать каталог рекомендуемых и подконтрольных приложений, – продолжает она. – Мы создаем такой каталог, а затем заносим в черный список те приложения, которые мы не хотели бы видеть у сотрудников. В противоположность парадигме “запрещено все, что не разрешено”, мы хотим оставить нашим сотрудникам свободу действий, поскольку такой подход мотивирует сильнее… Свобода действий также способствует появлению новых идей и взаимопомощи, поскольку сотрудники теперь находят новые приложения и делятся опытом.”

При выборе MDM-провайдера МакДональд советует остановиться на той компании, предложения которой удовлетворяли бы вашим нуждам. ”Не всегда провайдеры могут предложить то, что нам нужно… Когда-то мы работали с другим провайдером, но он не мог предложить нам возможности подключения к корпоративной электронной почте, что со временем нам понадобилось, – объясняет МакДональд. – Прошлая компания только разрабатывала такую возможность, а в MobileIron она была уже реализована… Это простая рыночная конкуренция, у всех провайдеров так или иначе что-то недоработано. Причина в том, что рынок и само устройство находится лишь в стадии развития.”

Что касается физической защиты, говорит МакДональд, то ADT значительно больше беспокоится о предотвращении потери данных, нежели о потере или краже самого устройства. “Как только приходит сообщение о каком-либо инциденте, мы сразу же стираем данные с устройства. Мы скорее пожертвуем материальным активом в виде устройства, но не данными и интеллектуальной собственностью, хранящейся на нем, – объясняет она. – Мы хотим, чтобы сотрудники с большей ответственностью относились к устройству и понимали последствия потери данных.”

Как оказалось, поломка устройства приводит еще к худшим последствиям, чем кража или потеря, продолжает МакДональд. “К защите от поломок iPad мы решили подойти с профессиональной точки зрения. Мы, во-первых, используем защитные чехлы OtterBox, а во-вторых, постоянно напоминаем сотрудникам, что хотя устройство и принадлежит компании, они всё же обязаны хоть в какой-то мере заботится о планшетнике,” – говорит МакДональд.

Учимся на чужих ошибках

Еще одна проблема, связанная с использованием iPad, кроется в том факте, что вы не можете управлять им удаленно в той же степени, как персональным компьютером. Например, вы не можете просто так накладывать патчи.

“Нам нужно разрабатывать множество процедур по инструктажу людей и способов взаимодействия и контроля сотрудников, работающих на выезде, – говорит МакДональд. – Мы можем производить аудит работы сотрудников с помощью наших MDM-инструментов, но мы не можем удаленно обновлять устройства. Кроме того, устройства однопользовательские, и поэтому когда сотрудник уходит, нам приходится стирать все данные с устройства и всё начинать заново. Мы не можем просто создать новый пользовательский профиль.

Любой компании, размышляющей над внедрением iPad-инфраструктур, следует сначала пообщаться с компаниями, которые уже решали подобную задачу, советует МакДональд. “Мы думали, мы знаем, что делаем, но в итоге многому пришлось учиться самим, методом проб и ошибок. Мне удалось поделить опытом и с другими подразделениями нашей компании, но я готова работать и с другими компаниями и рассказать о возможных подводных камнях,” – говорит она.

Важно также, предупреждает МакДональд, предвосхищать быстротекущие изменения как и в самих устройствах, так и в системах управления мобильными устройствами.

“В IT-сфере сложилась тенденция прогнозировать развитие информационных технологий на ближайшие 10 лет. Но сегодня мы наблюдаем мобильные технологии и мобильные приложения, о которых даже не могли помыслить два года назад, – говорит МакДональд. – Нам необходимо избавиться от стереотипа десятилетнего прогнозирования. Через два года вы, возможно, будете заниматься чем-то совершенно другим… Так что действуйте по ситуации, учитесь у других и принимайте решения, в зависимости от того, что вам действительно нужно”


[1] BYOD (Bring Your Own Device) – это политика компании, согласно которой сотрудники используют в работе собственные мобильные устройства (прим. перев.)

[2] CRM (Customer Relationship Management) – система управления взаимоотношения с клиентами (прим. перев.)

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену