Планирование использования собственного устройства (BYOD) (часть 2)

• Планирование использования собственного устройства (BYOD) (часть 3)

Введение

В первой статье этой серии я рассмотрел вопросы о том, какие сетевые ресурсы должны быть доступны с личных устройств пользователя и каким типам устройств должен быть разрешен доступ к вашей сети. Хотя это важные вопросы, они далеко не единственные вопросы, которые следует рассматривать. В этой статье будут рассмотрены дополнительные соображения для сред BYOD.

Где будут храниться данные?

Независимо от того, работаете ли вы в Пентагоне или в магазине Bob's Muffler Shop, одной из основных проблем, с которыми вам придется столкнуться в отношении пользователей, приносящих свои собственные устройства, является утечка данных. Утечка данных относится к проблеме конфиденциальных данных, выходящих за пределы безопасности организации и попадающих в дикую природу.

На тему предотвращения утечки данных написаны целые книги. Излишне говорить, что не существует такого понятия, как простое решение для предотвращения любой формы утечки данных. Предотвращение утечки данных требует комплексного подхода.

Когда вы разрешаете пользователям доступ к корпоративным ресурсам со своих личных устройств за пределами брандмауэра по периметру, предотвращение утечки данных становится все более сложной задачей. Безусловно, лучшее, что вы можете сделать, чтобы этого не произошло, — запретить пользователям хранить конфиденциальные данные на личных устройствах. В идеале конфиденциальные данные должны находиться только на централизованных серверах или в облаке, а не на устройствах конечных пользователей. Данные, хранящиеся на отдельных устройствах, могут быть раскрыты в случае потери или кражи устройства. Кроме того, потеря данных становится реальной возможностью, учитывая тот факт, что пользователи почти никогда не делают резервные копии своих планшетов или смартфонов.

Если ваша цель — запретить пользователям хранить конфиденциальные данные на личных устройствах, то лучшим подходом к разрешению доступа к сети с личных устройств может быть требование, чтобы мобильные пользователи использовали виртуальные рабочие столы. Как обсуждалось в предыдущей статье, виртуальные рабочие столы хороши тем, что устройства конечных пользователей действуют только как среда для отображения удаленного рабочего стола (и для передачи входных данных на удаленный рабочий стол). Таким образом, вам никогда не придется беспокоиться о том, что конфиденциальные данные будут храниться непосредственно на личном устройстве пользователя. Подключение мобильных пользователей к удаленным рабочим столам также решает проблему доступа к приложениям. Приложения могут работать в среде виртуального рабочего стола, и их не нужно устанавливать непосредственно на устройство конечного пользователя.

Как будут защищены мобильные устройства?

Даже если мобильные устройства не содержат конфиденциальных данных, они будут использоваться для доступа к корпоративным данным. Это означает, что вы обязательно должны решить вопрос безопасности мобильного устройства. Я уже несколько раз говорил о безопасности в этой серии статей. Однако есть один особый аспект безопасности мобильных устройств, о котором мне еще предстоит рассказать.

Те, кто долгое время работал в сфере ИТ, слишком хорошо знают о политике, которая часто вступает в игру в отношении таких вещей, как доступ к сети. Однако, пожалуй, нигде политика не становится более серьезной проблемой, чем когда вы начинаете говорить о безопасности в среде «Принеси свое собственное устройство».

Существует несколько разных мнений, касающихся безопасности Bring You work Own Device. Известно, что дебаты вокруг этих школ мысли становятся довольно горячими. На мой взгляд, универсальной политики безопасности устройств конечных пользователей не существует. Я думаю, что каждая из школ мысли имеет свое место и что различные методы безопасности лучше подходят для одних организаций, чем для других. Имея это в виду, давайте поговорим о политике безопасности устройств конечных пользователей.

В любой организации есть несколько ключевых фактов, которые играют роль в отношении BYOD. Эти факты таковы:

1. Ваша сеть содержит конфиденциальные данные.
2. ИТ-отдел сделал все возможное, чтобы защитить эти данные.
3. Пользователи хотят получать доступ к данным за пределами организации на своих личных устройствах.
4. Ответственность за сохранность данных лежит на администраторе.

Эти четыре основных факта привели к возникновению различных точек зрения на безопасность устройств конечных пользователей. Например, я знаю людей, которые решили не разрешать какой-либо внешний доступ к ресурсам в своей сети. По крайней мере, один человек, которого я знаю, не считает, что внешний доступ может быть должным образом защищен, и он знает, что именно он отвечает за обеспечение безопасности данных. Для него разумным курсом действий было просто запретить любой доступ извне.

Конечно, такой менталитет не будет работать в каждой организации. Часто пользователи требуют (громко) внешнего доступа к данным. Если у администратора нет полномочий для предотвращения доступа к внешним данным или если существует законная бизнес-потребность во внешнем доступе, администратор должен придумать способ обеспечения такого доступа максимально безопасным.

Одна из проблем, которая часто проявляется, заключается в том, что администраторы, давно работающие в сфере ИТ, приучены мыслить определенным образом. У таких администраторов может возникнуть искушение попытаться защитить мобильные устройства так же, как и ПК. Хотя эффективность этого подхода является предметом споров, существует ряд различных продуктов для обеспечения безопасности мобильных устройств. Однако политика снова может поднять свою уродливую голову.

Готовясь к написанию этой статьи, я поговорил со своим другом, сетевым администратором в крупной компании, и спросил его, как он обеспечивает безопасность устройств конечных пользователей. Он сказал, что, по его мнению, большая проблема заключается в том, что вы никогда не сможете должным образом защитить устройство, которое не принадлежит компании. Организации не хватает полномочий, чтобы заставить пользователя настроить свое устройство определенным образом или использовать устройство в соответствии со стандартами компании. В таком случае его выбор состоял в том, чтобы не разрешать использование собственного устройства. Вместо этого организация фактически выдает устройства, принадлежащие компании, конечным пользователям. Поскольку устройства принадлежат компании, ИТ-отдел имеет полную свободу действий по обеспечению безопасности устройств по своему усмотрению.

Другой мой друг работает сетевым администратором в другой компании. Она всем сердцем поддержала тенденцию «Принеси свое собственное устройство». Тем не менее, ее политика заключается в том, чтобы разрешить пользователям работать с личных устройств, если они подпишут письменное соглашение, позволяющее ИТ-отделу защищать устройства по своему усмотрению. После того как пользователи подпишут это соглашение, их устройства будут заблокированы с помощью политик ActiveSync.

Вывод

Как видите, тема защиты устройства конечного пользователя в среде Bring Your Own Device может быть щекотливой. Пользователи часто неохотно позволяют ИТ-отделу осуществлять юрисдикцию над своими личными устройствами. Тем не менее, как правило, все же можно найти компромисс, который позволит конечным пользователям работать продуктивно, сохраняя при этом надлежащую защиту конфиденциальных данных. В третьей части этой серии я продолжу обсуждение, рассказав о некоторых вещах, которые вы могли бы учитывать при подготовке к разрешению использования собственного устройства.

• Планирование использования собственного устройства (BYOD) (часть 3)