Мобилизация бизнеса - можно ли совместить мобильность и безопасность?

Олег Сафрошкин
Менеджер по развитию бизнеса
компании "Информзащита"

Ведь действительно удобно, когда можно выполнять отдельные нересурсоемкие задачи (например, работу с электронной почтой или Web-приложениями) на компактном устройстве, которое всегда с тобой. На такой интерес бизнеса обратили внимание разработчики информационных систем, и в последнее время на рынке появляются клиентские бизнес-приложения (к примеру, CRM или BI) под мобильные устройства. Все это в совокупности дает возможность использовать мобильные устройства как практически полноценные рабочие места, позволяя покидать офис без отрыва от бизнес-процесса.

Мобильные устройства и безопасность

Как показывает практика, мобильные устройства легко теряются, их часто крадут. Это создает предпосылки для утечки информации с них или их использования для попыток проникновения в сеть компании. Мобильные устройства могут также применяться для обхода решений класса DLP - в этой ситуации инсайдер, получая конфиденциальную информацию по корпоративной электронной почте на мобильное устройство, может его переслать с использованием своей учетной записи в бесплатных почтовых системах (Gmail, Yandex и т.д.). Поскольку в таком случае пересылаемое письмо не будет проходить через почтовый сервер организации, существующая DLP-система не сможет предотвратить утечку. Наконец, мобильные устройства подвержены заражению вредоносным ПО. Наиболее популярной платформой среди вирмейкеров сегодня является Google Android, однако начинают появляться угрозы и под другие мобильные платформы.

Возникает логичный вопрос - возможно ли совместить преимущества, предоставляемые использованием мобильных устройств в бизнесе, и безопасность? Наш опыт показывает, что это возможно при выполнении некоторых условий.

Для начала необходимо определиться с основными потребностями бизнеса, в том числе:

• К каким информационным ресурсам и в рамках каких бизнес-процессов будет предоставляться доступ с мобильных устройств?
• Кому и откуда будет разрешен мобильный доступ?
• Какие мобильные платформы бизнес хотел бы использовать для работы?
• Планируется ли разрешить использование личных устройств для доступа к защищаемой информации?

После чего необходимо оценить риски ИБ, которые возникнут при использовании мобильных устройств в бизнес-процессах организации. В случае если эти риски окажутся неприемлемыми для организации, необходимо выработать решение по их минимизации. Как показывает наша практика, оптимальным решением будет создание комплексной системы защиты мобильных устройств. Такая система включает в себя три основных компонента: организационные меры, технические средства и обучение пользователей.

Организационные меры

Обычно оргмеры включают в себя локальные нормативные документы, регламентирующие порядок использования и защиты мобильных устройств в организации, а также санкции за нарушения такого порядка. К таким документам могут относиться политика использования мобильных устройств, частные политики ИБ и IT, а также регламент жизненного цикла мобильных устройств. Такие документы должны быть утверждены руководством организации и доведены под роспись до всех лиц, которые будут использовать мобильные устройства.

Технические средства

Комплекс технических средств позволяет организации обеспечить защиту мобильных устройств, а также контроль выполнения требований к порядку их использования. Основой комплекса является решение класса MDM, которое могут дополнять специализированные средства защиты (антивирус, средства защиты канала связи, решения класса NAC и т.д.). Комплекс технических средств интегрируется в IT- и ИБ-ландшафт предприятия для обеспечения требуемого уровня защиты.

Обучение пользователей

Не менее важным является обучение и повышение осведомленности пользователей в области безопасного использования мобильных устройств. По статистике, одной из наиболее часто встречающихся причин инцидентов ИБ является человеческий фактор. И именно работа с людьми, доведение до них основных положений по безопасному использованию мобильных устройств и контроль их осведомленности являются, по нашему опыту, одной из самых эффективных мер предотвращения инцидентов.