Контроль мобильного доступа к ресурсам компании

Александр Каледин
Руководитель направления решений
по информационной безопасности
Группы компаний Energy Consulting

Первоочередная задача, которую необходимо решить в компании при организации мобильного доступа, – сформулировать стратегию развития данного направления. Нужно определить, мобильная автоматизация каких видов производственной и хозяйственной деятельности и для какого уровня сотрудников потенциально востребована и может принести пользу.

Для топ-менеджмента, к примеру, характерна потребность в доступе к контенту, содержащему критичную с точки зрения безопасности бизнеса информацию, которая может храниться как в специализированных системах, таких как системы электронного документооборота (СЭД) и аналитические системы, так и в корпоративной почте и общих информационных ресурсах компании. Доступ к этим данным должен быть организован в любое время и из любого места. Для руководителей среднего звена и рядовых сотрудников может быть востребован доступ к системам планирования, СЭД, различным справочникам и учетным системам, корпоративной почте.

Для рядовых сотрудников необходимость в мобильном доступе может сильно зависеть от специфики работы. Так, одним могут быть нужны только общие информационные ресурсы, такие как корпоративная почта, другими востребован полный набор приложений. От функциональности и контента, переносимого на мобильное устройство, способов доступа (корпоративная сеть, Интернет) зависит выбор состава IТ-решений и методов управления и контроля мобильного доступа к корпоративным ресурсам.

Организационные правила

Наиболее важной и, как показывает практика, не всегда эффективно реализуемой мерой является организационная составляющая мобильного доступа. Между сотрудником, пользующимся мобильным доступом, и компанией должен существовать ряд простых и понятных правил. Сотрудники должны четко понимать личную ответственность, если мобильное устройство попало в чужие руки или потеряно, и последовательность действий в таких случаях. Необходимо добиться отношения сотрудника к мобильному устройству как к своей персональной банковской карте, звонок в службу поддержки с требованием заблокировать либо очистить мобильное устройство должен стать естественным действием для сотрудника. Добиться этого жесткими административными методами возможно, но это, скорее, приведет к отказу от использования мобильных устройств сотрудниками. Наиболее эффективный метод – обучение и периодическое информирование сотрудников.

Сотрудники должны знать порядок получения доступа к корпоративным ресурсам и правила работы с ними. Необходимо определить, какие мобильные приложения являются разрешенными для корпоративного использования, каков порядок их установки и настройки, какие меры безопасности должен соблюдать сотрудник при работе с ними. Например, может быть установлен запрет на перенос информации между корпоративными и личными приложениями. Реализовать эту задачу возможно техническими мерами (продукты класса Enterprise Mobility Management). При этом важно помнить, что даже на хорошо защищенном рабочем компьютере снять информацию можно не деактивируя средства защиты.

Немаловажным является правило отнесения финансовых затрат по владению мобильным устройством на сотрудника или компанию. Например, платные мобильные приложения и оплата интернет-трафика, подменный фонд. Качественное решение этих и других организационных задач мобильного доступа должно стоять "во главе угла" при реализации концепции BYOD в компании: этот аспект сильно влияет как на защищенность бизнеса, так и на заинтересованность сотрудников быть онлайн.

Типы приложений

Для создания в компании развитой мобильной среды необходимо решить целый ряд технических задач. Прежде всего, исходя из бизнес-потребностей, следует определить, какие функции сотрудников могут быть поддержаны на мобильном устройстве и какое мобильное программное обеспечение будет для этого применено.

Наиболее распространенной прикладной задачей, переносимой на мобильное устройство, является обеспечение сотрудников средствами корпоративной коммуникации (почта, календарь, адресная книга, задачи). Необходимо обратить внимание на то, что в почтовых ящиках сотрудников может накапливаться служебная информация, критичная для безопасности компании. Механизмов защиты, предоставляемых штатными средствами почтовых серверов и стандартных мобильных почтовых клиентов (аутентификация, шифрование трафика, шифрование и подпись почтовых сообщений s/mime), может быть недостаточно. Содержимое почтового сообщения, например, конфиденциальный отчет или договор, может быть открыто пользователем в сторонних приложениях для просмотра, установленных на устройстве, а затем автоматически скопировано в публичное облако при периодической синхронизации данных.

Следующим по востребованности типом приложений является решение по доступу к корпоративному контенту и файлам. Реализовать такой доступ можно различными способами, например, развернув корпоративный облачный сервис. Удобство такого решения заключается в том, что сотрудник может получить доступ к общим и личным документам удаленно через общедоступные сети либо с помощью кэшированной локальной копии. Здесь также рекомендуется обеспечить аутентификацию и шифрование трафика. Если позволяет конкретная реализация корпоративного облака, то следует ограничить интерактивные возможности мобильного приложения по открытию файлов в сторонних приложениях, а также ограничить доступный из облака контент.

Электронная подпись

Востребованной задачей может стать организация включения мобильного доступа во внутренний документооборот компании. С учетом специфики основными участниками документооборота являются топ-менеджеры компании. Поэтому уровень конфиденциальности контента, выносимого на мобильное устройство, может быть очень высоким, и в состав требуемых функций может входить электронное согласование документов, в том числе с применением электронной подписи.

Наряду со стандартными методами защиты (защита на уровне сессии, аутентификация, защита хранимого локально контента) встает вопрос о применении электронной подписи на мобильном устройстве. При выборе решения для этой функциональности необходимо обратить внимание на то, как реализован механизм работы с криптографией и сертификатами ключа подписи – хранение ключа подписи в локальном хранилище устройства или применение для этих целей смарт-карт.

В первом случае преимуществом является удобство работы пользователя, но фактически мобильное устройство становится носителем ключевой информации, и его утеря несет большой риск. Второй вариант – применение смарт-карт потенциально обеспечивает больший уровень защиты, но при этом для работы с электронной подписью пользователю необходимо подключать к устройству внешний носитель. Также пользователь должен предпринимать меры по защите смарт-карты от утери или потери над ней контроля и обеспечению тайны содержимого.

Интересным решением может стать применение технологии электронной подписи с помощью сервиса электронной подписи (DSS). При этом достигается независимость мобильного устройства от криптографии и электронных ключей.

Выбор приложений

Отдельно стоит упомянуть о мобильном доступе сотрудников к ERP-системам для более эффективного управления производственно-хозяйственными бизнес-процессами. Ряд производителей ERP предлагает интегрированные мобильные платформы, позволяющие вести собственную разработку, а также набор готовых приложений для типовых задач хозяйственной деятельности.

Приложения по типам подразделяются на нативные (реализуют функциональность в самом устройстве), гибридные или Web-приложения. Выбор зависит от требуемой функциональности. В нативных возможно реализовать кэширование данных, что позволяет организовать работу в приложении в режиме офлайн, а также реализовать сложные алгоритмы, развитый интерфейс и работу с периферией гаджета. В Web-приложениях, наоборот, обработка ведется только на стороне информационной системы, функциональные возможности и интерфейс ограничены.

С точки зрения обеспечения безопасности важно определить набор требований, таких как механизмы авторизации пользователя для доступа к приложению (PIN-код), аутентификация пользователей и ведение журналов событий на стороне автоматизированной системы, а также шифрование трафика. Применение нативных приложений также порождает задачи, связанные с обеспечением защиты локальных данных, кэшируемых на устройстве.

Использование решений EMM

Практически любая бизнес-задача компании, переносимая на мобильное устройство, приводит к необходимости реализовать типовой набор решений по управлению мобильными устройствами и приложениями. Это профилирование устройства и мобильных приложений, настройка политик безопасности, создание изолированной среды для корпоративного контента, доставка приложений, мониторинг и поддержка пользователей. Для решения этих задач предназначены программные продукты класса EMM.

Необходимо отметить, что целесообразность развертывания EMM не следует однозначно ставить в зависимость от минимального количества пользователей. Настройка механизмов безопасности в рамках каждого отдельного корпоративного приложения и выполнение задач по администрированию непосредственно на устройстве пользователя с ростом "аппетита" в мобилизации очень быстро приведет к увеличению трудозатрат IТ-подразделения, а сам процесс станет неуправляемым.

Более того, ряд функций, обеспечивающих безопасность и настоящую мобильность сотрудников, без применения подобной системы реализовать технически невозможно.

Выработка стратегии мобильного доступа, реализация соответствующих IТ-решений, технических и организационных мер защиты корпоративных ресурсов являются важными аспектами обеспечения мобильности и безопасности компании. При этом нужно помнить, что мобильный доступ сотрудников к корпоративным ресурсам – это мощный инструмент повышения лояльности персонала, особенно при использовании личных устройств, который при должной организации может принести новые источники роста бизнеса.