Рабочий день многих людей не ограничен 8 часами в офисе: вне работы нужно посмотреть почту, ответить на срочное сообщение от коллеги, согласовать важные документы. Сотрудники и руководители компаний со смартфонов и планшетов отправляют и принимают конфиденциальную информацию, используют корпоративную почту, чаты, мессенджеры, приложения для электронного документооборота, учета бюджета и управления бизнесом. При этом они не всегда соблюдают правила безопасности.

По данным исследования CTRL-Z Study, более половины лиц, принимающих решения, и 75% руководителей используют для работы приложения, не одобренные IT-отделом, при этом 83% понимают, что это несет риск для компании. Мы расскажем, как организовать безопасную работу с бизнес-приложениями, не навредив мобильности бизнеса.

Риски компании, если сотрудники используют мобильные приложения

Часто сотрудники обмениваются файлами и конфиденциальной информацией через обычные почтовые сервисы или публичные облака, безопасность которых под сомнением. Риск утечек в общедоступных приложениях, не предназначенных для корпоративной сети, очень высок.

Специальные корпоративные приложения безопаснее, в них часто есть все для решения задач компании: собственный почтовый агент, корпоративный календарь, библиотеки документов, чат, доступ к системам ERP и электронному документообороту, синхронизация с корпоративным компьютером.

Однако при работе с мобильными бизнес-приложениями также есть риск потерять секретные данные:

  1. Кража или потеря устройства — если рабочий смартфон или планшет попадет в руки злоумышленников, они могут использовать конфиденциальную информацию, которая на нем хранится, или зайти в приложение, если идентификация пользователей простая или на устройстве хранятся пароли.
  2. Взлом через сетевые подключения — сотрудники используют разные каналы связи: корпоративный, домашний или публичный Wi-Fi, мобильный интернет. Часто у них нет времени ждать, чтобы обменяться файлами или сообщениями по защищенному каналу, как это указывают в инструкциях. Злоумышленники используют уязвимости сети оператора связи, файлов или данных, перехватывают информацию через незащищенные каналы. Взломать устройство могут через Wi-Fi, Bluetooth, ИК-порты и т. д.
  3. Веб-угрозы — заражение мобильного устройства вирусами, установка вредоносных программ и приложений. Пользователь может получить вирусный код после того, как посетит зараженный сайт, загрузит инфицированный файл или откроет письмо.
  4. Взлом устройства через уязвимости программного обеспечения — не все корпоративные приложения обладают нужным уровнем защиты от атак, некоторые уязвимы вследствие ошибок разработки и по другим причинам. Уязвимости в мобильных операционных системах и приложениях аналогичны уязвимостям для стационарных компьютеров.
  5. Недобросовестность сотрудников — работники могут скопировать конфиденциальную информацию, чтобы использовать в личных целях или продать конкурентам компании, уничтожить после увольнения или ссоры с руководством.

Кроме этого, компании могут столкнуться со сложностями управления корпоративными приложениями. Это связано с тем, что пользователи используют устройства разных брендов, приложения должны корректно на них работать и своевременно обновляться, за этим нужно следить.

Источник

Сотрудники могут использовать корпоративные или личные мобильные устройства. Корпоративными устройствами проще управлять и настроить безопасность, так как компания может приобрести одинаковые смартфоны, установить нужные программы и контролировать их использование. При этом корпоративное устройство постоянно находится на рабочем месте либо переходит в пользование сотрудника.

Однако чаще работники используют личные мобильные устройства и в личных целях, и для работы. Такая модель называется Bring Your Own Device (BYOD). Это проще и удобнее для сотрудников и компании, при этом для защиты данных нужны дополнительные технические средства.

Архитектура корпоративных платформ мобильной безопасности

Существует такое понятие, как Enterprise Mobility Management (EMM) — набор технологий, процессов и документов для управления смартфонами и планшетами сотрудников компании и обеспечения их безопасного использования в рабочих целях.

ЕММ включает три направления, функциональность которых может пересекаться, их применяют в различных комбинациях под потребности бизнеса:

  1. Управление мобильными устройствами (Mobile Device Management, MDM) — безопасность и управление доступом к информации на уровне устройства. Сюда входят программы, которые устанавливают на смартфон и планшет, с их помощью администратор контролирует, как пользователи используют конфиденциальные данные.
  2. Управление мобильными приложениями (Mobile Application Management, MAM) — система безопасности и управления данными на уровне отдельных приложений. Администратор может управлять ими, при этом у него нет доступа к устройству и личным данным пользователя. Такая технология защиты использует методы упаковки и контейнеризации приложений, изолируя их данные от личной информации владельца устройства, облачные и другие защищенные хранилища приложений.
  3. Управление мобильным контентом (Mobile Content Management, MCM, или Mobile Information Management, MIM) — важные данные хранятся, передаются и обрабатываются только разрешенными приложениями, при этом информация шифруется. Обычно MIM входит в MDM или MAM, то есть управление данными — одна из функций системы безопасности устройства или приложений.
Схема архитектуры корпоративных платформ мобильной безопасности

Чтобы защита конфиденциальной информации приложений осуществлялась по общим правилам, разрабатывают специальный документ — корпоративную политику безопасности мобильных технологий. С ним должен быть ознакомлен каждый сотрудник, работающий с мобильными бизнес-приложениями. Такой документ учитывает, что угрожает конфиденциальным данным и какие методы защиты лучше использовать компании.

Источник

Способы защиты корпоративных приложений в рамках EMM

В рамках управления корпоративными мобильными технологиями используют различные методы защиты конфиденциальной информации бизнес-приложений, установленных на смартфонах или планшетах сотрудников.

Методы MDM (Mobile Device Management)

Они позволяют сделать мобильное устройство безопасной платформой для использования приложений. На смартфон или планшет устанавливают специальное программное обеспечение для защиты от угроз.

С помощью методов MDM администратор контролирует мобильные устройства так же, как рабочие компьютеры. В их число могут входить:

  1. Аутентификация пользователей, в том числе двухфакторная, то есть с помощью пароля и SMS-сообщения.
  2. Настройка паролей: можно определить, сколько попыток доступа разрешено до блокировки устройства, требования к качеству пароля и т. д.
  3. Удаленная очистка устройства от информации, например, если смартфон попал в чужие руки, то файлы с него могут быть удалены администратором.
  4. Запрет на установку определенных приложений или блокировка потенциально опасных интерфейсов.
  5. Передача информации по зашифрованному каналу связи и другие опции.

Не все сотрудники согласятся на установку такого программного обеспечения на свой телефон, так как администратор может получить доступ не только к корпоративным, но и к личным данным.

Кроме того, в случае риска угрозы система может ошибочно удалить личные данные или заблокировать телефон, лишив сотрудника возможности его использовать. Также некоторые функции устройства, на котором установлен агент MDM, могут быть ограничены.

Контейнеризация приложений

Контейнеризация приложения предусматривает его изоляцию от среды устройства. Технология позволяет запускать приложение и необходимый минимум системных библиотек в стандартизированном контейнере. На мобильном устройстве создается защищенная зона, где размещается конфиденциальная информация. Там пользователи работают с теми приложениями, которые IT-отдел предоставил для работы с данными компании.

Программное обеспечение контейнеризации может быть частью операционной системы устройства, оно изолирует рабочие и личные данные друг от друга, сотрудники переключаются между личной и рабочей средами. Другие средства контейнеризации запускают работу приложения поверх мобильной операционной системы, создают изолированную и зашифрованную среду, в которой работает одно приложение.

Для пользователя контейнер выглядит как приложение, где открывается отдельный рабочий стол, на котором находятся данные и иконки бизнес-приложений. Такой подход не ограничивает использование устройства в личных целях и не дает администратору доступ к личной информации сотрудника.

Однако по сравнению с обычными мобильными приложениями у офисных приложений в контейнерах функциональность часто ограничена.

Упаковка приложений

Упаковка приложений (или оболочка для приложений) — защита мобильных приложений, которая накладывается библиотекой безопасности. Библиотека безопасности определяет, как приложение и его данные должны использоваться, храниться, обрабатываться и передаваться. При этом сохраняется привычный для пользователя механизм работы с устройством.

Упаковка приложений позволяет администратору устанавливать методы аутентификации пользователей, выбирать инструменты защиты. Можно связать с каждым приложением нужные настройки безопасности и управления, а потом разместить их в корпоративном хранилище, как единую программу, упакованную в контейнер.

Упаковка в оболочки может быть сложной по техническим причинам. Такая возможность должна быть предусмотрена при разработке, иногда авторское право может запретить изменение приложения для заключения его в оболочку.

Виртуализация устройств и приложений

Существует два метода виртуализации: виртуализация устройств и виртуализация приложений.

Виртуализация мобильного устройства — метод управления, когда две виртуальные платформы установлены на одном устройстве, они равноправны и работают параллельно. Например, смартфон может иметь одну виртуальную среду для служебных задач, ее контролирует работодатель, и одну — для личных, она под контролем пользователя.

Подход сочетает идеи MDM и контейнеризации. Приложения и данные в двух средах остаются изолированными, защищая конфиденциальную информацию: если личная среда будет взломана, то проблема не коснется корпоративной. Также виртуализация мобильного устройства позволяет одному смартфону или планшету работать под управлением двух различных операционных систем.

Виртуализация мобильных приложений — аналог виртуальной машины для рабочего ПК сотрудника. Приложение может выполняться на физическом сервере, в дата-центре или облаке. Смартфон или планшет сотрудника пересылает туда нужные данные, они обрабатываются, результат отображается на устройстве.

Информация обрабатывается централизованно, риск ее потери ниже. Администраторы могут разрабатывать политики безопасности для управления устройством, контролируют, чтобы пользователи не сохраняли, не копировали и не распечатывали конфиденциальные данные. Это помогает обеспечить высокий уровень безопасности.

Для исполнения приложений нужен надежный центр обработки данных.

Облачные сервисы обладают рядом преимуществ перед другими способами хранения и работы приложений. Облака надежнее, позволяют создать резервную инфраструктуру, чтобы не потерять данные в случае сбоев, экономичнее — компания арендует виртуальный сервер и платит за использованные ресурсы, не надо покупать и организовывать собственную инфраструктуру.

По данным комплексного исследования облачной безопасности, 40% нагрузки облачных серверов — это бизнес-приложения, чаще всего компании хранят в облаках веб-приложения, приложения для совместной работы и коммуникаций, маркетинга и продаж.

Источник

Как безопасно использовать корпоративные мобильные приложения

  1. Выяснить, какие угрозы мобильной безопасности наиболее актуальны для вашей компании.
  2. Выбрать методы, которые помогут защитить корпоративную информацию от угроз, связанных с использованием бизнес-приложений на мобильных устройствах.
  3. Разработать корпоративную политику безопасности мобильных технологий и ознакомить с ней сотрудников.
  4. Внедрить технологии безопасности в рамках системы EMM — управления корпоративными мобильными технологиями.