Озаботился я тут насчет мобильной безопасности. Ведь не секрет, что ныне современные гаджеты - смартфоны и планшеты никем не контролируются и с помощью этих устройств можно достаточно легко "украсть" конфиденциальную информацию.
Я задал себе теоретический вопрос: "Разрешено ли сотрудникам обрабатывать на мобильных устройствах конфиденциальную информацию компании?". Вариантов разумеется два - запрещаем и не запрещаем. Постараюсь изложить ответы на данные два варианта. Исходя из этого уже можно начинать планировать и реализовывать систему защиты.
1. Если запрещаю
Если ответ предполагает - "Запрещено", то следует сосредоточить усилия именно на том, чтобы конфиденциальная информация не появилась на мобильных устройствах сотрудников. Для этого необходимо предпринять определенные шаги:
- Разработать и довести до сведения сотрудников "Политику допустимого использования" (так называемую Acceptable Use Policy), в которой в явном (!) виде прописать требования по использованию мобильных устройств (корпоративных и личных) и удаленного доступа к корпоративным ресурсам и сервисам.
- Обеспечить контроль и блокирование передачи конфиденциальной информации на устройства. По сути, это будет что-то типа контроля утечки информации за счет:
- передачи файлов по электронной почте;
- выкладыванию файлов в сети Интернет;
- передачи данных напрямую на устройство при подключении;
- созданию устройством дополнительных сетей (например wifi) и передача данных по ним
4. Пересмотреть подход к предоставлению удаленного доступа к корпоративным ресурсам и сервисам.
Достаточно малореалистичный вариант запретить проносить мобильные устройства на работу и контролировать этот запрет. А риск фото/видео/аудиозаписи рассматривать предпочтительнее отдельно и скорее принимается во внимание.
2. Если не запрещаю
Обращаю внимание на термины - "Не запрещено", а не "Разрешено". Разные вещи, не так ли? С чем это связано? Во многих компаниях на использование мобильных устройств сотрудниками смотрят "сквозь пальцы", в явном виде ничего не запрещая, но и не разрешая. При этом часто сотрудники имеют доступ к корпоративной электронной почте, календарю и списку контактов, а также могут обрабатывать конфиденциальные документы на своем гаджете. Оценка рисков такой обработки обычно не проводится. Чревато последствиями? Еще как.
Ну вот, если отвечаем "Не запрещено", то следует сосредоточить усилия на управлении рисками и инцидентами.
Первым делом необходимо понять область (scope), для этого следует четко определить:
- Перечень информации и ИТ-сервисов, которые могут быть доступны сотрудникам.
- Перечень устройств, которые могут использовать сотрудники. Тут важно понимать, это будут корпоративные устройства или еще и личные, а также перечень операционных систем (это нам необходимо для понимания рисков и выбора конечного решения).
После сбора первичной информации следует оценить возможные риски и еще раз ответить на вопрос "А все-таки, следует ли разрешить ли сотрудникам обрабатывать на мобильных устройствах конфиденциальную информацию компании?". Если и сейчас ответ утвердительный, то необходимо:
- Разработать и довести до сведения сотрудников Политику допустимого использования (Acceptable Use Policy), в которой в явном виде прописать требования по использованию мобильных устройств (корпоративных и личных) и удаленного доступа к корпоративным ресурсам и сервисам.
- Обучить (повысить осведомленность) пользователей базовым принципам безопасности мобильных устройств (например, "не оставлять без присмотра", "использовать пароли", "установить ПО для поиска/блокирования устройства и стирания информации", "решить с антивирусной защитой" и пр.).
- C учетом оценки рисков выбрать и внедрить дополнительные средства защиты и управления мобильными устройствами.
Обращаю внимание, что пока вы не пройдете все шаги, то выбирать дополнительные средства защиты не особо целесообразно...
Хотя конечно данное эссе из области фантастики, но надеюсь пригодится не только мне.
Хотя конечно данное эссе из области фантастики, но надеюсь пригодится не только мне.
Комментариев нет :
Отправить комментарий