Мобильные компании стали реальностью. Никто не сомневается, что доступ к корпоративным приложениям через смартфоны и/или планшеты – это не просто удобно, но и необходимо для повышения производительности до таких уровней, которые еще несколько лет назад представлялись невозможными. Кроме того, стала крайне актуальной задачей доступ рабочих, сотрудников и поставщиков к корпоративным мобильным спутниковым системам, приложениям и определенным данным. Однако проблема заключается в том, что бум в сфере мобильности также принес определенные риски, о которых многие компании еще не в курсе.

Компания не является более защищенной, если она ограничивается защитой традиционного периметра корпоративной сети. Теперь уже недостаточно иметь файервол, решения управления угрозами, антиспам и фильтрацию контента. Теперь необходимо защищать доступ, причем не только с ПК. Таким образом, важно иметь реальную стратегию и наилучшие примеры из практики, связанные с использованием мобильных технологий в компании: стратегия, которая в дополнение к обеспечению безопасности устройств также включает в себя другие элементы, такие как защита данных и приложений, с которыми взаимодействуют мобильные пользователи. Кроме того, данная стратегия должна быть созвучна с другим требованием: она никоим образом не должна ограничивать оперативность и предпринимательский динамизм, который возможен при использовании мобильных устройств.

Безопасные устройства и зашифрованные коммуникации

Одно из первых требований, которое должно быть включено в любую мобильную стратегию, - это защита мобильных устройств с помощью антивредоносного ПО безопасности. Да, вредоносные программы атакуют не только операционные системы традиционных рабочих станций и ноутбуков. В последнее время кибер-преступники сфокусировали свои усилия на Android(мобильная операционная система Google, которая является самой распространенной на рынке) и iOS(платформа Apple). И тем не менее, даже несмотря на пропаганду со стороны ведущих производителей решений безопасности, существует множество компаний (аналогичное происходит и на уровне домашних пользователей), которые не защищают свои мобильные устройства, что влечет за собой большие риски. Крайне важно иметь требуемое антивирусное ПО, которое, естественно, должно быть обновленным.

Другой важный аспект, помимо шифрования коммуникаций на мобильных устройствах для защиты от перехвата данных, - это использование дополнительных способов авторизации пользователя на устройстве, которые выходят за рамки традиционных паролей. На самом деле, многие мобильные устройства уже позволяют по умолчанию идентифицировать пользователя по отпечаткам пальцев. Существуют даже некоторые прототипы, которые предлагают идентификацию пользователю по радужке глаза в качестве стандартного механизма. Однако нет необходимости использовать биометрию. Использование паролей может быть дополнено другими средствами идентификации, например, использование почтовых или текстовых сообщений на само мобильное устройство, другие токены безопасности и пр. В этой связи организациям требуется обучать своих сотрудников использовать корректные инструменты идентификации и предоставлять им знания о том, что делать в случае потери или кражи устройства.

Будьте внимательные к сторонним производителям ПО

Следует также установить правила, которые бы ограничивали использование сотрудниками предприятия сторонних программ, которые могут вызвать риски для компаний. Существует множество специалистов, которые при установке приложений сомнительного происхождения или приложений, на первый взгляд, выглядящих идентичными, но на деле оказывающимися имитациями, созданными кибер-преступниками, видели, как их устройство было атаковано. В результате этого безопасность данных, обрабатываемых в их компании, серьезно страдала.  Поэтому консультанты Gartnerсоветуют отказаться от джейлбрейков на устройствах с iOSи рутинга на телефонах Android, т.к. эти два подхода предоставляют пользователю права администратора, что влечет за собой большие риски для компаний.

Интересно, что эксперты Gartnerв своем публичном исследовании в 2014 году заявили, что большинство случаев нарушений правил безопасности, которые появятся на мобильных устройствах в 2017 году (до 75%)  станет следствием плохой настройки приложений, встроенных в эти гаджеты. Примером этого является неправомерное использование персональных облачных сервисов через приложения, которые были установлены пользователями смартфонов и планшетов. Они утверждают, что лучшая защита заключается в том, что компании должны установить фиксированную конфигурацию для данного типа устройств под эгидой политики управления мобильными устройствами вкупе с другими инструментами для защиты данных.

Эксперты также рекомендуют компаниям указать, какие платформы и операционные системы должны использовать их сотрудники для своих мобильных устройств, какие версии следует избегать в силу того, что их нельзя обновлять или поддерживать, а также то, что пользователи должны будут зарегистрироваться или сертифицироваться при подключении к таким приложениям, как виртуальная корпоративная электронная почта, VPN, беспроводная сеть и другие совместно используемые приложения. Они подчеркивают, что очень важно, чтобы сотрудники безопасности знали, какие типы систем и приложения могут потребоваться их сотрудникам и для каких целей, чтобы настроить контроль приложений. Кроме того, мобильные устройства должны быть настроены таким образом, чтобы предотвратить доступ к небезопасным беспроводным сетям, а пользователям необходимо рекомендовать отключить опцию Bluetooth,чтобы избежать неожиданных инцидентов.

Крайне рекомендуется осуществлять контроль и проводить аудит 

Наконец, также рекомендуется компаниям регулярно проводить аудиты и проверки (хотя бы один раз в год) для оценки качества и надежности их мобильной политики безопасности. Не следует забывать о том, что инциденты безопасности не только влекут за собой негативные экономические последствия и потерю основных активов, например, собственные данные компании или информацию, связанную с клиентами (или гражданами как в случае с правительственными учреждениями), но также наносят ощутимый ущерб репутации и имиджу компании. Исправить ситуацию достаточно просто: быть более внимательным к новым реалиям современного мира, теперь полностью мобильного.

Оригиналстатьи: The safe mobile company, a fantasy?

Panda Security в России
+7(495)105 94 51, marketing@rus.pandasecurity.com
http://www.pandasecurity.com