Embed Size (px)
Citation preview
www.i-teco.ruДепартамент Информационной безопасности
Мобильные устройства в корпоративной среде и информационная безопасность компании
2 www.i-teco.ruО чем говорят исследования
Исследование Cisco IBSG Horizons Study на тему:«Принеси на работу свое устройство» (Bring Your OwnDevice, BYOD):- Опрошены 600 руководителей компаний США (> 1000 сотрудников) из 18 различных отраслей бизнеса
95
5
Собственные мобильные устройства, %
Разрешено использованиеНе разрешено использование76
24
BYOD в целом, %
Выгодно бизнесуНе способствует бизнесу
На одного сотрудника в среднем: 2012 г > 2 устройств, 2014 г > 3 устройств
3 www.i-teco.ruОтношение сотрудников
«…И ноутбук, и смартфон для меня — это, прежде всего, рабочие инструменты…Для того чтобы максимально освободить, так сказать, «процессорные мощности» мозга, я стремлюсь не держать в голове никаких оперативных задач. При этом мне важно, чтобы список дел и встреч был всегда со мной: и на рабочем ноутбуке, и на телефоне, если я в дороге… я сознательно полностью перешел на работу в веб-интерфейсе, чтобы уйти от привязки к почтовой программе и, значит, к конкретному компьютеру, где она установлена. Кстати, таким подходом я руководствуюсь в последнее время во всём, стараясь перевести свои инструменты и файлы в онлайн, в «облако». Так я максимально свободен в выборе устройства, с которого хочу работать. Были бы только при себе все нужные пароли и доступ в Интернет…»http://androtek.ru/faq/1064-android-smartfon-dlya-biznesa-podborka-programm-opciy-i-nastroek.html
Вывод: сотрудники ищут прежде всего удобства для себя, а не для компанииВопрос: Учитывается ли при этом сотрудниками мнение и рекомендации специалистов ИТ и ИБ компании?
Стремительное эволюционирование мобильных устройств создает больше возможностей и удобства
4 www.i-teco.ruПожелания сотрудников
Регулярная смена мобильных устройств на новые более продвинутые модели (дизайн, возможности).
Непрерывное увеличение деловых и личных контактов и расширение возможностей для общения с
ними. Возможность делать те же функции, что и на рабочем месте в офисе, находясь за его пределами. Возможность гибкого конфигурирования устройств
Сочетание личного и корпоративного без зависимости одного
от другого
Постоянное увеличение мобильных
возможностей
Свобода выбора действий
5 www.i-teco.ruЧего бы хотелось организации
Использование одинаковых
устройств или устройств на
одной платформе
Увеличение продолжительности
рабочего дня сотрудников за счет использования мобильных устройств
Разработка и внедрение политики
использования мобильных устройств
Устанавливать корпоративное ПО с возможностью
его централизованног
о обновления
Приобретение мобильных устройств за
счет собственных средств сотрудников и
использование этих устройств без замены на
период всего срока работы
Ограничение списка
данных, передаваемых
в облака
Учет используемых
мобильных устройств и контроль их
использования
Экономия производственных затрат на обеспечение рабочей
деятельности сотрудников
Повышение грамотности мобильных
пользователей в вопросах ИБ
6 www.i-teco.ruРаспространение вредоносного ПО
47
832
13
Совокупное число вредоносных программ, %
SymbianJ2MEAndroidДругие
720
63
6 4
Рост количества вредоносных программ во II
квартале 2011 года, %SymbianJavaMEAndroidBlackBerryДругие
Источник: McAfee
7 www.i-teco.ruМобильные ОС
Android•Бесплатная ОС, открытый код, в связи с этим эта ОС занимает значительную долю рынка
•Модель обеспечения безопасности имеет существенные недостатки: от пользователя требуется принятие правильных решений, хотя во многих случаях описание запрашиваемых разрешений непонятно даже опытным пользователям. Программы иногда требуют больше прав, чем это реально необходимо
Apple iOS•Самый серьезный конкурент для Android. Apple хорошо справляется с защитой своих устройств
•Угрозы безопасности возникают на данный момент по большей части, лишь на устройствах iPhone подвергнутых «джейлбрейку», действиям, в результате которых становится возможным запуск неподписанных приложений , что создает угрозу безопасности
Windows mobile•Перспективная ОС
Эко среда (интернет-магазины,
приложения, разработчики приложений,
ОС)
8 www.i-teco.ruОпределяемся с основными рисками
Что делать с рисками?
Корпоративная почта: в случае потери или хищения мобильного устройства доступ к корпоративной почте, в т.ч. и всей переписке получают случайные лица
Антивирусная политика: не использование качественного антивирусного продукта и использование ПО из непроверенных источников может создать многочисленные угрозы в том числе и новые Доступ в доверенную зону: доступ во внутреннюю сеть по VPN должен тщательно регламентироваться и контролироваться (исключить хранение аутентификационных данных в приложениях)
Инсайдеры: появление новых возможностей
Основные риски связаны с тем, что корпоративные данные попадают на устройства, хранятся и обрабатываются на них, но эти устройства не приспособлены изначально для защиты корпоративными ИТ и ИБ службами.
9 www.i-teco.ruКакие есть еще опасности
Устройства хранения
данных (SD карты)
Защищенность канала связи мобильного устройства
(использование фемтосот)
Прямое подключение мобильных устройств к
корпоративным ПК
Использование мобильных
устройств и для работы и для развлечений.
Слабые PIN-коды
Уязвимости в приложениях
Наличие нескольких
пользователей у одного
мобильного устройства
Фишинг
Руткиты
10 www.i-teco.ruПравовая сторона вопроса
Соблюдение баланса
98-ФЗ от 29.07.2004 г. О коммерческой тайне ст. 11 охрана конфиденциальности информации в рамках трудовых отношений
Конституция РФ
Ст.23, ст. 24 каждый имеет право на тайну переписки, неприкосновенность частной жизни
Трудовой кодекс РФ
ст.86 …работники не должны отказываться от своих прав на сохранение и защиту тайны
ФЗ Об информации, информационных технологиях и о защитеинформации ст..9 Ограничение доступа к информации о частной жизни
ФЗ О связи ст.63 тайна связи
Кроме организационных и технических проблем возникаюти юридические вопросы. С этим нужно считаться и этонеобходимо учитывать
11 www.i-teco.ruРекомендации экспертов
Предприятия должны сосредоточиться на:
(http://www.gartner.com/it/page.jsp?id=2048617)
Рекомендации экспертов
Gartner
Мобильная защита данных
(MDP)
Контроль доступа к сети
(NAC)
Мобильное управление
устройствами (MDM)
Новые подходы к мобильным платформам предприятия
12 www.i-teco.ruРекомендации российских экспертов
Стратегия безопасного использования
мобильных устройств в корпоративной среде
Анализ рисков и создание модели
угроз
Ограничения использования
мобильных платформ
Разработка политики использования
мобильных устройств
Настройка удаленного доступа
Определение ресурсов к которым возможен удаленный доступ с мобильных
устройств
Удаленное управление и
контроль
13 www.i-teco.ruКак поступать и что делать?
Решение за Вами
www.i-teco.ru
Спасибоза внимание
Департамент информационной
безопасностиКомпания «Ай-Теко»
Директор департамента ИБ
Олег КузьминТел. +7 (495) 777-1095 доб.3650E-mail: [email protected]
