Почему не все администраторы ИТ/безопасности выпускают список изменений настроек/конфигураций, связанных с устройствами iOS и Android, для всех корпоративных пользователей?

Некоторые компании, конечно, записывают и выпускают эти параметры конфигурации. Но почему многие ИТ-директора/директора по информационной безопасности не беспокоятся об этом? И хотя я все глубже погружаюсь в проблемную среду, позвольте мне задать вопрос: почему бы не сделать такие списки обязательными — требование для любой компании, позволяющей личным устройствам получать доступ к конфиденциальным данным и конфиденциальным системам? Практически все требуют использования загружаемой одобренной компанией VPN, так почему бы не установить и другие параметры, создающие риски для кибербезопасности?

Требования, естественно, будут различаться от предприятия к предприятию и, скорее всего, от пользователя к пользователю. Но, конечно же, можно настроить основные параметры, такие как отключение Wi-Fi вдали от домашнего офиса (который сегодня может быть буквально домом) или отключение Bluetooth до тех пор, пока он не понадобится.

Не удивляйтесь, если эти предложения встретят много возражений, так как удаленные сотрудники привыкли к удобствам, которые устраивают дома, но крайне опасны при прогулках по аэропорту, вокзалу или отелю. В этом отношении они могут быть опасны при прогулке по улицам Манхэттена или Сан-Франциско.

Рассмотрим Bluetooth. Это очень удобное средство атаки, если злоумышленник может очень близко подобраться к предполагаемой жертве пользователя. В зависимости от установленного программного обеспечения безопасности, атака Bluetooth может обойти многие традиционные средства защиты. Так почему бы не отключить его всегда, кроме случаев, когда это необходимо?

Сегодня пользователи, вероятно, будут использовать механизмы Bluetooth в своих ушах во время разговора в аэропорту, поэтому они могут ответить на телефонный звонок в любое время. Будет ли такое правило заставлять всех держать свои наушники/вкладыши Bluetooth дома и путешествовать только с проводными? Это было бы неплохой идеей. Но будет ли это удобнее?

 

Рекомендуемые правила

История Forbes, с которой я начал заниматься этим вопросом, предполагает, что пользователям запрещено по умолчанию подключаться к неизвестным сетям — очень разумная мера предосторожности. Но в политике также утверждается, что, если пользователь считает, что неизвестную сеть абсолютно необходимо использовать, то необходимо вначале подключить надёжную мобильную VPN.

Начнем с этого. Сколько ИТ-магазинов даже заказывают утвержденную мобильную VPN, не говоря уже об обязательной? Важно помнить, что VPN не обеспечивает той защиты, о которой думают многие пользователи. Если пользователь взаимодействует с конфиденциальным электронным письмом или входит в банковский счет, злоумышленник, просматривающий через Bluetooth, все равно может увидеть довольно много. Что, если они загрузили захват нажатия клавиш? В этом случае у злоумышленников наверняка есть ваши полномочия.

Администраторы могут (и должны) делать то же самое с правилами для Wi-Fi, паролями или установками приложений — всем, что может помочь заблокировать мобильные устройства и сохранить корпоративные данные в безопасности. И тогда, конечно же, ответственность становится за то, чтобы каждый человек в организации знал, что делать, и делал это. А если нет, то должны быть последствия, если компания останется уязвимой для нападения или кражи.

В среде BYOD ИТ и служба безопасности обязаны защищать все активы предприятия. Учитывая, что процент этих активов, которые перемещаются через мобильные устройства, стремительно растет, не пора ли установить какие-то строгие правила? Ни одно из этих правил не нанесет серьезного вреда сотрудникам и не помешает сотрудникам взаимодействовать с пользовательскими приложениями и данными. В худшем случае — легкие неудобства.

Если пользователь хочет отказаться от BYOD и настаивает на том, чтобы компания предоставила ему мобильное устройство, он, безусловно, имеет право сделать такой запрос (будет ли это одобрено — совсем другой вопрос).

Но если он будет одобрен, эти пользователи смогут свободно обращаться со своими личными устройствами так безрассудно, как захотят. Пока они используют эти устройства для доступа и создания активов данных, принадлежащих работодателю, правила относительно настроек кажутся вполне разумными. Возможно, это не сделает ИТ и безопасность особенно популярными среди пользователей (но будьте откровенны: они никогда не были популярны, и это вряд ли изменится).

Но это правильный и разумный поступок.

2 августа, 2021

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

04.07.2025
Конгрессмен рассказал агентам ФБР про кибербез (не наоборот)
04.07.2025
«Это ускорит развитие национальной платёжной инфраструктуры»
04.07.2025
«Пар»? «Ростелеком» строит свой Steam
04.07.2025
«Не будет никакой остановки». Европейский AI Act — на марше
04.07.2025
В России всё же создадут базу биометрии мошенников
03.07.2025
В Госдуме продолжают намекать на преимущества импортозамещения
03.07.2025
Котята отрастили щупальца. Kraken целится в Apple издалека?
03.07.2025
DLBI: До конца года стилеры могут парализовать поиск «удалёнки» в РФ
03.07.2025
Международный уголовный суд подвергается атакам хакеров
03.07.2025
17% компаний выбирает ноутбуки с предустановленными отечественными ОС

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных