Мобильные устройства с их огромным информационным наполнением, причем они всегда с собой, всегда имеют доступ к глобальной сети, могут быть как мечтой бизнес-приложений так и кошмаром рисков для бизнеса.

Для тех, кто работает в отрасли безопасности, фокус, главным образом, обращен на развертывающихся «решениях» обеспечения защиты. Однако, сегодня мы находимся в ключевом пункте изменения подходов к обеспечению безопасности и основным требованием при этом является требование нового взгляда на вещи.

Доступность связи, мобильных устройств и приложений, высокоскоростной беспроводной связи, и облачного доступа на персональном уровне управляет требованиями функциональности к бизнесу.

В то время как для некоторых, «строгая изоляция» — соответствующее решение в этой ситуации, для других это законные деловые преимущества. Это означает, что они должны учиться жить с новыми технологиями и стараться изо всех сил заставлять их надежно работать.

Эти требования, вместе с пользовательскими навыками и опытом развертывания мобильных устройств дома, означают, что даже у организаций, которым нужна «строгая изоляция» могут быть ситуации, когда необходимо управлять такими технологиями.

Ясно, что часть решения состоит в разворачивании правильных инструментов для оповещения и минимизации рисков (например, управление мобильными устройствами, аутентификация, шифрование, и управление поведением — так же как основные меры безопасности на мобильных устройствах). Решения доступны от множества поставщиков, включая Kaspersky Lab, WatchGuard, SafeNet, Becrypt, ВАСКО и прочих.

В настоящий момент, много организаций видят контакт с этими беспрецедентными рисками как проблему для команды безопасности IT-систем, роль которой защитить организацию.

Традиционно, это было хорошей рабочей моделью. Однако, в новой среде, с огромным давлением для быстрого изменения и быстрого развертывания новых приложений, для большинства команд безопасности IT-систем нельзя единолично нести ответственность обеспечения безопасности целого бизнеса и каждого пользователя.

Безопасность должна быть ответственностью каждого отдельного пользователя, каждого менеджера. Однако, чаще наблюдается нарушение чем соблюдение, как свидетельство этого можно привести факты, что только небольшое количество персонала фактически понесло наказание или было уволено за нарушение политики безопасности мобильных устройств.

Мобильная стратегия безопасности

Принятие анализа рисков и риска – Для любых мобильных устройств, доступа, приложений или служб должно быть так, как принято Советом безопасности предприятия.

Планирование — Планирование развертывания должно включать реализацию безопасности или принятие риска.

Встраивая безопасность — Безопасность всегда должна быть развернута вместе с решением, а не настраиваться после внедрения.

Политики — Политики должны быть ясно изложены, а не только содержаться в документе политики.

Процессы — Процессы должны быть четкими, также, как и последствия.

Обучение и участие персонала – обучению персонала необходимо уделять большое внимание. При этом обучение персонала важно и должно быть ‘образованием’, а не только перечнем мер, которые персоналу запрещены. Если сотрудники не понимают, почему они должны защитить свои собственные мобильные устройства или беспроводные соединения, они, конечно, не будут чрезмерно обеспокоенными вашими.

Развертывание — Развертывание мобильных устройств, включая элементы безопасности, должно быть таким образом разъяснено персоналу, что безопасность — основной элемент развертывания, вместо того, чтобы просто заявить, что мы внедряем такие-то средства безопасности и отныне вы должны делать так и только так. Персонал должен понимать, почему так можно, а эдак – нельзя!

Контроль и обратная связь — Это крайне важно не только для тех кто контролирует и как контроль ради контроля. Высокая видимость и регулярная обратная связь всему персоналу, как успехи, так и недостатки, очень важны.

Анализ — У Совета безопасности должно быть регулярное создание отчетов безопасности, таким образом, чтобы они знали об уровне угрозы, и уровнях риска, принятых ними.

Экспертиза — После нарушения, особенно для мобильных устройств, руководство организации должно понимать, что произошло, в чем была причина отказа и какие меры они могут предпринять для предотвращения подобной ситуации в будущем. Инструменты расследования в данном случе- ключ к успеху.

Реализация стратегии безопасности, очевидно, включает развертывание корректных инструментов и создание отчетов. Естественно, что это поднимает проблему интеграции (или замены) существующих инструментов с более широким управлением и созданием отчетов о решениях, но это тема другой публикации!