Recientemente noté este artículo en Forbes con respecto a un cambio sugerido para todas las configuraciones de Wi-Fi de iOS y generó una pregunta potencialmente controvertida.
Dlaczego każdy administrator IT/Security nie publikuje listy zmian ustawień/konfiguracji związanych z urządzeniami iOS i Android każdemu użytkownikowi w firmie? (Jeśli twoi ludzie nadal używają BlackBerry, a ja właśnie dostałem e-mail od pracownika Departamentu Bezpieczeństwa Wewnętrznego USA. UU. Że jest, co jest dość przerażające, musimy jak najszybciej porozmawiać).
Niektóre firmy oczywiście napisały i opublikowały te ustawienia konfiguracyjne. Ale dlaczego wielu CIO/CISO nie przejmuje się tym? A gdy zanurzę się głębiej w mętne wody, pozwólcie, że będę kontynuował: dlaczego nie uczynić tych list obowiązkowymi, wymogiem dla każdej firmy, która pozwala urządzeniom osobistym na dostęp do wrażliwych danych i systemów? Prawie wszystkie z nich wymagają użycia zatwierdzonej przez firmę sieci VPN do pobrania, więc dlaczego nie narzucić wszelkiego rodzaju ustawień, które również stwarzają ryzyko cyberbezpieczeństwa?
Wymagania będą się różnić w zależności od firmy i najprawdopodobniej od użytkownika do użytkownika. Ale podstawy z pewnością można skonfigurować, na przykład wyłączanie Wi-Fi, gdy nie ma Cię w domowym biurze (które dzisiaj może być dosłownie domem) lub wyłączanie Bluetooth, dopóki go nie potrzebujesz.
Nie zdziw się, jeśli te sugestie pojawią się z perspektywy czasu, ponieważ pracownicy zdalni przyzwyczaili się do usług, które są dobre w domu, ale niezwykle niebezpieczne podczas przechodzenia przez lotnisko, dworzec kolejowy lub lobby hotelu biznesowego. Ponadto mogą być niebezpieczne podczas chodzenia po ulicach Manhattanu czy San Francisco.
Pomyśl o bluetooth. Jest to bardzo wygodny sposób ataku, o ile złoczyńca może zbliżyć się bardzo blisko zamierzonego użytkownika. W zależności od zainstalowanego oprogramowania zabezpieczającego atak Bluetooth może ominąć wiele tradycyjnych zabezpieczeń. Dlaczego więc nie wyłączyć go przez cały czas, z wyjątkiem sytuacji, gdy jest to konieczne?
Dzisiejsi użytkownicy prawdopodobnie noszą urządzenia Bluetooth w uszach podczas rozmowy na tym lotnisku, aby móc odebrać telefon w dowolnym momencie. Czy taka zasada zmusiłaby wszystkich do trzymania słuchawek/słuchawek bluetooth w domu i podróżowania tylko ze słuchawkami przewodowymi? To nie byłby taki zły pomysł. Ale czy przewodowe słuchawki będą dostępne znacznie dłużej?
Historia Forbesa, od której zacząłem ten temat, sugeruje, że użytkownicy nie mogą domyślnie łączyć się z nieznanymi sieciami, co jest bardzo dobrym środkiem ostrożności. Ponadto przekonywał, że jeśli użytkownik uważa, że bezwzględnie należy korzystać z nieznanej sieci, powinien najpierw włączyć zaufaną mobilną sieć VPN.
Zacznijmy od tego. Ile sklepów IT określa nawet zatwierdzoną mobilną sieć VPN, nie mówiąc już o jej wymaganiu? Należy pamiętać, że VPN nie zapewnia takiej ochrony, jak sądzi wielu użytkowników. Jeśli użytkownik wejdzie w interakcję z poufną wiadomością e-mail lub zaloguje się na konto bankowe, osoba atakująca monitorująca Bluetooth nadal może coś od niego zobaczyć. Co jeśli pobrali przechwytywanie naciśnięć klawiszy? W tym przypadku źli aktorzy prawdopodobnie mają twoje dane uwierzytelniające.
Administratorzy mogą (i powinni) zrobić to samo z regułami dotyczącymi Wi-Fi, haseł lub instalacji aplikacji, które mogą pomóc w blokowaniu urządzeń mobilnych i ochronie danych firmowych. A potem oczywiście obowiązkiem staje się upewnienie się, że wszyscy w organizacji wiedzą, co mają robić i to robią. A jeśli nie, musiałyby ponieść konsekwencje narażenie firmy na atak lub kradzież.
W środowisku BYOD działy IT i bezpieczeństwa mają obowiązek chronić wszystkie zasoby biznesowe. Biorąc pod uwagę, że odsetek tych zasobów przemieszcza się w zawrotnym tempie za pośrednictwem urządzeń mobilnych, czy nie nadszedł czas na ustalenie pewnych twardych zasad? Żadna z tych zasad nie zaszkodzi znacząco pracownikom ani nie uniemożliwi im interakcji z aplikacjami i danymi konsumenckimi. W najgorszym przypadku mała niedogodność.
Jeśli użytkownik chce zrezygnować z BYOD i nalega, aby firma dostarczyła mu urządzenie mobilne, z pewnością ma prawo złożyć taką prośbę. (Czy zatwierdzenie to zupełnie inna sprawa?) Ale jeśli zostanie zatwierdzone, ci użytkownicy mogą swobodnie traktować swoje urządzenia osobiste tak lekkomyślnie, jak im się podoba. Dopóki używają tych urządzeń do uzyskiwania dostępu i tworzenia zasobów danych będących własnością pracodawcy, zasady dotyczące konfiguracji wydają się całkowicie rozsądne. To może nie sprawić, że IT i bezpieczeństwo będą szczególnie popularne wśród użytkowników (ale bądźmy szczerzy: nigdy nie było i to prawdopodobnie się nie zmieni).
<p>Copyright © 2021 IDG Communications, Inc.</p>