Geekly articles weekly

لماذا يجب على الشركات إدارة الهواتف الذكية للموظفين؟



في بداية شهر أكتوبر على هبر نوقش تسرب البيانات من "سبيربنك". باع أحد موظفي البنك معلومات عن آلاف أو ملايين العملاء: الاسم ، رقم جواز السفر ، رقم البطاقة ، تاريخ الميلاد ، العنوان ، إلخ.

الأخبار بحد ذاتها عادية: موظفو جميع البنوك الروسية تقريباً ومشغلي الاتصالات والشركات المملوكة للدولة يبيعون مثل هذه المعلومات الخاصة عن العملاء. ولكن هنا سقطت القاعدة في الوصول المفتوح ، وهو ما لا يحدث كثيرًا. تم حساب الموظف بالفعل (وربما معاقبته). لكن من قام بتأطير المخبر وسبيربنك من خلال إطلاق المعلومات في وسائل الإعلام هو موضوع منفصل .

ولكن ما الذي يجب على الشركات فعله ، وكيفية تجنب هذه التسريبات؟ ربما ، من الضروري رفع رواتب الموظفين (حتى لا يكسبون أموالاً إضافية بهذه الطريقة) وتعزيز سيطرتهم. يستخدم سبيربنك نظام InfoWatch DLP. ثم لم تساعد. هناك أنظمة أخرى تكمل DLP. على سبيل المثال ، تقدم Microsoft نظام إدارة الهواتف الذكية لموظفي Intune .

Intune هو أحد مكونات مجموعة Microsoft Enterprise Mobility + Security (EMS) التي تدير الأجهزة والتطبيقات المحمولة. إنه يتكامل بإحكام مع مكونات EMS الأخرى ، مثل Azure Active Directory (Azure AD) لإدارة حقوق الوصول وحماية معلومات Azure لحماية البيانات.



فيما يلي بعض ميزات Intune:

  • إدارة الأجهزة المحمولة وأجهزة الكمبيوتر المستخدمة للوصول إلى بيانات الشركة.
  • إدارة تطبيقات الأجهزة المحمولة التي يطلقها الموظفون.
  • حماية معلومات الشركة من خلال التحكم في كيفية وصول الموظفين ومشاركتها.
  • تأكد من أن جميع الأجهزة والتطبيقات تتوافق مع متطلبات الأمان.

على أساس Intune ، من المناسب إطلاق ما يسمى "هواتف الشركات" لتوزيعها على الموظفين. على سبيل المثال ، يُسمح في إقليم المكتب باستخدام أجهزتهم أو أجهزةهم الخاصة فقط مع نفس الاتصال بـ Intune والقيود المقابلة. هذا على الفور يلغي العديد من قنوات تسرب المعلومات المذكورة أعلاه.

يسمح لك Intune بحظر استخدام الكاميرا عن بُعد على الهاتف المحمول والحد من قائمة التطبيقات المسموح بها للتثبيت والإطلاق.

بالطبع ، يجب تعيين نفس القيود على الأجهزة اللوحية وأجهزة الكمبيوتر المحمولة وأجهزة سطح المكتب وأي أجهزة أخرى يستخدمها الموظف.



ما هي الأساليب التي تركها لنسخ المعلومات من قاعدة بيانات ، مثل تلك الخاصة بـ Sberbank؟ الكتابة إلى محركات أقراص فلاش محظورة أو مراقبة.

يمكن أن تملي المعلومات عن طريق الهاتف أو سكايب صوت. تتم تغطية هذه المشكلة عن طريق التعرف على الكلام DLP.

يمكنك نسخ المعلومات إلى تطبيق مرخص وإرساله عبر القنوات المفتوحة. على سبيل المثال ، قم بتشفيره ، ثم أرشفته إلى ملف مثل dogovor.zip وأرسله إلى الطرف المقابل تحت ستار تطبيق على العقد. أدخل ملف pdf أو jpg في البيانات الأولية ، وقم بإخفائه في ملف صوتي أو رسومي أو فيديو باستخدام طريقة إخفاء المعلومات ووضعه على استضافة مفتوحة. تتبع هذه الخيارات هو عمل خدمة الأمن ، التي لديها سجل من النشاط على شاشة كل موظف من خلال نظام DLP RAT .

بالطبع ، توضح قصة إدوارد سنودن أن المعلومات السرية يمكن إخراجها من أكثر المنظمات حماية إذا كنت تريد ذلك حقًا ، ولكن لهذا تحتاج إلى وصول خاص. استخدم إدوارد سنودن جهاز كمبيوتر قديم من الأرشيف يزعم أنه تحت ستار إصلاح (ربما لم تكن هناك منافذ على أجهزة الكمبيوتر الأخرى لتسجيل محرك أقراص محمول) ومكعب روبيك ، حيث أخفى بطاقة microSD.

يستخدم نظام إدارة جهاز الموظف في Intune البروتوكولات أو واجهات برمجة التطبيقات المتاحة على أنظمة تشغيل الأجهزة المحمولة. ويشمل مهام مثل:

  • تسجيل الأجهزة في النظام ، بحيث تكون كلها مرئية لقسم تكنولوجيا المعلومات
  • تكوين الأجهزة لتلبية معايير السلامة
  • توفير شهادات Wi-Fi / VPN وملفات التعريف للوصول إلى خدمات الشركات
  • الإبلاغ والتحقق من الامتثال لمعايير الشركة
  • حذف بيانات الشركة من الأجهزة المدارة

موفر الشهادة للأجهزة هو Azure Active Directory (Azure AD). يتكامل Intune مع Azure AD لمجموعة واسعة من سيناريوهات التحكم في الوصول.

تتضمن إدارة تطبيقات الهاتف المحمول (MAM system) تعيين تطبيقات جوال محددة لموظفين محددين ، وإعداد التطبيقات ؛ إدارة استخدام ومشاركة بيانات الشركة في تطبيقات الهاتف المحمول ؛ إزالة بيانات الشركة من تطبيقات الهاتف المحمول ؛ تحديث الخ

ما يعطي التكامل مع GlobalSign


منذ فبراير 2019 ، تدعم GlobalSign التكامل مع Intune و Microsoft Active Directory . هذا يعني أنه يمكن للأجهزة تسجيل الدخول إلى شبكة الشركة باستخدام شهادات GlobalSign PKI. يعد هذا أكثر ملاءمة للمستخدمين ومسؤولي النظام الذين يمكنهم تعيين الشهادات تلقائيًا لمجموعات معينة من المستخدمين ، وفقًا لحقوق الوصول الخاصة بهم. كل مجموعة لديها مجموعة من الموارد المسموح بها.

الإدارة التلقائية للشهادات والحقوق لكل مجموعة تقلل من مخاطر هذه التسريبات ، كما هو الحال مع سبيربنك. على الرغم من أنهم يقولون أن هناك معلومات تم بيعها من قبل مدير الفرع ، والتي كان لها افتراضيا أقصى حقوق. حسنًا ، إذا كان لا يزال من الممكن مراقبة الموظفين العاديين باستخدام أنظمة مثل Intune و DLP ، فإن قسم الأمن الأكثر تقدمًا ، والذي يقدم نفسه إلى هؤلاء الرؤساء ، لن ينقذ من سوء المعاملة من قبل الرؤساء.

Source: https://habr.com/ru/post/ar471372/

More articles:


All Articles