Holistički pristup zaštiti enterprise IT okruženja

Imajući na umu ozbiljnost posledica malicioznih napada na poslovanje, izuzetno je važno da se prilikom planiranja zaštite kompanijskih resursa sveobuhvatnim pristupom omogući zaštita svakog segmenta infrastrukture. Da bi se ovo postiglo treba imati u vidu nekoliko najčešćih nivoa gde je potrebno primeniti dodatnu zaštitu.

Mrežna zaštita

Prvi stepen zaštite čini stateful firewall postavljen na ulasku u internu mrežu i data‑centar. Njegova uloga je osnovno filtriranje saobraćaja. Takođe, dobro je imati nadogradnju u vidu firewall sistema nove generacije (NGFW), koji nudi mnogo veću funkcionalnost od tradicionalnih sistema. Pomoću njega može se vršiti filtriranje korisničkog saobraćaja na nivou URL‑a ili aplikacije, čime se stvara mogućnost blokiranja aplikacija koje spadaju u kategoriju potencijalno malicioznih, kakve su npr. Tor ili Torrent. Mnoga NGFW rešenja podržavaju i naprednu antimalver zaštitu, zaustavljajući distribuciju malicioznog fajla na nivou mreže. Tradicionalni način filtriranja paketa na nivou TCP ili UDP portova zamenjen je DPI inspekcijom (Deep Packet Inspection). Pomoću DPI metode vrši se provera i zaglavlja paketa i njegovog sadržaja, koji može nositi štetnu informaciju.

IPS/IDS je još jedan sistem koji je preporučljivo imati u mreži, zbog njegove mogućnosti detekcije različitih tipova aplikativnih napada, poput SQL injection-a i XSS-a. Iako se na ovim prostorima najčešće sreće implementiran signature‑based IPS, koji na osnovu dobro poznatih ranjivosti kreira karakteristične potpise, u poslednje vreme ipak se teži korišćenju anomaly‑based, tj. behavioral‑based IPS‑a. Ovo rešenje može, na osnovu odstupanja od standardnog stanja, detektovati pojavu sumnjivog saobraćaja, odnosno anomalije, što omogućava blokiranje napada koji targetiraju dotad nepoznate ranjivosti u sistemu. Iako se IPS može koristiti kao samostalno rešenje, sve češće se sreće integrisan u okviru NGFW‑a.

E‑mail zaštita

Jedna od najčešćih metoda koje napadači mogu iskoristiti za distribuciju malvera jeste e‑mail. Malver može biti dostavljen u različitim oblicima, kao attachment, hyperlink, makro unutar dokumenta i sl. Različitim tehnikama napadač može učiniti da sam e‑mail deluje legitimno, zbog čega veliki broj krajnjih korisnika ipak otvara sadržaj mail‑a. Neke od mogućih tehnika su e‑mail spoofing, domain shadowing, korišćenje homoglyph‑a (sličnih karaktera sa različitim vrednostima). E‑mail se može koristiti i kao sredstvo za prikupljanje dodatnih informacija od zaposlenih pomoću phishing metoda ili za skeniranje potencijalnih spam žrtava directory harvest napadom. Na kompaniji je da omogući filtriranje malicioznih mail‑ova pre nego što stignu do krajnjih korisnika i tako uvede dodatni nivo zaštite.

Radi postizanja maksimalnog nivoa sigurnosti, pre samog SMTP servera treba postaviti uređaj koji će vršiti filtriranje svih mail‑ova koji ulaze ili izlaze sa servera. Ovaj uređaj ne vrši samo antispam ulogu, kako se obično pretpostavlja, već na nekoliko različitih nivoa ispituje e‑mail i donosi odluku o njegovoj ispravnosti. Prvi korak prilikom inspekcije mail‑a je provera njegove reputacije pomoću Threat Intelligence baze, koju sam vendor redovno ažurira. Pri ovom koraku većina malicioznih poruka biva detektovana i odbačena. Potom slede antivirus i antispam inspekcija, nakon kojih se donosi odluka o ispravnosti mail‑a. Ovakav uređaj treba da pruži administratoru mogućnost da definiše sopstvene polise i filtere. Neki od parametara koji se mogu koristiti za kreiranje filtera jesu: veličina poruke, tip attachment‑a, sadržaj subject‑a, tela poruke ili attachment‑a. Ako mail odgovara filter‑polisi, na njega se mogu primeniti različite akcije. Mail se može smestiti u karantin, može mu se ukloniti attachment, dodati tag ili string u subject, može se odbaciti ili dostaviti. Kada je reč o odlaznim mail‑ovima, pored osnovnih antivirus i antispam provera, može se definisati i DLP inspekcija, čime se osigurava da zaposleni neće biti u mogućnosti da proslede strogo poverljive informacije van firme.

Još jedno rešenje koje može biti interesantno je sistem koji vrši analizu attachment‑a i svih njegovih elemenata, nakon čega pravi sigurnu kopiju koju dostavlja korisniku. Za razliku od standardne e‑mail zaštite, on neće odbaciti mail, ali će zaštititi korisnika tako što će ukloniti sav aktivan i nestandardni sadržaj iz dokumenata. Ovakva analiza nije procesorski zahtevna i vrši se dosta brže od sandbox analize, tako da primalac mail‑a neće primetiti nikakvo kašnjenje.

Endpoint zaštita

Uobičajeno je mišljenje da je jedina zaštita koju treba primeniti na samom korisničkom uređaju antivirus. Zbog prirode samih napada ova zaštita često nije dovoljna, pošto je ona dobra koliko i njena baza poznatih virusa. Pored toga, zaštita od malvera nije jedina stvar o kojoj treba razmišljati kada je u pitanju bezbednost radnih stanica.

U kompanijama u kojima je dozvoljeno iznošenje laptopova van firme, trebalo bi da imaju u vidu da ovakvi uređaji nisu uvek pod kompanijskom mrežnom zaštitom. U ovakvim slučajevima najpraktičnije je korišćenje VPN klijenata koji se automatski povezuju na VPN kada detektuju da je radna stanica van mreže kojoj se veruje. Na ovaj način forsira se da sav internet saobraćaj zaposlenog uvek prolazi kroz sigurnosne uređaje, poput firewall‑a ili IPS‑a, čime se povećava njegova bezbednost i van firme. Takođe, ovakve radne stanice izložene su opasnosti da budu ukradene, pa se enkripcijom diskova može obezbediti sigurnost podataka koji se nalaze na njima.

U pojedinim kompanijama dešava se da zaposleni, svesno ili nesvesno, dele poverljive informacije sa neautorizovanim licima. U ovakvim slučajevima važno je da postoji DLP mehanizam zaštite, koji će na osnovu kategorija fajlova moći da definiše polise i dozvoli njihovu razmenu samo među određenim grupama korisnika. Ovakvo rešenje moći će da detektuje razmenu fajlova preko mail‑a, USB‑a, IM‑a, File Share‑a i drugih metoda i spreči nedozvoljeno slanje podataka, pružajući pri tom vidljivost komunikacije.

Zaštita baza podataka i aplikacija

Pri planiranju zaštite data‑centra često pravimo grešku oslanjajući se mahom na perimetarsku zaštitu i polažući veru u to da su developeri koji su razvijali aplikacije pokrili sve sigurnosne propuste. Iako je zaštita koja se postiže dobrim programerskim praksama veoma važna, poput sanitizacije korisničkog inputa, autentifikacije ili definisanje timer‑a protiv bruteforce i DDoS napada, ona nije dovoljna za zaštitu od svih vrsta napada. Samim tim, u planiranju zaštite infrastrukture ostavljamo po strani baš one servere na kojima se nalaze ključni podaci za kompaniju.

Vrlo važna stavka u zaštiti jeste korišćenje aktuelnog patch‑a na serverima gde se nalazi aplikacija. Na ovaj način eliminiše se većina dobro poznatih ranjivosti i smanjuje opseg delovanja napadača. Kao dodatni nivo zaštite, preporučuje se korišćenje Web Application Firewall‑a (WAF), koji će biti u stanju da iz paketa izvuče informacije kao što su user ID, session cookie, tip browser‑a, IP adresa, lokacija i svi drugi metapodaci koji bi mogli da ukažu na napadača. On, takođe, pruža dobru zaštitu od OWASP top 10 vrsta napada, čime se obezbeđuje zaštita komercijalnih i custom aplikacija. Dobro WAF rešenje imaće mogućnost da uči o normalnom ponašanju i korišćenju aplikacije, zbog čega će biti u stanju da detektuje nepravilnosti u komunikaciji i blokira ih.

WAF se koristi i za zaštitu baze podataka, sprečavajući napade potekle od izvora kojima baza veruje, npr. javno dostupnih servera koje je napadač iskoristio za izvršavanje SQL injection napada. Za bolji uvid u rad baze treba razmisliti i o primeni rešenja za monitorisanje aktivnosti baze. Ovakvo rešenje vršilo bi detaljno izveštavanje o čitanju, upisivanju i brisanju iz baze i prevenciju sumnjive komunikacije. Pored toga, vršilo bi i skeniranje i klasifikaciju podataka koji se nalaze u bazi, definisalo prava pristupa korisnika i skeniralo sistem na ranjivosti i pogrešnu konfiguraciju.

SIEM

Jedna od važnih stvari koje bi svaka organizacija trebalo da razmotri je i uvođenje rešenja za centralizovano prikupljanje sigurnosnih informacija i događaja (SIEM – Security Information and Event Management). SIEM rešenja ne predstavljaju samo sisteme za prikupljanje logova, već se definišu kao skup kompleksnih tehnologija koje za cilj imaju da korisnicima pruže holistički pogled na celokupnu IT infrastrukturu. Pored toga, SIEM rešenja imaju veoma važnu ulogu u organizacijama koje imaju nameru da svoje poslovanje usklade sa različitim sertifikatima, kao što su ISO 27001, PCI, HIPAA i drugi.

U svojoj srži, SIEM rešenje objedinjuje sledeće tehnologije:

  • sistemzaprikupljanjelogova i događajasaraznihuređaja, servera i aplikacija u mreži (svičevi i ruteri, firewall, bazapodataka, aktivnidirektorijumi, aplikacije i dr.);
  • sistemzacentralizovane i slojevitepreglede u formiraznih dashboard‑ova;
  • normalizacija, kojapredstavljaprevođenjekompjuterskogžargona u podatkečitljivezakrajnjegkorisnika;
  • korelacija;
  • adaptabilnost, tj. mogućnostprilagođavanja SIEM rešenjatako da razumejezikerazličitihuređaja, bezobzirana to o komvendoru, formatuilitipuporuka je reč;
  • mogućnostkreiranjaizveštaja i alarmiranjaadministratorasistema u slučajurazličitihincidenata.

Opisani nivoi zaštite samo su neki od predloga za ulaganje inženjerskih i finansijskih resursa, ali nisu univerzalni standard zaštite koju svako mora da ima. Da bi se počelo sa planiranjem zaštite, kompanija mora da detektuje i prioritetizuje svoje ključne servise i resurse i da, u skladu sa tim, odluči šta je najvažnije zaštititi. Tako, na primer, mnoge manje kompanije neće imati potrebu za SIEM ili WAF rešenjima, dok će veće kompanije možda morati da se pozabave i definisanjem polisa za BYOD, uvođenjem sandboxing ili user activity monitoring rešenja. Uz to, pored postojanja sigurnosnih rešenja, jednako je važno da kompanija ima i obučene inženjere, koji će moći da svakodnevno monitorišu i upravljaju datim rešenjima, usklađujući njihov rad sa bezbednosnim regulativama koje kompanija želi da ispuni.

JelenaTatomirović, Jasna Jović i Milan Vujović

Ponesi sa sobom svoj HP

Termin BYOD (Bring Your Own Device) opisuje politiku jednog preduzeća da omogući zaposlenima ili poslovnim gostima korišćenje ličnih prenosivih uređaja na radnom mestu, sa ciljem udobnijeg rada i povećanja produktivnosti.
HP20131022333Takva politika nosi sa sobom izazove vezane za bezbednost podataka i procesa, a u ovom kratkom pregledu pokušaćemo da adresiramo tehnologiju bezbedne implementacije.

Iako s korisničke strane pravilno implementirano rešenje izgleda relativno jednostavno, iza toga se nalazi kompleksan sistem. Pogledajmo prvo tipičan proces povezivanja korisnika na mrežu.

Korisnik se povezuje na zaštićenu ili otvorenu WiFi mrežu. DHCP server dodeljuje mu privremenu IP adresu iz namenskog WLAN‑a i paralelno prikuplja podatke vezane za tzv. fingerprinting proces (prikupljanje „otisaka“ ili tragova specifičnih za različite uređaje) koje DHCP Agent prosleđuje srcu BYOD sistema – HP IMC serveru sa UAM modulom. Gostujući korisnik koji se prvi put povezuje na mrežu pomoću DNS redirekcije preusmerava se na portal na kojem mu je omogućeno logovanje.

Fingerprinting je proces prikupljanja podataka i klasifikovanja uređaja i korisnika na osnovu tragova koje ostavljaju i sastoji se minimalno od sledećih elemenata: MAC adresa klijentskog uređaja (prva 24 bita identifikuju proizvođača, tzv. OUI), forme DHCP zahteva (različiti klijentski uređaji imaju specifična polja u okviru DHCP Request poruke), i inicijalnog HTTP zahteva (koji se preusmerava na specijalni portal) iz kojeg se može dobiti informacija o tipu browser‑a i operativnom sistemu korisnika.

Nakon dobijenog privremenog pristupa na autentifikacioni poral (putem statičkog korisničkog imena i šifre ili nekom od metoda dvofaktorske autentifikacije), centralni sistem pored fingerprint‑a uređaja raspolaže i podatkom o korisniku koji pristupa mreži. Za gostujuće korisnike moguće je obezbediti i tzv. sponzorisani pristup gde se unosi e‑mail adresa domaćina, koji mu potom e‑mail‑om šalje link i odobrava privremeni pristup mreži (ili delu mreže).

byod
BYOD koncept prikazan grafički

Po završetku procesa, centralni IMC sistem raspolaže sledećim informacijama pomoću kojih primenjuje neku od definisanih polisa pristupa: kredencijalima korisnika, vrtsom uređaja (laptop, tablet, telefon…), verzijom operativnog sistema i korišćenog browser‑a. U skladu s definisanom polisom, šalje CoA (Change of Authority) poruku, kojom signalizira klijentu da se „otkači“ od otvorene mreže i ponovo poveže s drugom WLAN mrežom, u drugom (produkcionom ili gostujućem WLAN‑u) i bez korisničke intervencije omogućava korisniku pristup mrežim resursima u skladu s definisanom polisom.

Kao što je napomenuto u uvodu, za korisnika je ovaj proces potpuno transparentan i ne zahteva posebne aplikacije niti specifične intervencije. Korisniku ceo proces deluje kao jednostavno povezivanje na WiFi mrežu (uz unošenje kredencijala prilikom otvaranja prve Web stranice). Da bi sistem ispravno funkcionisao, cela infrastrukutra treba da bude kvalitetno isplanirana i implementirana. Na prvom mestu tu je tradicionalna „žičana“ LAN mreža, sa opremom za podršku za RFC 5176 (ranije RFC 3576), centralno kontrolisano Wireless okruženje s podrškom za multiSSID Wireless, kao i međusobno uvezane komponente, kao što su centralizovani DHCP server s pripadajućim agentom, IMC sistem za nadzor i kontrolu mreže, i odgovarajući modul IMC‑a (UAM), zadužen za kontrolu pristupa i sprovođenje politika pristupa.

www8.hp.com/us/en/networking

Milenko Markov

(Objavljeno u Časopisu PC#222)

Symantec Mobility Suite za bezbedan BYOD

Mobilni uređaji obrisali su jasnu liniju koja razdvaja radno i „privatno“ vreme, jer su omogućili da završavamo posao s bilo kog mesta, u bilo kom trenutku, od kuće ili dok smo u pokretu. Zbog toga koristimo svoje privatne mobline uređaje u poslovne svrhe i obrnuto, ali smo pritom izloženi bezbednosnim rizicima. Da vidimo kako povećati bezbednost korišćenjem Symantec alata.

iStock_000021619636_LargePrema procenama kompanije Gartner, koja se bavi istraživanjem u oblasti informacionih tehnologija, čak 75% svih preuzetih mobilnih aplikacija za Android, iOS i Windows, pada na osnovnim sigurnosnim testovima. Preuzimanje aplikacije postalo je treća omiljena aktivnost korisnika mobilnih uređaja, odmah posle Facebook‑a i YouTube‑a. Prosečan korisnik ima više od 40 aplikacija na svom smartfonu ili tabletu i često na istom uređaju ima aplikacije za posao i zabavu. One se preuzimaju bez mnogo razmišljanja o bezbednosti i bez znanja kojim podacima i funkcijama aplikacija pristupa.

Ne čudi onda što su aplikacije postale jedan od glavnih uzroka curenja korporativnih podataka. Ono može biti slučajno, kada sasvim bezopasna aplikacija šalje lične podatke korisnika putem Interneta i na taj način ostavlja otvorena vrata hakerima, ali i namerno. Mnoge aplikacije nose trojance koji u pozadini izvršavaju maliciozni kod, dok sve funkcioniše naizgled normalno. Maliciozne aplikacije tako prate vaše ponašanje i kretanje, sakupljaju podatke, menjaju podešavanje uređaja, presreću poruke i pozive i omogućavaju sajberkriminalcima da sakupe dovoljno podataka kako bi ciljano napadali kompanije i kompromitovali podatke.

Kako povećati bezbednost?

Dok je korišćenje pametnih mobilnih uređaja bilo još u povoju, organizacije su uspevale da se izbore sa izazovima mobilnosti tako što su kontrolisale uređaje. Kako su pametni telefoni i tableti postali popularniji, sve više ljudi počelo je da koristi sopstvene uređaje u poslovne svrhe. Postalo je jasno da je nemoguće kontrolisati sve te uređaje i da fokus mora da se pomeri sa zaštite uređaja na zaštitu podataka koji se na njima nalaze. Kontrola i upravljanje uređajima danas je samo jedan od aspekata zaštite od rizika koji su povezani s mobilnošću. Upravljanje mobilnim uređajima (MDM) jeste važno, ali ne i dovoljno, jer ne rešava problem korišćenja aplikacija i podataka.

Da bi mogle da postignu maksimum zaštite i maksimum produktivnosti, organizacije moraju da:

  • Upravljaju mobilnim uređajima, odnosno da imaju kontrolu i uvid u korišćenje tih uređaja
  • Upravljaju mobilnim aplikacijama, to jest da kontrolišu aplikacije i podatke koje aplikacije čuvaju
  • Upravljaju mobilnim sadržajem, što znači da treba da kontrolišu pristup važnim podacima koji se nalaze na sharepoint‑u, file share‑u i sličnim lokacijama

Naravno, iz praktičnih razloga za organizacije bi bilo idealno da jedan proizvod pokriva sve ove nivoe zaštite.

Jedno rešenje za sve mobilne izazove

Symantec Mobility Suite je platforma za zaštitu i upravljanje mobilnim uređajima. Ova platforma sastoji se iz tri modula – Upravljanje uređajima (MDM), Upravljanje aplikacijama (MAM) i Zaštita od pretnji – koji su integrisani i koriste zajedničku upravljačku konzolu. Mobility Suite omogućava da s jednog mesta upravljate uređajima, kontrolišete pristup e‑mail‑u i važnim podacima, upravljate aplikacijama i zaštitite sistem i podatke od malvera i rizičnih aplikacija.

Modul za upravljanje uređajima (MDM) omogućava kontrolu i uvid u korišćenje uređaja. Za MDM je izuzetno važno da podržava više platformi – Android, iOS, Windows, jer službenici koriste raznovrsne uređaje. Pomoću MDM‑a možete da zaključate, odnosno isključite uređaj ako je ukraden ili izgubljen, konfigurišete podešavanja ili šaljete ažuriranja svim uređajima sa centralne lokacije, zabranite nekim uređajima (na primer root‑ovanim i jailbreak‑ovanim) da se povežu na korporativnu mrežu.

Upravljanje aplikacijama (MAM) omogućava primenu pravila (polisa) na individualne aplikacije, tako da ne morate da kontrolišete same uređaje. Modul nudi i App Wrapping, mogućnost dodavanja sloja zaštite za korporativne aplikacije, koji mogu da dodaju administratori iz admin konzole. Za svaku aplikaciju ovim postupkom administratori mogu da definišu odgovarajuća pravila/polise, kao što su način autentifikacije, zabrane deljenja određenih informacija i enkripcija.

Threat Protection modul štiti mobilni operativni sistem i fajl sistem od tradicionalnih virusa i malvera, ali i od novih pretnji kao što su rizične aplikacije koje kradu podatke ili one koje troše bateriju i usporavaju rad uređaja. U ovom modulu postoji App Advisor čija je uloga da upozorava korisnike na aplikacije koje loše utiču na performanse ili nose rizik curenja podataka. Korisnik onda lako može da ih ukloni. Takođe, postoji i savetnik za Google App Store, koji automatski proverava da li su aplikacije bezbedne pre preuzimanja.

Suočavanje sa BYOD realnošću

Mobilnost je postala previše raširen trend da bismo mogli da je ignorišemo. Koliko god da se organizacije odupiru prodoru BYOD koncepta, zaposleni će naći način da koriste svoje privatne mobilne uređaje u poslovne svrhe i dovodiće u opasnost korporativne podatke. S dobro pripremljenom strategijom mobilne bezbednosti i izborom pravih proizvoda za zaštitu i ovaj izazov može da se prevaziđe. Veća produktivnost zaposlenih može da se postigne bez žrtvovanja bezbednosti.

Za dodatne informacije o Symantec Mobility Suite i pomoć pri planiranju strategije mobilne bezbednosti, kontaktirajte Net++ technologyoffice@netpp.rs

Anja Kiš

(Objavljeno u Časopisu PC#222)

ESET: Bezbednost u pokretu

Kako omogućiti zaposlenima da u kompanijskoj mreži koriste svoje uređaje, a da bezbednost sistema ne bude kompromitovana? ESET je kreireao Endpoint Protection Standard i Advanced pakete i prilagodio ih BYOD korisnicima.ESET

Termin BYOD, skraćenica od Bring Your Own Device, označava upotrebu personalnih uređaja koji pripadaju zaposlenima u kompanijskom okruženju. Prepoznata od strane Intel‑a tehnološki davne 2009. godine, ova pojava danas više predstavlja pravilo nego izuzetak. Prednosti BYOD‑a nisu male – zaposleni mogu da pristupaju poslovnim resursima u bilo kom trenutku, s bilo kog mesta bez dodatnog troška. S druge strane, ankete pokazuju povećan nivo produktivnosti i zadovoljstvo onih koji rade na sopstvenim uređajima. Danas više od polovine zaposlenih koristi svoje pametne telefone, tablete i laptopove za pristup kompanijskim resursima, što nameće zaključak da BYOD više nije samo trend već realnost poslovanja. Ipak, on sa sobom donosi i niz izazova, a najveći je pitanje bezbednosti.

Gde leži opasnost?

Slabo edukovani korisnici, malver, krađa podataka, root‑ovanje, sumnjive, neažurne aplikacije i ostali bezbednosni propusti, kao i opšti manjak korporativne kontrole nad BYOD uređajima, predstavljaju veliki potencijalni rizik. Jedini odgovor na ove probleme jeste kreiranje i primena dobro definisane BYOD polise, seta neophodnih preduslova za uređaje koji pristupaju korporativnim resursima. Stavka koju ćete sigurno naći u tom spisku jeste antivirusna zaštita.

Prateći trendove, kompanija ESET je razvila Endpoint Protection Standard i Advanced pakete proizvoda, sveobuhvatna rešenja koja mogu da zaštite BYOD korisnike. Kao nadogradnju na dobro osmišljen sistem korporativne zaštite, ESET u paketu obezbeđuje i zaštitu za Android, Windows Mobile i Symbian uređaje (Windows Phone i iOS uređaji nisu podržani zbog zatvorene prirode operativnog sistema na čemu insistira sam proizvođač). Čak i ako zaposleni koriste Linux ili MacOS, neće ostati bez antivirusne zaštite.

Endpoint Protection obezbeđuje stalno prisutnu antivirus i antispajver zaštitu na svim navedenim uređajima i operativnim sistemima. Na desktop i laptop klijentima Advanced paket nudi i zaštitni zid i filter za kontrolu Web‑a s kojima se mogu definisati odgovarajući profili ponašanja unutar i izvan korporativne mreže, na nivou klijenta, grupe ili celokupne mreže. Uz pomoć modula za kontrolu uređaja može se ograničiti upotreba BYOD USB memorija, štampača, modema, CD/DVD pisača ili bilo kog neautorizovanog uređaja. Bez obzira na to gde se BYOD korisnik nalazi, svim opcijama zaštite moguće je upravljati daljinski kroz ESET Remote Administrator Server.

Sigurnosna pravila

Kada je reč o mobilnim korisnicima, lista funkcionalnosti se dodatno proširuje. Pored antivirusne zaštite, administratorima je dostupan čitav spektar mogućnosti za sprovođenje sigurnosnih pravila na celokupnoj floti mobilnih uređaja. Zaštita omogućava postavku osnovnog nivoa sigurnosti – šifru za otključavanje ekrana, vremenski interval za promenu, minimalnu kompleksnost i maksimalan dozvoljeni broj neuspelih pokušaja otključavanja nakon kojih se uređaj automatski vraća na fabrička podešavanja.

Modul za kontrolu aplikacija omogućava definisanje zabranjenih aplikacija, blokiranje po kategorijama ili zahtevu za ovlašćenje pristupa (lokacije, kontakti), po poreklu aplikacije, a moguće je kreirati i listu aplikacija izuzetih od pravila. Modul protiv krađe ostavlja mogućnost upravljanja uređajima u slučaju gubitka ili krađe. Administrator može da definiše poruku koja će biti prikazana na zaključanom ekranu, što će potencijalnom nalazaču omogućiti kontakt s vlasnikom uređaja. Daljinsko zaključavanje, otključavanje, alarm, geolociranje, brisanje celokupnog sadržaja i ostale udaljene naredbe mogu se pokrenuti kroz ESET Remote Administrator ili SMS‑om preko predefinisanih poverljivih brojeva. Ubacivanje nepoznate SIM kartice poslaće SMS poruku sa informacijama o novoj kartici na listu poverljivih kontakata. Zaštita obaveštava BYOD korisnika i administratora ako trenutne postavke nisu u skladu s korporativnim sigurnosnim pravilima.

Kao zaokruženu ponudu, ESET je svojim korisnicima obezbedio i Secure Authentication, softversku platformu za dvostruku autorizaciju koja BYOD korisnicima obezbeđuje dodatnu sigurnost u pristupu kompanijskim resursima.

www.extreme.rs

Denis Daničić

(Objavljeno u Časopisu PC#222)

BYOD između profitabilnosti i rizika

Koncept Bring Your Own Device (BYOD) doneo je strože bezbednosne zahteve. Mogućnost da gubitkom uređaja ili hakerskim napadom osetljivi korporativni podaci dospeju u pogrešne ruke sve je veća, pa je potrebna stručna implementacija kako bi kompanija uživala u blagodetima tehnologije, izbegavajući prateće rizike.

BYOD-1Popularnost desktop računara drastično je opala, a primat preuzimaju mobilni uređaji. U Srbiji se sve više svakodnevnih poslova obavlja preko tableta i mobilnih telefona. Kako ovi uređaji postaju sve pametniji, a raznolikost poslovnih aplikacija sve veća, odavno su zamenili notese i beležnice. Nekada je praksa bila da se telefoni ugase na sastancima, a danas više nije, jer rukovodioci žele potpunu dostupnost svojih zaposlenih. Nikada se ne zna da li neki kritični deo ICT poslovanja može da stane. Pravovremena i brza reakcija može da bude presudna.

Skraćenica BYOD koristi se sve više kada se priča o unapređenju poslovanja, ali zaposlenima još nije najjasnije koje su njene prednosti i nedostaci. Preciznije rečeno, BYOD se odnosi na mogućnost da zaposleni donesu svoje mobilne uređaje, kao što su laptopovi, tableti i mobilni telefoni, na radno mesto i koriste ih u svakodnevnim poslovnim aktivnostima. U stvari, mobilni uređaji ne moraju da budu vlasništvo zaposlenog, već kompanije, ali ih zaposleni slobodno mogu koristiti i u poslovne i u privatne svrhe. Cilj ovog, sve popularnijeg koncepta jeste da se poveća produktivnost i omogući veća fleksibilnost zaposlenih.

Često se postavlja pitanje kome je, uopšte, BYOD pao na pamet. Kompanijama ili zaposlenima? Kome god, više nije važno jer se ideja svidela i jednima i drugima. Naime, kompanije se nadaju da će tako smanjiti troškove i postići veću zaradu, jer će zaposlenima ponuditi fleksibilnost u radu. Ako niste u kancelariji, posao se sada može lakše obaviti, kako u redovnim, tako i u hitnim situacijama, jer se privatni uređaj koji koristite i na poslu nalazi kod vas. Možete biti kod kuće ili na nekom drugom kraju grada usred saobraćajnog špica, a da posao završite lako i jednostavno, kao da ste na svom radnom mestu.

Popularnost mobilnih uređaja sve je veća, što iz godine u godinu pokazuju i statistike. Stoga zaposlenima postaje sve komplikovanije da veći deo dana nose i privatne i poslovne uređaje. Tako, na primer, na poslovna putovanja nose dva laptopa, a neretko i dva tableta kako bi razdvojili poslovnu i privatnu upotrebu. Dva ili tri mobilna odavno su uobičajena. Mnogi su se pitali kada će moći da svoj mobilni telefon i laptop, koji su oni odabrali i želeli da kupe jer im najviše odgovara, bezbedno povežu na korporativnu mrežu. Da li je rešenje u BYOD‑u i koje nam rizike ovo donosi, saznaćete u nastavku.

Bezbednosne provere privatnih uređaja

Kompanije koje ozbiljno pristupaju bezbednosti svojih digitalnih podataka nastoje da IT infrastrukturu zaštite antivirusnim softverima s poslednjim updateima, najkvalitetnijim firewall uređajima, polisama za pravo pristupa i sl. Na ovaj način pokušavaju da formiraju računarsku mrežu, kojoj je veoma teško pristupiti izvan kompanije, dok iznutra postoje određena ograničenja. Mnoge kompanije koje su otkrile hakerske napade prvo su se isključile sa interneta. Izolacijom usporavaju ili blokiraju napade i lakše lociraju zaražene računare ili servere.

Uvođenjem BYOD rešenja ovo se menja, jer je sada potrebno da uređaji koji dolaze spolja mogu lako da se povežu na računarsku mrežu unutar i izvan kompanije. Izolacija korporativne mreže može dovesti do blokiranja jednog dela zaposlenih, a samim tim i do usporavanja poslovanja. To ne znači da je BYOD nepoželjan i da ga treba zaobilaziti u širokom luku, već naprotiv. Veoma je važno ozbiljno pristupiti bezbednosnim zahtevima kada se kompanija opredeli za upotrebu privatnih mobilnih uređaja za poslovne svrhe.

Najviše problema desi se upravo zato što neki olako shvate zahteve BYOD‑a i bez ikakvih pojačanih bezbednosnih mera u sistemu počnu da donose i povezuju svoje uređaje na korporativnu mrežu. Stoga je u prvom koraku važno implementirati kvalitetno rešenje koje bi zadovoljilo neophodne zahteve bezbednosti. Neka od rešenja nude renomirane kompanije, kao što su Cisco, HP, IBM i Dell. U drugom koraku, privatni uređaji moraju proći stroge kontrole pre upotrebe u kompanijama, jer su možda već i sami zaraženi zlonamernim softverima. Potrebno je formirati i posebne naloge, koji bi se koristili samo za poslovne potrebe. Ti nalozi, uz strogu kontrolu instaliranog softvera i kriptovanje podataka, treba da omoguće visok stepen bezbednosti, koji nikako ne sme da bude manji od već postojećeg u kompaniji.

Kontrola instaliranog softvera

Kompanije nastoje da smanje troškove na sve moguće načine, pa im je BYOD došao kao šlag na tortu. Mnogi računaju da će dosta uštedeti ako zaposleni počnu da donose svoje uređaje. Ipak, postoji nešto što ih je dodatno motivisalo (kao jagoda navrh šlaga), a to je BYOS (Bring Your Own Software). Na taj način licenciran operativni sistem, Office paket i još poneki softver može doneti sam zaposleni, čime kompanija dodatno smanjuje svoje troškove licenciranja. Naravno, pojedine namenske softvere moraće da im obezbedi kompanija, ali danas svaka ušteda dobro dođe.

Instalacija softvera, takođe, mora biti kontrolisana. U suprotnom može se desiti da se donesu besplatni softveri koji inače moraju da se plate ako se koriste u poslovne svrhe. Pored kazne, ovo ne bi trebalo da nanese veću štetu kompaniji. Ipak, ako uređaj koristi nezvanične verzije softvera koje su potekle sa crnog tržišta, to može izazvati ozbiljne probleme. Svima je poznato da iza krekovanih i besplatnih verzija ne stoji proizvođač i da one mogu da sadrže različite bezbednosne propuste. Često hakeri koriste upravo ove verzije softvera za postavljanje zlonamernog koda koji prikuplja podatke sa zaraženog uređaja i bez znanja korisnika šalje napadaču. Stoga je veoma važno da privatni uređaji prođu stroge bezbednosne kontrole, koje su primenjene u kompaniji, a definisane u priznatim međunarodnim standardima, kao što je ISO 27001.

Neki od osnovnih zahteva jesu da svaki uređaj poseduje antivirusni softver i da svi instalirani softveri zajedno sa operativnim sistemom budu updateovani odgovarajućim poslednjim verzijama. Što se tiče antivirusnih rešenja za potrebe BYOD‑a, ona se mogu naći kod dobro poznatih kompanija, kao što su Kaspersky, Trend Micro, G data, Symantec, McAfee i dr.

Kriptovanje podataka

Veoma je važno da korporativni podaci budu smešteni na poseban hard‑disk mobilnog uređaja, a ako postoji samo jedan hard‑disk, onda na sekciju koja je kreirana u te svrhe. Ovaj deo memorije treba da bude kriptovan, a ako laptop poseduje TPM (Trust Platform Module) čip najbolje bi bilo da se koristi Microsoftovo rešenje BitLocker. Tada se samo na osnovu lozinke koju definiše korisnik može pristupiti podacima. Kao i uvek, važno je izabrati kompleksnu lozinku, koja će doprineti dugotrajnoj bezbednosti. U slučaju krađe ili gubitka uređaja BitLocker će sprečiti neautorizovane korisnike da pristupe korporativnim podacima. Što je najvažnije, disk će ostati nečitljiv čak i ako se izvadi i prebaci u drugi računar.

S druge strane, šta uraditi sa fleš‑memorijama i eksternim hard‑diskovima? Da li odobriti USB pristup? Neke kompanije potpuno zabranjuju ovu opciju, dok druge ograničavaju upotrebu samo na posebno zaštićene hardverske uređaje. Zaposleni tako mogu da koriste prenosive memorije, ali samo ako imaju hardversku enkripciju. Ovakvi uređaji danas nisu retkost, pa se nalaze u ponudi mnogih kompanija: IronKey, Kingston, SanDisk, Western Digital, Transcend, Seagate, Hitachi i dr.

Mogu li uređaji preći u drugu kompaniju?

Kada se korisnik opredeli za prodaju starog uređaja, potrebno je ponovo proći bezbednosne procedure. Sada one treba da budu strože nego provere kroz koje je uređaj prošao pre korišćenja u korporativnoj sredini. Naime, osetljivi podaci ne treba da budu obrisani, već potpuno uklonjeni sa uređaja. To zahteva korišćenje posebnih tehnika koje nikako nisu slične akciji pritiskanja tastera Delete ili resetovanju uređaja. Pojedine kompanije idu i korak dalje, pa ne dozvoljavaju zaposlenima da ove uređaju prodaju, već ih one otkupljuju. Nakon toga, pored višestrukog brisanja diskovi i memorije fizički se uništavaju.

Problem se javlja i kada zaposleni koji je vlasnik uređaja prelazi u drugu kompaniju. Da li prvobitna kompanija treba da zadrži uređaj ili možda da samo ukloni svoje podatke i ukine prava pristupa korporativnoj mreži bivšem zaposlenom i njegovim uređajima? Odgovor na ovo pitanje daje sama kompanija u skladu sa svojom politikom i ugovorom koji ima sa zaposlenim. Ipak, radi bezbednosti poslovanja preporuka je da kompanije postupe kao u slučaju prodaje uređaja.

Postupke u ovakvim situacijama treba definisati pre uvođenja BYOD rešenja. Shodno tome potrebno je prilagoditi i ugovore kako bi svaki zaposleni odmah bio informisan o bezbednosnim procedurama kompanije, koja bi se tako zaštitila i od potencijalnih tužbi.

Google-i-BYOD-1Kako se zaštititi uz BYOD scenario

  • Antivirusna zaštita
  • Potpuna enkripcija sadržaja memorije
  • Daljinsko uklanjanje podataka sa uređaja u slučaju gubitka
    ili krađe
  • Formiranje dva različita profila kako bi se razdvojili privatni i poslovni podaci
  • Pristup poslovnim podacima izvan kompanije samo
    preko virtuelne privatne mreže (VPN)
  • Korišćenje eksternih memorija sa hardverskom enkripcijom
  • Potpuna kontrola nad instaliranim aplikacija
  • Kompleksne lozinke za pristup uređajima, a po mogućnosti i dvofaktorska autentifikacija
  • Korišćenje isključivo originalnih (licenciranih) verzija softvera

Google i BYOD

Na BYOD tržište Google je ušao pre godinu dana kupovinom kompanije Divide i njenih rešenja, koja pomažu organizacijama i zaposlenima da osiguraju svoje privatne mobilne uređaje kako bi mogli da ih koriste u korporativnoj mreži.

Krajem februara Google je otišao korak dalje i predstavio aplikaciju Android for Work, rešenje kojim želi da doprinese bezbednijem poslovanju prilikom korišćenja privatnih Android uređaja. Pomoću aplikacije korisnici mogu da naprave dva odvojena i potpuno nezavisna profila zaključana lozinkom. Na ovaj način podaci s jednog profila nisu vidljivi na drugom, što je veoma važno kompanijama, ali i samim korisnicima.

Luka Milinković

(Objavljeno u Časopisu PC#222)

Jednostavnija mobilnost u kompanijama

Pametni uređaji su sve prisutniji u poslovnom okruženju, a pred kompanijama je izazov implementacije, konfiguracije i upravljanja ovom opremom. AirWatch platforma nudi jednostavno i sigurno rešenje.

11-o-SMARTPHONE-facebookAirWatch je lider u enterprise mobility menadžmentu sa više od 1600 zaposlenih po čitavom svetu. Više od 10.000 kompanija je AirWatch-u ukazalo poverenje u obezbeđivanju i upravljanju mobilnim uređajima. Sa vodećim rešenjima u oblastima sigurnosti, BYOD, aplikacija, sadržaja, email-a i pretraživanju, AirWatch pojednostavljuje upravljanje u enterprise okruženjima.

Osnovan 2003. godine sa sedištem u Sandy Springsu, Georgia, AirWatch je veoma rano zabeležio uspeh u sferi bežičnih uređaja. Kako su 2006. godine, “pametni” uređaji postali sve prisutniji u enterprise okruženju, mendžment je odlučio da fokus firme premesti na upravljanje svih mobilnih uređaja u okviru istog. Tim koji je bio zadužen za strategiju kompanije, bio je ubeđen da će konzumerizacija IT-a potpuno promeniti način poslovanja. Bili su apsolutno u pravu. U februaru 2014. godine, VmWare je kupio AirWatch za 1,54 milijardi dolara.

AirWatch pojednostavljuje mobilnost u organizacijama, omogućavajući tim organizacijama da lako implementiraju, konfigurišu, obezbeđuju, upravljaju i da podržavaju pametne telefone, tablete, laptopove i ostale uređaje na raznim platformama i operativnim sistemima. Integrisano rešenje omogućuje organizacijama smanjenje troškova i povećanje efikasnosti, smanjujući sigurnosne rizike i sprečavajući gubitke podataka.

Evo kako je jedan od čelnika VmWare-a opisao razvojni put AirWatch-a, posle njegove kupovine: “Korisnici bi trebalo da imaju jedinstveno iskustvo “jednog klika”, bez potrebe da unose korisnička imena i lozinke, bez posebnih VPN-ova, kako bi pristupali internim resursima. Takođe, fokusiramo se na zajednički skup funkcionalnosti i mogućnosti koje se mogu primenjivati na svim platformama – upravljanje aplikacijama, upravljanje sadržajem i uređajima. Slično tome, trebalo bi da postoje zajedničke funkcije kao što su identitet i kontrola pristupa mreži, koji bi trebalo da budu integrisani u naš proizvod da bi se obezbedio konzistentan korisnički doživljaj.”

Zašto AirWatch?

Enterprajz arhitektura

Podržava implementaciju stotine, hiljade uređaja kroz robustnu arhitekturu koja je potpuno podesiva u svim okruženjima i zadovoljava sve zahteve i potrebe. AirWatch je izgrađen na standardnoj tehnologiji tako da omogućava nesmetan rad, “rame uz rame”, sa postojećim aplikacijama.

Integracija unutar enterprajza

AirWatch se pouzdano integriše sa AD/LDAP, CA, email infrastrukturom kao i sa drugim sistemima unutar enterprajz okruženja. Kako u oblaku, tako i “on-premise”.

Fleksibilnost

Nudi implementaciju unutar oblaka ili “on-premise“. Ukoliko se potrebe promene, lako je izvršiti migraciju sa jedne na drugu uz pomoć AirWatch-a.

Sigurnost

AirWatch platforma je izgrađena na sigurnosti, radeći na ojačanom Windows OS-u sa onemogućenim nepotrebnim servisima. Komunikacija između uređaja je autentifikovana MTLS-om (Mutual Transport Layer Security) protokolom i enkriptovana sa jedinstvenim ID sertifikatom koji je izdat tokom registracije uređaja.

Skalabilnost

Platforma je dizajnirana tako da podržava bilo koju implementaciju, od desetine do nekoliko desetina hiljada mobilnih uređaja. To je čini izrazito skalabilnom.

Pristup na osnovu rola

AirWatch omogućava pristup na osnovu rola, kao i sposobnost autentifikacije koja obezbeđuje dodelu različitih prava zaposlenima za administraciju sistema, u zavisnosti od njihovih funkcija u samoj organizaciji. LDAP integracija, automatska sinhronizacija bilo kakvih promena, naravno, sve sa jedne konzole.

API i partnerski ekosistem

AirWatch je razvio obiman API okvir koji se integriše sa postojećim sistemima i servisima unutar preduzeća, kao i sa istim sa treće strane.

Automatizovani monitoring

Razne alatke za monitoring omogućavaju automatizovani proces. Ova mogućnost obezbeđuje da se beleže svi logovi administratora, događaji uređaja i sistema. Omogućena je i komunikacija sa eksternim log sistemima preko syslog-a čime je ostvarena potpuna fleksibilnost.

HA (High Availibility) i
DR (Disaster Recovery)

AirWatch karakteriše active-active konfiguracija za HA. Takođe, AirWatch uključuje i tehnologiju replikacije koja sprečava gubitak podataka.

Za informacije o Printec Grupi posetite www.printecgroup.com ili kontaktirajte beogradsku kancelariju:office@printec.rs , 011/2206‑980.

Jovana Kojić

(Objavljeno u časopisu PC#216)

Kako da zaštitite kompanijske mobilne telefone?

Sav­re­me­na po­slov­na ko­mu­ni­ka­ci­ja go­to­vo da se ne mo­že ni za­mi­sli­ti bez mo­bil­nih uređaja, bi­lo da go­vo­ri­mo o ra­zme­ni ma­ilova, SMS‑ova, ra­zgo­vo­ra pre­ko Vi­bera i Skypea i, na­rav­no, bez te­le­fo­ni­ra­nja. Čak se mo­že reći da su ovi uređaji pre­uze­li pri­mat u o­dno­su na kla­sične vi­do­ve ko­mu­ni­ka­ci­je pre­ko računa­ra ili fik­snog te­le­fo­na. Mo­bi­lity era je sko­ro u pot­pu­nos­ti za­me­ni­la PC i web eru do­no­seći be­zbroj no­vih mo­gućnos­ti, ali is­to to­li­ko i ri­zika…

 

bussines-phone

Po­jam BYOD (Bring Your Own Device ‑ po­ne­si svoj uređaj) kao i rad na da­lji­nu ili od kuće, vi­še ni­su neuobičaje­ni ni kod nas, u­pra­vo zbog u­šte­de i sma­nje­nja tro­ško­va. Za­po­sle­ni pre­ko svog mo­bil­nog uređaja ima­ju pris­tup kom­pa­nij­skim ser­ve­ri­ma, mre­ži, po­ver­lji­vim do­ku­men­ti­ma, mail‑ovi­ma, računi­ma… Kom­pro­mi­to­va­ni uređaji la­ko pos­ta­ju me­ta na­pa­sni­ka i pre­ko njih po­da­ci (ili no­vac) naj­lak­še „pro­cu­re“.
U­pra­vo ovi uređaji su naj­sla­bi­ja ka­ri­ka be­zbe­dnos­ti. Kom­pa­ni­je su go­di­na­ma ula­ga­le u ra­zličite firewall uređaje, an­ti­vi­rus pro­gra­me, pri­me­nom ra­zličitih po­li­sa kroz Active directory, us­klađiva­le svo­je po­slo­va­nje sa svet­skim compliance stan­dar­di­ma, a sve to u ci­lju za­tva­ra­nja be­zbe­dno­snih ru­pa. Ali, čini se da ove me­re vi­še ni­su do­volj­ne. Čak i na­i­zgled naj­be­za­zle­ni­je a­pli­ka­ci­je s Google Play‑a tra­že pris­tup svim na­šim kon­tak­ti­ma. Ka­ko u ta­kvom ša­ro­li­kom o­kru­že­nju drža­ti stva­ri pod kon­tro­lom? Ka­ko obe­zbe­di­ti si­gu­ran pris­tup kom­pa­nij­skim re­sur­si­ma kao što su VPN ili Sharepoint? Ka­ko ra­zdvo­ji­ti po­slov­ne po­dat­ke od pri­va­tnih? Ne pre­os­ta­je nam ni­šta dru­go ne­go da se po­vi­nu­je­mo pra­vi­li­ma ko­je je do­ne­la Mobility era i po­tra­ži­mo ne­ko MDM (Mobile Device Management) re­še­nje.
Tre­nu­tno je na po­lju MDM re­še­nja ve­li­ka gu­žva i mno­gi ven­do­ri su u svoj por­tfo­lio do­da­li mo­gućnost im­ple­men­ta­ci­je MDM‑a, ali pos­tav­lja se pi­ta­nje na šta tre­ba o­bra­ti­ti pa­žnju, ko­ja fun­kci­onal­nost je stvar­no po­tre­bna i na ko­ji način je mo­guće im­ple­men­ti­ra­ti re­še­nje. Spo­me­nućemo naj­bi­tni­je pa­ra­me­tre ko­ji mo­gu bi­ti pre­su­dni u i­zbo­ru pra­vog MDM ven­do­ra: je­dnos­tav­nost im­ple­men­ta­ci­je, ce­na, ser­vi­sna po­drška i po­drška cloud re­še­nju.Za sa­da, de­lu­je da se i­zbor pra­vog par­tne­ra za­sni­va u­glav­nom na do­bi­je­nim mar­ke­tin­škim po­da­ci­ma ko­ji mo­gu da skre­nu stva­ri s bi­tnih na nice to have.
Pre­ma Gartner‑ovom ma­gičnom kva­dran­tu za 2013. go­di­nu, tre­nu­tni li­de­ri na po­lju MDM re­še­nja su AirWatch, MobileIron, Citrix, SAP, Good Technology, Fiberlink… Svi se po­no­se svo­jim re­še­nji­ma ko­ja su do­ka­za­na kroz be­zbroj im­ple­men­ta­ci­ja. Sva ova re­še­nja su na ne­ki način slična i do­no­se mno­ga olak­ša­nja a­dmi­nis­tra­to­ri­ma, počev­ši od pros­te kon­fi­gu­ra­ci­je te­le­fo­na, pre­ko po­de­ša­va­nja mail pro­fi­la, poče­tne web stra­ne, se­ta oba­ve­znih a­pli­ka­ci­ja do na­pre­dnog izo­lo­va­nja a­pli­ka­ci­je u izo­lo­va­ne par­ti­ci­je – kon­tej­ne­re.
U­krat­ko, upo­tre­bom od­go­va­ra­jućeg MDM re­še­nja mo­že­te da o­slo­bo­di­te pun po­ten­ci­jal za­po­sle­nih i da po­me­ri­te gra­ni­ce po­slo­va­nja na mno­go vi­ši ni­vo. Da­nas je vrlo la­ko na­pra­vi­ti is­tu­re­no ode­lje­nje za ko­je nam je ra­ni­je tre­ba­lo mno­go re­sur­sa pla­ni­ra­nja i sve­ga os­ta­log.
Na pri­mer, za in­sta­la­ci­ju šal­te­ra ban­ke ko­ja že­li da pred­sta­vi svo­je pro­i­zvo­de na jav­nom mes­tu, kao što su še­ta­li­šta, jav­ni sku­po­vi, ta ope­ra­ci­ja bi pred­stav­lja­la ve­li­ki be­zbe­dno­sni ri­zik. Da­nas nam je sve to omo­gućeno upo­tre­bom mo­bil­nih uređaja i na­la­zi nam se na­do­hvat ru­ke. Si­gur­na ko­mu­ni­ka­ci­ja na uređaju, naj­no­vi­ja a­pli­ka­ci­ja na uređaju, stru­ja u uređaju, ve­za sa štam­pačem na uređaju, sve je tu – sa­mo pos­ta­vi­te šal­ter.

MDM re­še­nja pos­ta­ju ne­op­ho­dna u kom­pa­ni­ja­ma. In­te­gra­ci­ja Mobile Device Management‑a ni­je vi­še spo­re­dno kom­pa­nij­sko hoćemo‑ili-nećemo pi­ta­nje ne­go ne­što što je oba­ve­zno ima­ti u mo­der­nom po­slov­nom o­kru­že­nju. Mobi­lity era nam je do­ne­la mno­ge bla­go­de­ti, ali i pos­ta­vi­la o­dređene za­ko­ni­tos­ti po ko­ji­ma se mo­ra­mo po­na­ša­ti uko­li­ko ne že­li­mo da u­gro­zi­mo svo­je po­slo­va­nje i o­drži­mo ko­rak s kon­ku­ren­ci­jom.

byod

O­snov­ne stva­ri ko­je sva­ko MDM re­še­nje tre­ba­ da ima u po­nu­di

1. Mo­gućnost po­ve­zi­va­nja s tre­nu­tnim kom­pa­nij­skim re­sur­si­ma (npr: SharePoint, MS Active Directory, MS Exchange, Lotus itd.). To se čini kao tri­vi­jal­na stvar ako se ra­di o pre­du­zeću s ne­ko­li­ko za­po­sle­nih, ali ka­da kom­pa­ni­je ima­ju vi­še sto­ti­na za­po­sle­nih, to mo­že bi­ti pra­va noćna mo­ra! Za­mi­sli­te da sve ko­ri­sni­ke ko­je ste  ima­li u pos­to­jećem MS AD mo­ra­te po­no­vo da uno­si­te, da kre­ira­te gru­pe, o­dređuje­te pra­vi­la, na­zi­ve… Ka­sni­ja a­dmi­nis­tra­ci­ja bi mo­gla da do­ve­de do po­ja­ve još pro­ble­ma. Za­mi­sli­te si­tu­aci­ju gde bis­te mo­ra­li da pa­ra­lel­no vo­di­te a­dmi­nis­tra­ci­ju u dva ili vi­še sis­te­ma?!

2. Mo­gućnost  u­prav­lja­nja uređajem bez ob­zi­ra na ope­ra­tiv­ni sis­tem (Android, iOS, Windows Phone). Sva­ko MDM re­še­nje ko­je oda­be­re­te mo­ra da ima mo­gućnost kon­fi­gu­ra­ci­je i po­de­ša­va­nja uređaja, bez ob­zi­ra na ope­ra­tiv­ni sis­te­ma ko­ji ima­te na nje­mu. O­dređena re­še­nja već ima­ju u po­nu­di i mo­gućnost u­prav­lja­nja i desktop o­kru­že­njem ko­je ra­di pod Windows‑om 8.
U­prav­lje­nje a­pli­ka­ci­ja­ma. Do­bro iza­bra­no re­še­nje tre­ba­lo bi da sa­drži mo­gućnost i u­prav­lja­nja i dis­tri­bu­ci­ju a­pli­ka­ci­ja na mo­bil­ni uređaj, bi­lo da su one in­ter­no ra­zvi­je­ne ili da se mo­gu naći na ne­kom od po­zna­tih store‑ova.

3. De­tek­ci­ja Jailbreak i Root uređaja i izo­la­ci­ja ta­kvih uređaja.

4. Kon­tro­la sa­drža­ja uređaja. Spe­ci­fi­ka­ci­ja in­sta­li­ra­nih a­pli­ka­ci­ja na uređaju, kre­ira­nje black i white lis­ta.

5. Mo­gućnost sprečava­nja cu­re­nja po­da­ta­ka (Data Loss Prevention/protection – DLP). Kon­tro­la po­je­di­nih ključnih reči u mail‑ovi­ma i po­ru­ka­ma.

6 . Kon­tej­ne­ri­za­ci­ja. Izo­lo­va­nje a­pli­ka­ci­ja u po­se­bne kon­tej­ne­re gde bi se rad a­pli­ka­ci­ja izo­lo­vao od ra­da os­ta­lih uređaja.

Kompanije koje u Srbiji nude i uspešno implementiraju ovakva rešenja su SnT, Towers Net i Nes Communications.