Организациям приходится иметь дело с тремя мега-тенденциями в развитии ИТ, которые не демонстрируют признаков замедления: переход к облачным вычислениям, быстрый рост количества мобильных устройств и приложений на рабочих местах и проникновение социальных сетей в корпоративную среду.
Мобильные технологии, облака, социальные сети порождают уникальные угрозы, которые, если им не противодействовать, способны вызвать серьезные проблемы в организациях любого типа и размера.
Каждая из этих тенденций открывает огромные возможности для получения преимуществ, включая более тесное сотрудничество, повышение производительности труда, увеличение эффективности операций и улучшение обслуживания клиентов. И каждая порождает уникальные проблемы в области безопасности, которые, если им не противодействовать, могут привести к появлению в организациях серьезных проблем.
Что касается мобильной технологии, то двойственная природа таких устройств, которые используются как в личных целях, так и для работы, “предполагает, что на организации накладываются дополнительные ограничения, касающиеся того, что они могут развертывать на этих устройствах и какие требования предъявлять их пользователям”, — считает Ариэль Силверстоун, консультант по вопросам безопасности и бывший руководитель службы безопасности.
В случае с облаками, особенно облачными сервисами сторонних провайдеров, имеются такие проблемы безопасности, как утрата организациями возможности физически владеть информацией и гораздо более ограниченные возможности проведения аудита, которого требуют законодательство и обязательства по контрактам, отметил Силверстоун.
Социальные сети несут иную опасность: что, где и кому сообщает сотрудник, может стать проблемой с точки зрения безопасности и конфиденциальности.
“Я считаю, что для решения этих задач требуется проводить работу с вашими сотрудниками вместо того, чтобы пытаться их принуждать, — сказал Силверстоун. — Разработайте социальную политику, которая будет стимулировать участие сотрудников в общении и одновременно мягко напоминать им о наличии конфиденциальных сведений”.
Растет число организаций, использующих облака, мобильность и социальные сети и формирующих стратегии обеспечения безопасности в этих новых сферах.
Позаботьтесь о безопасности во всех областях
Компания Walz Group (г. Темекула, шт. Калифорния), провайдер сервисов, обеспечивающих обмен информацией и соблюдение требований регуляторов, учитывает все три названные тенденции в развитии ИТ. Ее сотрудники пользуются смартфонами, в основном устройствами с Android или производства Apple. Что касается облаков, то компания применяет продукты типа “ПО как сервис” (SaaS), например систему управления отношениями с клиентом SalesForce.com. Кроме того, более четырех лет ее производственные приложения и бизнес-сервисы размещаются в частном облаке с использованием IaaS (инфраструктура как сервис) на платформах NetApp и Cisco Systems.
Для бизнеса Walz использует также социальные сети. Высокий процент сотрудников имеет учетные записи в Facebook, Twitter и LinkedIn. Задействованы и другие ресурсы онлайновых коммуникаций и организации сотрудничества, такие как Skype.
Компания предпринимает шаги с целью обеспечения безопасности во всех этих областях.
“Смартфоны могут весьма эффективно собирать, мониторить, хранить и распространять данные, поскольку большинство устройств имеет сейчас видеокамеры, системы хранения, доступ в Интернет и к магазину приложений”, а также другие функции, рассказал Барт Фалзарано, директор по информационной безопасности. “Для защиты этих устройств необходимы соответствующие средства и меры”, чтобы конфиденциальность данных, интеллектуальная собственность компании и клиентские данные постоянно были в безопасности в соответствии с принятыми стандартами и требованиями регуляторов, такими как закон о защите информации о состоянии здоровья пациентов (HIPAA).
Walz предприняла ряд мер для улучшения защиты, в том числе отключение портов USB на системах, содержащих конфиденциальные сведения, обучение сотрудников безопасному обращению с устройствами и введение ограничений на то, где, когда и как ими можно пользоваться. Кроме того, компания организовала централизованное управление для удаленного стирания данных, а ее провайдер сотовой связи производит сканирование и оценку устройств с точки зрения безопасности.
Что касается сервисов SaaS и IaaS, предоставляемых через публичные облака, то в целях безопасности необходимо контролировать количество облачных сервисов. Сотрудники могут легко подписаться на некоторые из них и приступить к их использованию, считает Фалзарано.
Среди других проблем безопасности следует назвать владение данными, их шифрование, управление ключами и контроль за репликацией данных. “При хранении данных в публичных облаках, например, как провайдер облачных сервисов выполняет репликацию данных? — спрашивает Фалзарано. — Доступны ли эти политики управления для клиента, чтобы он мог от них отказаться или ограничить репликацию данных?”.
Для смягчения некоторых проблем с публичными облачными сервисами, Walz развернула свои производственные приложения и бизнес-сервисы на платформах частных облаков. Это позволило привести их в соответствие со строгими требованиями к информационной безопасности. Кроме того, компания проводит обучение сотрудников обеспечению защиты при инсталляции и использовании ПО и облачных сервисов других фирм. Работники должны расписаться в подтверждение согласия с политикой использования систем.
Что касается социальных сетей, то здесь имеются свои проблемы. “От этих сайтов исходят многочисленные угрозы. Они осуществляют управление, мониторинг и ведение журнала использования социальных сетей сотрудниками, обмена данными и потоков информации, — сказал Фалзарано. — Мы управляем исходящими от них рисками за счет блокирования некоторых социальных сетей с помощью брандмауэров, введения правил использования пограничных устройств и политик”.
Компания применяет также устройства, предотвращающие потерю данных, и обучает сотрудников безопасному использованию социальных сетей.
Благодаря всем этим мерам “мы сумели обеспечить соответствие требованиям информационной безопасности, непрерывности бизнеса, восстановления после катастроф и соблюдения конфиденциальности данных”, утверждает Фалзарано.
Безопасность или удобство использования?
Компания Automatic Data Processing (ADP; Розленд, шт. Нью-Джерси), предоставляет услуги по подбору персонала, расчету зарплаты, налогов и премий. В целях совершенствования бизнеса она использует мобильную технологию и облако.
“Мобильность — это стратегия, открывающая уникальные перспективы. Она предоставляет ADP огромные новые возможности, — отметил старший директор по объединенной архитектуре безопасности ADP Global Security Organization В. Джей ЛаРоса. — То, что мы можем использовать такие устройства для ускорения доступа к данным, более быстрого оформления продаж или предоставления нашим клиентам возможности управлять расчетом зарплаты сотрудника со своих мобильных устройств, позволяет нам выделиться на рынке”.
Но соотношение безопасности и удобства использования всегда представляет проблему, утверждает ЛаРоса: “Если ваша политика безопасности носит слишком драконовский характер, быстрые и гибкие компьютерные устройства утрачивают свою ценность. Руководствуясь оценкой риска, мы внимательно следим за соблюдением баланса удобства и безопасности”.
Компания создала модель гарантированного уровня безопасности, с которой соотносятся данные и привилегии пользователей. Если у кого-то возникает необходимость в доступе к информации более высокого уровня, ADP использует ступенчатую аутентификацию в соответствии с его потребностями. Например, когда сотрудник отмечает приход на работу с помощью соответствующего приложения для смартфона, это требует гораздо более низкого уровня аутентификации, чем в случае, если администратор включает нового сотрудника в ведомость на получение зарплаты.
Облачные сервисы компании, такие как платформы Dealer Management и Human Capital Management, заняли основное место в ее модели бизнеса, рассказал ЛаРоса. Начинают появляться технологии переноса в облако, которые обеспечивают безопасное использование IaaS, и ADP сотрудничает с сервис-провайдерами, чтобы адаптировать их решения к своим нуждам.
“Возможность шифрования всех данных (не только хранящихся, но и находящихся в движении и используемых в этих публичных облаках) лишь начинает воплощаться в реальность, — считает он. — Благодаря этим новым возможностям мы действительно можем гарантировать, что наши данные будут в безопасности, потому что мы держим ключи у себя и управляем ими на своей площадке, а не в облаке”.
Определением глобальных стандартов безопасности ADP ИТ-подразделение занималось совместно с разработчиками и эксплуатационниками ПО облачного провайдера. “За последние два года с помощью Global Security Organization ИТ-подразделение и разработчики решили ряд очень сложных и потребовавших много сил проблем, поддерживая при этом хрупкое равновесие между удобством использования и безопасностью”, — отметил ЛаРоса. Тесное сотрудничество позволило ADP своевременно сформулировать необходимые уровни безопасности в этой новой области вместо того, чтобы пытаться обеспечить защиту пост-фактум, добавил он.
С распространением мобильных компьютеров и облачных сервисов “хакеры и мошенники будут использовать любые их недостатки, чтобы красть деньги, информацию и все, что можно превратить в деньги, — считает ЛаРоса. — Мы должны ориентироваться на новые технологии, обеспечивающие аппаратную изоляцию и выполнение связанных с риском задач при минимальном уровне доступа и привилегий пользователя”.
ADP изучает, как технологии вроде микровиртуализации, которая абстрагирует приложения от оборудования и запускает их в изолированной среде, способны помочь ей защититься от угроз нового поколения в мире облаков и мобильности.
Защита мобильных устройств
С обеспечением безопасности применительно к мобильности и облакам приходится иметь дело и компании Loring Ward (г. Сан-Хосе, шт. Калифорния), которая предоставляет услуги в области инвестиций и управления бизнесом. “Поскольку Loring Ward является общенациональной фирмой, для нее очень важна мобильная технология, — рассказал вице-президент по корпоративной инфраструктуре Ренди Рудолф. — Огромное значение имеет защита данных на мобильных устройствах”.
Недавно эта фирма инициировала политику BYOD, предоставив сотрудникам доступ с их собственных смартфонов и планшетов к защищенной корпоративной платформе. Для этого Loring Ward использует платформу управления мобильными устройствами, разработанную компанией Fiberlink. Платформа позволяет управлять устройствами удаленно и шифровать принадлежащие фирме данные, не затрагивая личных данных или приложений сотрудника.
“Мы имеем возможность заблокировать устройство, проследить за его перемещением и локализовать его, а также удалить с него все или только корпоративные данные”, — заверил Рудолф.
Loring Ward создала частное облако, которое использует для важнейших внутренних систем и приложений, таких как электронная почта и передача голоса по IP, а также для восстановления после катастроф. Многие департаменты компании “прибегают к тем или иным облачным сервисам, которые позволяют им значительно поднять производительность труда”, — отметил Рудолф.
Для защиты данных в облаке Loring Ward пользует платформу Box, которая служит центральным репозиторием для большинства данных. Кроме того, она обладает такими функциями защиты, как однократная регистрация, управление доступом и журналы аудита. Помимо этого компания разработала руководство по безопасности, “которое содержит более высокие требования, чем те, что предъявляют к нам регуляторы, — отметил Рудолф. — Любая из установленных у нас или находящихся в разработке систем, а также все облачные приложения должны соответствовать этим строгим требованиям к безопасности. Мы не станем использовать облачные сервисы, если они не соответствуют этим или еще более жестким критериям”.
Понятно, что важнейшее значение для организаций имеет реализация стратегий, технологий и процессов, позволяющих защититься от угроз, создаваемых облаками, корпоративной мобильностью и социальными сетями.