VPN seluler terbaik untuk perusahaan dan cara mengevaluasinya
VPN seluler terbaik untuk perusahaan dan cara mengevaluasinya -- Seluler adalah titik akhir baru di TI. Tetapi organisasi masih berjuang dengan keamanan mobile. Aaron Rhodes dari Neohapsis mencantumkan lima langkah yang harus diambil ketika mengembangkan kebijakan keamanan seluler perusahaan
Pekan lalu, berita pecah bahwa Samsung mendorong ke ruang federal dan hampir menandatangani kesepakatan dengan FBI dan Angkatan Laut AS. Sementara cerita itu bergantung pada pergeseran dari BlackBerry ke Android dan Apple di ruang ponsel yang aman, itu juga mengesampingkan fakta bahwa BYOD bukanlah kata kunci - itu adalah kenyataan dalam operasi TI.
Namun, karena jaringan meluas keluar dari dinding kantor ke hotel, konferensi, dan bahkan rumah, departemen TI (atau staf keamanan di dalamnya) mendapatkan beban kerja tambahan karena mereka bertugas melindungi aset dan garis informasi baru.
Menurut penelitian dari Forrester , 29 persen tenaga kerja global adalah pekerja informasi. Pekerja informasi menggunakan tiga atau lebih perangkat, bekerja dari beberapa lokasi, dan menggunakan beberapa aplikasi untuk menyelesaikan pekerjaan; deskripsi yang akrab bagi siapa saja yang pernah mengelola departemen TI.
Keep up dengan 8 tren keamanan cyber panas (dan 4 menjadi dingin) . Berikan dorongan karir Anda dengan sertifikasi keamanan teratas: Untuk siapa, berapa biayanya, dan yang Anda butuhkan . Mendaftar untuk buletin CSO .
Terkait: Haruskah keamanan bertanggung jawab untuk kebijakan BYOD ?
Bahkan, Forrester mencatat bahwa sebelum akhir tahun, BYOD akan berdampak lebih dari 600 juta karyawan di seluruh dunia, semuanya jatuh di bawah kategori pekerja informasi. Pertumbuhan seperti itu akan melihat perusahaan bergerak untuk mengubah kebijakan yang ada atau mengadaptasi yang baru untuk memasukkan ponsel.
Dalam pertukaran email dengan CSO, Aaron Rhodes, Konsultan Keamanan Senior di Neohapsis, sebuah firma keamanan dan manajemen risiko yang berspesialisasi dalam seluler dan cloud, menawarkan lima langkah yang perlu dilakukan oleh semua organisasi ketika mengembangkan kebijakan keamanan korporat yang berfokus pada atau mencakup mobile.
Tetapkan strategi:
Mulai inisiatif mobile dengan rencana yang benar-benar segar, strategi Anda harus mengambil pandangan keamanan menyeluruh dengan kerangka keamanan menyeluruh. Inventaris jenis data yang diakses oleh tenaga kerja mobile Anda di ponsel dan tablet, dan perlakukan ponsel pintar dan keamanan perangkat hanya seperti Anda akan sistem internal di jaringan, "kata Rhodes.
Ketika datang ke "kerangka keamanan menyeluruh, gagasannya adalah untuk memastikan bahwa perangkat pintar yang menyimpan data sensitif memiliki rumah di dalam kebijakan dan strategi keamanan organisasi lainnya, Rhodes menjelaskan ketika diminta untuk memperluas pernyataannya.
Bersiaplah untuk menjadi Profesional Sistem Keamanan Informasi Tersertifikasi dengan kursus online komprehensif ini dari PluralSight. Sekarang menawarkan uji coba gratis 10 hari !
"Sederhananya, bagian dari kebijakan dan keputusan proses harus ditujukan untuk perangkat seluler. Pertimbangkan jejak IT mobile dari organisasi Anda dalam konteks sisa aset Anda."
Pertanyaan yang harus dijawab untuk pertimbangan seperti itu termasuk jenis akses apa yang dilakukan oleh berbagai perangkat seluler di jaringan? Jenis data apa yang disimpan di dalamnya? Siapa yang menggunakan mereka? Bagaimana mereka saat ini dikelola, apakah itu cukup atau perlu diubah?
Ketika datang untuk memperlakukan smartphone seolah-olah mereka sistem internal, Rhodes mengatakan bahwa satu contoh adalah bagaimana perangkat mobile yang mirip dengan sistem yang sudah ada di jaringan. Ini adalah fakta sederhana bahwa perangkat seluler dapat mempertahankan koneksi ke aset dan layanan perusahaan internal, dan saluran-saluran serta perangkat yang menggunakannya harus dilindungi dan dikelola.
"Sebuah smartphone mungkin berisi klien VPN mobile yang memungkinkan pengguna untuk mengakses sumber daya internal di jaringan perusahaan seperti aplikasi web internal dengan cara yang sama seperti yang mereka lakukan dari mesin desktop internal di LAN perusahaan," katanya.
Mengatasi hal lain, CSO meminta Rhodes untuk menawarkan sarannya untuk membuat inventarisasi data, serta sarannya untuk langkah-langkah seperti itu ketika datang untuk memprioritaskan dan Manajemen Aplikasi Seluler / Pengelolaan Perangkat Seluler. Pikiran pertamanya berubah menjadi risiko, mencatat bahwa penting untuk mengidentifikasi jenis eksposur yang dapat membahayakan perusahaan. Untuk seluler, peristiwa paling umum adalah hilangnya perangkat seluler karena kesalahan pada bagian karyawan atau pencurian langsung.
"Solusi MAM / MDM yang saya gunakan memiliki opsi kebijakan yang dapat membantu mengurangi risiko kebocoran data perusahaan saat perangkat hilang. Kebijakan seperti mewajibkan enkripsi email di perangkat, entri nomor PIN, dan bahkan 'remote fitur 'hapus dapat membantu ketika perangkat hilang, "katanya.
"Sejauh memprioritaskan pemaparan perangkat seluler dibandingkan dengan infrastruktur lainnya, penting untuk terus meningkatkan postur keamanan jaringan Anda secara keseluruhan, dan mempertimbangkan perangkat seluler bagian lain dari itu."
Rencanakan dengan baik:
"Tetapkan garis waktu tertentu, dengan sasaran dan tonggak di sepanjang jalan. Sisihkan waktu untuk penelitian juga. Jika Anda mendapatkan produk baru seperti sistem MDM / MAM (Perangkat Seluler / Pengelolaan Aplikasi), pertimbangkan yang paling mudah diintegrasikan dengan arsitektur TI Anda saat ini, "kata Rhodes.
Berkembang dalam hal ini, CSO meminta Rhodes untuk membuat daftar contoh hal-hal yang harus dihindari dan / atau dicari ketika menyangkut penelitian. Misalnya, apa beberapa area yang mungkin tampak tidak berbahaya, tetapi sebenarnya adalah tanda ketidakcocokan atau sesuatu yang dapat menyebabkan masalah di telepon?
"Satu hal yang perlu diperhatikan ketika mempertimbangkan strategi manajemen seluler Anda adalah untuk menentukan apakah Anda sudah memiliki alat yang ada yang sesuai dengan tagihan untuk mengelola perangkat seluler Anda. Dapatkan keterlibatan dari pimpinan teknis di staf TI Anda, dan tentukan kemampuan apa yang mungkin sudah Anda miliki , "jelasnya.
"Misalnya, Microsoft Exchange memiliki kemampuan untuk berinteraksi dengan perangkat seluler dan menerapkan kebijakan keamanan pada mereka untuk meningkatkan keamanan email seluler. Ketika Anda berbelanja untuk solusi MDM / MAM, menyadari ada banyak penawaran di luar sana. [Mungkin] vendor yang sudah ada yang Anda gunakan memiliki tawaran MDM yang dapat mempermudah integrasi. Periksa set fitur, dan pastikan perangkat seluler yang digunakan di organisasi Anda didukung. "
Menetapkan kebijakan:
"Membuat dan mengelola panduan akan membantu mencegah kebingungan tentang bagaimana data perusahaan dan email dapat digunakan pada perangkat seluler, dan ini pada gilirannya akan mendorong pengguna untuk berhati-hati. Lebih penting lagi, jika ada masalah, mereka tidak dapat mengklaim ketidaktahuan," Rhodes kata.
Ketika diminta sarannya tentang penegakan oleh CSO, Rhodes mengatakan bahwa ada dua cara utama untuk ini terjadi. Yang pertama adalah melalui kontrol teknis yang diterapkan untuk mencegah masalah keamanan - seperti enkripsi, kode PIN, kemampuan untuk menghapus perangkat dari jarak jauh, dan seterusnya.
"Selain itu, ada komponen kesadaran pengguna untuk keamanan komputer yang harus diingat juga. Membangun kebiasaan baik di pengguna Anda melalui pelatihan kesadaran dan pengingat dapat membantu meningkatkan keamanan organisasi Anda juga."
Selain itu, CSO meminta Rhodes untuk mencantumkan beberapa item baris yang lebih umum dalam kebijakan tersebut:
Perangkat seluler harus dilindungi kata sandi
Perangkat seluler harus menggunakan enkripsi perangkat sebelum mengakses e-mail perusahaan
Perangkat seluler tidak boleh "di-root" atau "jailbroken"
Perangkat seluler harus dikelola oleh departemen TI perusahaan menggunakan sistem MDM yang disetujui perusahaan
Melatih:
"Kebanyakan orang tidak menyadari bahwa tindakan mereka pada perangkat seluler (milik perusahaan atau tidak) dapat menimbulkan konsekuensi yang mengerikan bagi seluruh organisasi. Mengajarkan karyawan Anda tentang risiko dan cara memitigasi mereka dapat membantu menghindari bencana," kata Rhodes.
Beberapa contoh risiko tersebut termasuk kode yang berjalan dari toko aplikasi yang tidak tepercaya, juga dikenal sebagai pemuatan samping, menjalankan program yang diterima dari pihak yang tidak dipercaya melalui email, kegagalan untuk menggunakan sandi, kehilangan perangkat, dan mengabaikan peringatan munculan ketika menggunakan koneksi Wi-Fi yang tidak tepercaya.
Tetapi ketika datang ke pelatihan kesadaran, apa beberapa bidang yang penting untuk fokus pada organisasi?
"Ungkapan" jika Anda melihat sesuatu, katakan sesuatu 'terlintas dalam pikiran. Katakan saja kepada karyawan bahwa ada risiko, dan beri mereka titik kontak yang baik untuk dihubungi jika mereka memiliki acara yang relevan dengan keamanan (perangkat yang hilang, malware, dll.) sangat penting. Pencegahan itu penting tetapi tidak begitu mudah, jadi proses tanggap yang tepat adalah penting. "
Memenuhi:
"Selalu perhatikan persyaratan kepatuhan ketika memutuskan kebijakan perusahaan. Ingat, semua data perusahaan yang disimpan di perangkat seluler tunduk pada peraturan yang sama seperti sistem TI lainnya," kata Rhodes, menutup daftar lima besar.
Selama tahap penelitian yang disebutkan sebelumnya, ini harus menjadi salah satu hal utama yang harus dicari ketika datang ke penawaran MDM / MAM. Penting untuk dicatat seberapa baik penawaran tersebut dapat diimplementasikan pada infrastruktur yang ada, dan jenis overhead tambahan yang akan mereka hasilkan.
"Aturan kepatuhan memang cenderung mendorong persyaratan keamanan dalam organisasi yang termasuk di dalamnya. Beberapa penawaran MDM / MAM memiliki fitur khusus dari produk mereka yang mendukung persyaratan hukum. Menggunakan infrastruktur yang ada juga sangat penting. Jika sistem diletakkan di tempat yang sesuai jauh ke infrastruktur Anda, kemungkinan besar operator akan menggunakan sistem ini untuk kemampuan penuhnya untuk meningkatkan keamanan. "
Semoga membantu yah !