מדיניות "הבאת מכשיר סלולארי מהבית" לשימוש אירגוני

sitepoint7

New member
מדיניות "הבאת מכשיר סלולארי מהבית" לשימוש אירגוני

היי לחברים,

אני מעוניין לדעת מה הן ההמלצות בעניין שימוש והבאת מכשיר חכם/סלולארי מהבית לשימוש באירגון,
מדובר בהפעלה וסינכרון מיילים משרת הדואר האירגוני בלבד ולא יותר,
האם הפעלת הסינכרון והגדרתו עשוייה להיות "סיכון" או "איום" או כל פתח אחר שיכול להביא בעיות?
האם (לדעתכם האישית בלבד) קיים הבדל בין הכנסה של מכשירי אפל/אייפון לבין מכשירי אנדרואיד לסוגיהם?
(לרבות מכשירים סינים מסוגים שונים)

אשמח לכל תגובה/מאמר/טיפ בנושא הנ"ל,
בתודה מראש!
 

se7en77

New member
משהו שקרה לי לאחרונה

באנדרואיד, הארגון שלי הגדיר שכדי לעבוד חייבים סיסמא במכשיר, לא קוו, לא טביעת אצבע אלא רק קוד, כדי להיות מסוגל לעמוד בדרישה, (, לא רוצה להקיש כל פעם קוד בכניסה למכשיר) בחרתי תוכנת מייל ארגוני אחרת אבל היא עולה כסף... בקיצור קירח מכאן ומכאן.
באייפון אין בעיה בהקשר הזה
 

LZ88

New member
תשתמש ב mailwise

יש בה מנגנון bypass לדרישת אבטחה של הארגון
 

sitepoint7

New member
השאלה למעשה מחולקת לשניים

ראשית, תודה על התייחסותך!
&nbsp
1. מבחינת הגישה למיילים האירגוניים ואם הדבר יכול או לא יכול לסכן אותי מבחינת האירגון מבפנים (לא מבחינת מה יהיה אם הטלפון ילך לאיבוד כי אז זה קל ואני פשוט עושה WIPE למכשיר) אלא מבחינת להכניס לאירגון נוזקה זו או אחרת
&nbsp
2. מבחינת הרעיון עצמו Bring your own device והמשמעויות הנילוות לזה
&nbsp
 
ערב טוב

לגבי 1 - להכניס צרות ומחלות לאירגון .. שיתמודדו . אם הם מבקשים שהעובד יביא את המכשיר שלו לטובת האירגון , המינימום הנדרש מהם זה לדעת להתמודד עם הסיכונים האפשריים .
* כותב שורות אלה הוא מנהל IT באירגון ציבורי/בורסאי .
2 לגבי BYOD ? מבחינתי האישית זה לא קיים . האירגון רוצה/צריך את הזמינות שלי ? שידאג לזה . לי אין שום אינטרס לנדב ( גם לא תמורת תשלום ) את הציוד/הרכוש הפרטי שלי לטובת אירגון כזה או אחר .
יכול להיות ש 2 נשמעת תשובה קצת אגרסיבית , אבל הנסיון מלמד שברגע שבעבודה מכירים את המספר הסלולרי שלך , הוא לא יפסיק לצלצל כולל בימים ובשעות הכי לא מקובלים בעולם . כנ"ל לגבי מיילים . אם מעורב תשלום ( של המעביד לך ) תהייה גם ציפייה לזמינות כמעט מוחלטת לתגובה למיילים .
במסגרת מדיניות ההפרדה האישית שלי , יש לי שני מכשירים . אחד עם קו של המעביד שבסוף יום העבודה פשוט נשאר כבוי ברכב ולא נכנס אלי הביתה והשני עם קו פרטי שלי שבעבודה לא מכירים את המספר . הקמתי גדר הפרדה בין החיים לעבודה וזה אחד הדברים היותר טובים שקרו לי שם .
 

sitepoint7

New member
ברשותך אשאל אותך רק שאלה אחת חשובה

איך אתה מתייחס לעניין של BYOD (שימוש במכשיר פרטי/אנדרואיד/טאבלט שהעובד מביא מהבית) בהיבט של אבטחת מידע וההתכנות שהמכשיר עצמו (שהוא הרי מחשב לכל דבר) יכול או עשוי להיות איום ולהיות עוד גשר או עוד תוספת של הכנסת/החדרת מזיקים חדשים והתקפות?
(ושוב, אני מדבר על מצב שבו "רק" הדואר האלק' ב EXCHANGE מסונכרן)

תודה.
 
ההתייחסות , כמו שאתה ציינת

היא כמו לכל מחשב . המערכת בנויה בצורה שכל ביט/בייט שנכנסים ויוצאים מהאירגון נסרקים בכמה מפלסים שונים .
בגדול -במקומך לא הייתי מייחס חשיבות לאבטחה של האירגון . אם האירגון החליט שזה מודל העבודה , הגיקים של האירגון צריכים לשבור את הראש בנושא .
 

sitepoint7

New member
תודה על תגובתך, אז אם ככה...

אני כותב ושואל את הדברים בתור זה שאמור לתת את ההמלצות הטכניות ולכן ובתור מי שמחזיק באחריות מבחינה טכנולוגית אני צריך לתת המלצות או לשלול את הרעיון הזה שנקרא "להביא מכשיר סלולארי/חכם מהבית"

כמובן ובמקביל אני לומד וחוקר את הנושא עצמאית ולכן כל רעיון/המלצה/תובנה יתקבלו בברכה
 

BobboVilla

New member
בתור מישהו שדווקא ניסה "לתחמן" את אבטחת המידע של האירגון

(לא שלי, אלא של זוגתי) אז אני יכול להגיד שאחד הדברים הכי חשובים שצריך לקחת בחשבון זה שאם תנסה להגביל יותר מדי את המשתמשים (למשל אצל זוגתי ביטלו כחלק ממדיניות האבטחה את היכולת להתקין אפליקציות ממקורות חיצוניים) אז זה עלול לגרום דווקא לניסיונות של חוכמולוגים למיניהם לעקוף את מדיניות האבטחה כדי להשתמש במכשיר כמו שהם רוצים. אגב, אני הצלחתי, ודי בקלות, כי למרות שנעשה שימוש באפליקציה שאמורה לנהל את מדיניות האבטחה (ששכחתי כרגע את שמה), עדיין היה אפשר לבטל אותה בקלות
.
&nbsp
דבר נוסף שצריך לקחת בחשבון זה באיזה אפליקציות אתה מאפשר להשתמש כדי לגשת למייל הארגוני. אצלה משתמשים ב-Touchdown, שזו אפליקציה נוראית, עם ממשק מיושן ומכוער, שגורם לברדק אטומי עם מיזוג לא נכון של אנשי קשר (לשם של משה יקשרו את המספר של בני, והמספר של רבקה ורחל ימוזגו לתוך המספר של השכנה מהדירה ליד), ושמאבד את כל ההגדרות בכל פעם שנעשה עידכון של האפליקציה ו/או של אפליקציית האבטחה.
&nbsp
הם גם עשו (או שאולי זה נבע כחלק מה"משחקים" שלי) משהו שגורם לכך שמופיעה לה באופן קבוע על המכשיר ההודעה שהתעבורה מנוטרת על ידי גורם שלישי כלשהו. יכול להיות שזה כי ביטלתי והפעלתי מחדש את אפליקציית האבטחה, אבל נראה לי שזה קשור ל-Certificates של האירגון, כי מספיק שמסירים אותן וההודעה נעלמת, ולא צריך להסיר לחלוטין את האפליקציה.
&nbsp
מנגד, באירגון אחר שאני עובד בו כקבלן משנה, הגישה למייל האירגוני היא הרבה יותר פתוחה, ויש ממשק וובי שאפשר להיכנס דרכו למייל, כחלק מההתקנה של שרת ה-Exchange עצמו. באירגון הזה אני יכול גם להגדיר את המייל בכל אפליקציית מייל רגילה, והאימות הוא פשוט של שם המשתמש והסיסמא לרשת הארגונית. אני לא יודע מה ההשלכות של "פתיחה" כזו, והאם זה מסכן את הארגון בלי קשר למכשיר כזה או אחר של אחד העובדים (כי בעצם שרת הדואר חשוף לכל העולם), אבל אפשר לשקול את זה. אפשר אולי לשלב את זה עם כלי של One Time Password כמו RSA SecurID שיש עבורו אפליקציה שניתן להתקין גם על טלפונים חכמים, ואז יהיה אימות טוב יותר.
 

sitepoint7

New member
אוקיי ואם עוזבים לרגע את עניין "המידע האירגוני"

ואת המשמעויות של "התוכן" ומתרכזים בהיבטים של אבטחת מידע נטו והיכולת לשבש "משהו" במערכות הפנימיות כתוצאה משימוש במכשיר אנדרואיד/סיני כלשהו אשר מסונכרן עם שרת הדואר האירגוני, איזה סיכוי ואיזה "תסריט אימה" עשוי לקרות ב worst case?
 

BobboVilla

New member
אני לא מומחה בתחום, אבל תיאורטית אפשר לחשוף את כל האירגון

לחדירה על ידי גורם עוין. לדעתי זה תלוי מה חשוף החוצה, איך, והאם יש דברים שחוצצים בין המייל לבין שאר מערכות האירגון. אם יש Firewall, או כלי/שירות אחר שלא מאפשר לגשת לשום דבר דרך ה"פתח" שפתחת בעזרת המייל למעט מיילים, אז כנראה שזה יהיה בטוח למדי.
&nbsp
אבל בשביל לדעת את ההשלכות באמת צריך להתייעץ עם מישהו שמבין באבטחת מידע.
 

sitepoint7

New member
כל מי ש"מבין באבטחת מידע" מונע מאינטרס זה ואחר...

מה שאני מחפש זה הצדקה או אי הצדקה להכנסת מכשירים חכמים שאנשים מביאים מהבית והאם לסנכרן/לא לסנכרן את המיילים של שרת הדואר האירגוני עם אותם מכשירים בהיבט שיכול לסכן ולחשוף את האירגון לסכנות חדשות בעיקבות זה
&nbsp
כמובן תודה עבור כל האינפורמציה שנרשמה עד כה!
 
מונע..זה עניין של הגדרה..

הדרייב של מנהלי IT /מנמרי"ם הוא יציבות . במילים אחרות - שיהיה אפשר לשבת בשקט עם קפה/תה במשרד בלי לרוץ אחרי הזנב כל היום ומבלי לסבך ולהסתבך סביב טכנולוגיות מיותרות ויקרות שתורמות רק למי שמוכר אותן .
לא יודע איך מתנהל שרת המייל האירגוני אצלכם , אבל בהחלט אפשר לייצר DMZ בין מערכת המייל לשאר הרשת האירגונית וכמובן לדאוג לכביסה ונקיון של הערוץ בין שרת המייל לשאר המערכת . זה עשוי להסתכם בהשקעה לא קטנה וכמובן בעלויות תפעול ואחזקה .. תלוי בכמה משתמשים וכמה אנשי IT יש במערכת ,לפעמים נוצר מצב שבו יותר זול לרכוש שירות מייל מגוף חיצוני מאשר לתחזק מערך מייל פנימי .
אלא אם כן ישנה מדיניות חדה וברורה שגם נאכפת לגבי מכשירים סלולריים (פייסוש או אינסטוש במכשירים ?הילדים משחקים במכשיר ? ועוד ..) , אני לא מוצא הבדל מכשירים פרטיים או מכשירים שהאירגון מספק לעובדים .
מצד אנשי ה IT מדובר ברעה חולה , מצד האויבים ( אנשי השיווק /מכירות) מדובר בקסם טהור שהעולם לא יכול להתנהל בלעדיו . איך שלא מסתכלים על זה - מדובר בגורם סיכון .
 

sitepoint7

New member
זרקת כמה דברים למחשבה (פייסוש, אינסטוש, DMZ)

הסינכרון של הדואר עם ה EXCHANGE זה מה שמטריד אותי
ולכן ובעניין הזה (וכנראה רק בזה) אלך בכיוון של פתרון DMZ כלשהו, ייתכן אפילו שאמצעות כלי צד שלישי המתומחר לפי כמות המכשירים/משתמשים
 
האמת שבשנה האחרונה חפרנו די עמוק בנושא ..

השורה התחתונה אומרת שאם הגיע זמנו של שרת ה EXCHANGE ( שידרוג ברזל /גירסה ) לא תמיד כלכלי ונכון להמשיך ולהחזיק ברזלים בחדרי השרתים . יש לזה עלות ראשונית לא נמוכה , זה דורש אחזקה , זה גוזל לא מעט משאבים בתחום האבטחה .. לאירגון שמחזיק פחות אנשי IT הפתרון של להוציא שירות החוצה יותר כלכלי .
 

sitepoint7

New member
ושוב, נשאלת השאלה איך לעזאזל הוא נכנס אל ה LAN שלהם...

מה בעצם/איפה בעצם היה הטריגר או השלב שבו הווירוס/מתקפה עברו להעולם אל ה LAN, זו בעצם השאלה החשובה
 

אבי לב50

New member
קיימות כמה אפשרויות.

או שאחד מהעובדים הביא משהו מהבית (למשל על דיסק און קי אבל יש עוד אפשרויות) והדביק את המחשב שלו ומשם זה המשיך, או שמישהו שם גלש לאיזה אתר שהושתל בו איזה סקריפט זדוני.
יש כל מיני אפשרויות.
הבעייה היא איך במקום כל כך אסטרטגי דבר כזה יכול לקרות.
אני עובד במקום הרבה פחות אסטרטגי ואפילו ליוטיוב אין אפשרות לגלוש אצלנו במחשבים המחוברים לרשת הארגונית.
גם אין כל אפשרות לחבר דיסק און קי או כונן נייד.
&nbsp
 

sitepoint7

New member
האם לדעתך קיימת סבירות שווירוס כופר כזה עובר RDP או VPN?

מה הסבירות שאחד העובדים שלהם עבד מהבית באמצעות לפטופ מרוחק,
פתח VPN
פתח RDP
ומשם "הושתל" אותו ווירוס/מתקפת כופר?
&nbsp
אני כמובן שואל זאת ברמה העקרונית כדי להבין את הלוגיקה
 
למעלה