ארכיון עבור אוקטובר, 2010

15
אוק
10

אבטחת טלפונים חכמים

פעם היה נוקיה 6120. בסדר, גם סמסונג צדפה ועוד כמה דומים. הם היו טלפונים וזהו.
פעם היה Palm Pilot. נכון, גם טריאו ודומיו. הם היו PIM (יומנים, אנשי קשר) ועוד קצת.
בשנים האחרונות יש טלפונים מתקדמים שמסונכרנים לשרת המייל הארגוני. צריך לאבטח אותם כדי למנוע אובדן מידע רגיש לארגון. בהחלט.

לפני שצוללים לדרישות לאבטחת מכשירים כאלה, כדאי לשים לב שהדור החדש של המכשירים הם כבר ממש מחשבים קטנים. ועובדים מגלים דרכים לנצל אותם בדרכים שאם לא נחסום, הארגון יהיה בסכנה. המכשירים האלה מאפשרים להשתלט מרחוק על מחשבים/שרתים, מאפשרים להתקין עליהם תוכנות להשתלטות מרחוק עליהם, אפשר להפוך אותם לסוג של נתבים או WiFi Access Point בזמן שהם מחוברים לרשת הארגונית וכמעט כל מה שמחשב נייד מאפשר.

ברור שכיום ארגון לא יכול להרשות לעצמו שלא לאפשר לעובדים לסנכרן לפחות את יומן הפגישות ואנשי קשר. הרבה ארגונים יאפשרו גם לסנכרן מייל. יותר מזה אני לא חושב שכדאי לאפשר בזמן הזה.

חשוב לשקול יישום של ההגנות הבאות במתן האפשרות לעובד לסנכרן את המכשירים החכמים האלה. את ההגדרות האלה חייבים לממש מצד השרת, ולא על המכשיר. אחרת, העובד (או מוצא המכשיר) יעקוף בקלות את ההגדרות על המכשיר.

הבייסיקס:

  • נעילת המכשיר עם PIN (או לפחות את הסביבה במכשיר השומרת את המידע הארגוני). זה מעצבן הרבה מנהלים, אבל תשאלו אותם האם הם מוכנים לכרטיס כספומט ללא PIN.
  • מחיקת תוכן המכשיר אוטומטית (Automatic Wipe) לאחר שטועים X פעמים בהקשת ה – PIN.
  • אפשרות למחוק מרחוק (Remote Wipe) את המכשיר במקרה של דיווח על אובדן/גניבה.
  • תווך תקשורת מוצפן בין המכשיר לשרת (SSL).
  • אימות המכשיר ע"י תעודה דיגיטלית המותקנת עליו.

 למתקדמים:

  • הצפנת תוכני המכשיר. כך שגם אם מוצא/גונב המכשיר מוציא את ה – SIM מהמכשיר, ותוכן המכשיר לא יימחק, התכנים עצמם יישארו מוצפנים.
  • אפשרות סינון מה יסונכרן למכשיר: האם לאפשר צרופות, איזה סוג צרופות (למשל תמונות כן, אבל מסמכים לא), מיילים רק של זימונים לפגישות אבל לא מיילים רגילים. לדעתי, במקרים בודדים אנשים פותחים צרופות של מיילים, בעיקר מסמכים ארוכים. לרוב הם משאירים מיילים כאלה לקריאה במשרד.
  • סינון תכנים – חסימה של סנכרון מיילים המכילים תכנים מסוימים (כרטיסי אשראי, נתוני רווח והפסד, מלאי ציוד).
  • אימות מכשיר עפ"י מזהה המכשיר עצמו (IEMI).
  • מניעת גיבוי תכני המכשיר (לפחות הרלוונטיים לארגון) בענן (למשל ע"י iTunes). ברגע שהמידע בענן, אין לארגון שליטה עליו.
  • אפשרות לחסום שימוש ב – WiFi. לזה כל משתמש ממש יתנגד. אבל בארגון עם מידע קריטי, כנראה שלא תהיה ברירה.
מודעות פרסומת



אוקטובר 2010
א ב ג ד ה ו ש
« ספט   נוב »
 12
3456789
10111213141516
17181920212223
24252627282930
31  
מודעות פרסומת