Recientemente noté este artículo en Forbes con respecto a un cambio sugerido para todas las configuraciones de Wi-Fi de iOS y generó una pregunta potencialmente controvertida.
Warum veröffentlicht nicht jeder IT-/Sicherheitsadministrator eine Liste mit Einstellungen/Konfigurationsänderungen im Zusammenhang mit iOS- und Android-Geräten für jeden Benutzer im Unternehmen? (Wenn Ihre Leute immer noch BlackBerrys verwenden und ich gerade eine E-Mail von einem Mitarbeiter des US-Heimatschutzministeriums erhalten habe. UU. Dass er das ist, was ziemlich beängstigend ist, wir müssen so schnell wie möglich reden.
Natürlich haben einige Unternehmen diese Konfigurationseinstellungen geschrieben und veröffentlicht. Aber warum kümmert es viele CIOs/CISOs nicht? Und während ich tiefer in trübe Gewässer eintauche, möchte ich fortfahren: Warum machen wir diese Listen nicht verbindlich, eine Anforderung für jedes Unternehmen, das privaten Geräten den Zugriff auf sensible Daten und Systeme ermöglicht? Fast alle von ihnen erfordern die Verwendung eines vom Unternehmen genehmigten herunterladbaren VPN. Warum also nicht alle möglichen Einstellungen vorschreiben, die auch Risiken für die Cybersicherheit bergen?
Die Anforderungen variieren von Unternehmen zu Unternehmen und höchstwahrscheinlich von Benutzer zu Benutzer. Aber die Grundlagen lassen sich sicherlich konfigurieren, z. B. das WLAN ausschalten, wenn Sie nicht im Heimbüro sind (was heute buchstäblich zu Hause sein könnte) oder Bluetooth ausgeschaltet zu lassen, bis Sie es brauchen.
Seien Sie nicht überrascht, wenn diese Vorschläge im Nachhinein kommen, denn Remote-Mitarbeiter haben sich an Dienste gewöhnt, die zu Hause in Ordnung sind, beim Gang durch einen Flughafen, einen Bahnhof oder die Lobby eines Geschäftshotels jedoch äußerst gefährlich sind. Darüber hinaus können sie beim Gehen auf den Straßen von Manhattan oder San Francisco gefährlich sein.
Denken Sie an Bluetooth. Dies ist eine sehr praktische Angriffsmethode, solange der Bösewicht dem beabsichtigten Benutzer sehr nahe kommen kann. Abhängig von der installierten Sicherheitssoftware kann ein Bluetooth-Angriff viele herkömmliche Abwehrmaßnahmen umgehen. Warum also nicht die ganze Zeit ausschalten, außer wenn es nötig ist?
Heutzutage tragen Benutzer beim Telefonieren an diesem Flughafen wahrscheinlich Bluetooth-Geräte im Ohr, sodass sie jederzeit einen Anruf entgegennehmen können. Würde eine solche Regel jeden dazu zwingen, seine Bluetooth-Kopfhörer/Ohrhörer zu Hause zu lassen und nur mit kabelgebundenen Kopfhörern zu reisen? Es wäre keine so schlechte Idee. Aber wird es kabelgebundene Kopfhörer noch viel länger geben?
Die Forbes-Geschichte, die mich zu diesem Thema gebracht hat, legt nahe, dass Benutzern standardmäßig keine Verbindung zu unbekannten Netzwerken gestattet ist, eine sehr gute Vorsichtsmaßnahme. Darüber hinaus argumentierte er, dass, wenn ein Benutzer der Meinung ist, dass unbedingt ein unbekanntes Netzwerk verwendet werden sollte, zuerst ein vertrauenswürdiges mobiles VPN aktiviert werden sollte.
Fangen wir dort an. Wie viele IT-Abteilungen geben überhaupt ein zugelassenes mobiles VPN an, geschweige denn verlangen sie eines? Es ist wichtig zu bedenken, dass ein VPN nicht den Schutz bietet, den viele Benutzer glauben. Wenn der Benutzer mit einer vertraulichen E-Mail interagiert oder sich bei einem Bankkonto anmeldet, kann ein Angreifer, der Bluetooth überwacht, immer noch etwas von ihm sehen. Was wäre, wenn sie eine Tastenanschlag-Erfassung herunterladen würden? In diesem Fall verfügen die Bösewichte wahrscheinlich über Ihre Referenzen.
Administratoren könnten (und sollten) dasselbe mit Regeln für WLAN, Passwörter oder App-Installationen tun, die alle dazu beitragen können, mobile Geräte zu sperren und Unternehmensdaten zu schützen. Und dann liegt die Verantwortung natürlich darin, dafür zu sorgen, dass jeder in der Organisation weiß, was zu tun ist und es auch tut. Und wenn nicht, müsste es Konsequenzen geben, die das Unternehmen anfällig für Angriffe oder Diebstahl machen.
In einer BYOD-Umgebung haben IT und Sicherheit die Pflicht, alle Unternehmenswerte zu schützen. Wäre es nicht an der Zeit, strenge Regeln festzulegen, da der Anteil dieser Vermögenswerte, die über Mobilgeräte übertragen werden, sprunghaft ansteigt? Weder werden diese Regeln den Mitarbeitern erheblich schaden, noch werden sie die Mitarbeiter daran hindern, mit Verbraucher-Apps und -Daten zu interagieren. Der schlimmste Fall ist eine kleine Unannehmlichkeit.
Wenn ein Benutzer sich von BYOD abmelden möchte und darauf besteht, dass das Unternehmen ihm ein mobiles Gerät zur Verfügung stellt, hat er sicherlich das Recht, diesen Antrag zu stellen. (Ist die Genehmigung etwas ganz anderes?) Aber wenn sie genehmigt wird, können diese Benutzer ihre persönlichen Geräte so rücksichtslos behandeln, wie sie möchten. Solange sie diese Geräte verwenden, um auf arbeitgebereigene Datenbestände zuzugreifen und diese zu erstellen, scheinen die Konfigurationsregeln völlig vernünftig zu sein. Das mag dazu führen, dass IT und Sicherheit bei den Benutzern nicht besonders beliebt sind (aber seien Sie ehrlich: Das war nie der Fall und das wird sich wahrscheinlich auch nicht ändern).
<p>Copyright © 2021 IDG Communications, Inc.</p>