Документ обсуждает концепцию BYOD (Bring Your Own Device) в бизнесе, подчеркивая влияние персональных мобильных устройств на рабочие процессы и корпоративную безопасность. Увеличение удаленного доступа к корпоративным ресурсам приводит к росту рабочего времени, а также создает новые риски, такие как утечка данных и вредоносное ПО. Авторы представляют рекомендации по управлению доступом и политиками безопасности для интеграции и контроля использования личных устройств в организации.

1. Использование
персональных устройств в
бизнесе (BYOD)
Почему свой мобильник ближе к телу?
Алексей Лукацкий
Бизнес-консультант по безопасности
© 2012 Cisco and/or its affiliates. All rights reserved.
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1

2. •
•
BYOD
B Y O D
•
Явление использования
персональных IT-
устройств в рабочих
целях
•
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2

3. Наличие удаленного доступа к корпоративной почте и
сервисам увеличивает рабочее время сотрудника на полчаса
56% сотрудников в мире периодически работают вне офиса
© 2012 Cisco and/or its affiliates. All rights reserved.
Forrester
Cisco Confidential 3

4. Основным драйвером развития IT становятся
пользовательские мобильные устройства
В 2012 году на мировой рынок будет поставлено 371 млн
компьютеров, 106 млн планшетных ПК и 660 млн
смартфонов.
© 2012 Cisco and/or its affiliates. All rights reserved. IDC, март 2012
Cisco Confidential 4

5. Мобильника Интернет Автомобиля Партнера
97% 84% 64% 43%
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5

6. Работай Так Как Тебе Удобно !
Использование персональных
мобильных устройств в бизнес-
целях получило название BYOD
BYOD “узаконивает”
существующее явление
приноса персональных
ноутбуков , планшетов и
телефонов на работу
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6

7. Software Advice March, 2012
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7

8. Я хочу подключить
iPad к сети
Увеличение
эффективности, Уменьшение Безопасность
доступности и IT-затрат ?
лояльности
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8

9. Мобильные устройства пользователей: главный источник рисков
1. Вредоносное ПО (Web: основной
вектор)
2. Платный контент и трафик
3. Утечка данных, кража или потеря
устройств
4. Нарушение правил контроля
доступа и политик безопасности
5. Нарушение правил
использования устройства на
работе и вне офиса
Source: 2011 ISACA IT Risk/Reward Barometer, US Edition (www.isaca.org/risk-reward-barometer)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9

10. Доступ из любого места и в любое
время Контролируемый сетевой доступ
Предсказуемые конфигурации
Независимость от устройств
Безопасность данных
Личные данные / приложения
Блокировка
Гибкие конфигурации пользователей
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10

11. 1. На какие категории сотрудников распространяется ?
2. Какая процедура подключения новых устройств (орг. и техн.)?
3. Какая политика доступа с мобильных устройств изнутри
корпоративной сети ?
4. Какова политика доступа с мобильных устройств к корпоративным
ресурсам извне корпоративной сети?
5. Какова политика доступа с мобильного устройства к ресурсам
Интернет?
6. Какие сервисы предоставляются (почта, UC, VDI )?
7. Какие требования к защите мобильного устройства ?
8. Процедуры в случае потери/кражи устройства или увольнения
сотрудника
9. Какие затраты оплачиваются (мобильный интернет, звонки )?
10. Оценка затрат на внедрение или запрещение ☺ BYOD
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1147

12. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1247

13. ОГРАНИЧЕННЫЙ БАЗОВЫЙ РАСШИРЕННЫЙ ПЕРЕДОВОЙ
Производства Образование
Госучреждения Общественные Здравоохранение Инновационные корпорации
(секретность!) организации Корпорации, стремящиеся Розничные продажи
Традиционные и общественные места внедрить BYOD Мобильные сотрудники
корпорации Простой гостевой доступ Поддержка временных (видео, среды совместной
сотрудников работы, .)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13

14. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14

15. Управление мобильными и
персональными Управление рабочим местом Mobile Device Management
устройствами
Безопасный мобильный и
удаленный доступ Защитный клиент,
Безопасная мобильность
защита периметра
Унифицированные политики
для безопасного доступа Инфраструктура управления NAC, IAM, Compliance, Guest,
политиками Policy Management
Проводной и беспроводный Функции коммутаторов,
доступ, унифицированное Сетевая инфраструктура беспроводных точек
управление доступа и маршрутизаторов
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15

16. Сценарий Ограниченный Базовый Расширенный Передовой
Полноценное
Доступ по ролям Гранулир. доступ
Блокировать доступ мобильное рабочее
изнутри сети внутри и снаружи
место
• Знать “кто” и “что” • Предоставлять • Гранулированный • Обеспечение
включено в сеть персональным и доступ изнутри родных
• Давать доступ гостевым сети приложений для
только устройствам • Гранулированный мобильных
корпоративным доступ в удаленный устройств
устройствам Интернет и доступ к • Управление
ограниченному ресурсам через мобильными
числу внутренних Интернет устройствами
ресурсов • Использование (MDM)
VDI
Сетевая
инфраструктура Коммутаторы, маршрутизаторы, точки беспроводного доступа
LAN Management
Управление
MDM
Идентификац
ия и политики IAM, NAC, Guest, Policy
Удаленный МСЭ/Web Security
доступ и Защитный клиент
безопасность Облачная безопасность
Приложения Корпоративные приложения и VDI
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16

17. Политика допускает использование только корпоративных устройств
Функции BYOD
Контроль доступа Функции инфраструктуры
Policy Management
• Внедряем систему контроля • Режим мониторинга (Monitor
• Идентификация того КТО и
доступа для запрета и/или Mode) упрощают выявление
ЧТО включается в сеть
выявления не-корпоративных не-корпоративных
• Классификация типов устройств
устройств
подключаемых устройств
• Нужно идентифицировать • Функция коммутаторов
• Ограничение не- Sensor и Classifier позволяет
происхождение и тип
корпоративных устройств определить тип
подключаемого устройства
подключаемого устройства
Wireless Wired Политики Управление
THIN/VIRTUAL DESKTOP/
SMARTPHONES TABLETS GAME/PRINTER
CLIENTS NOTEBOOKS
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17

18. Пример для проводной сети
Внедрение
машинных сертификатов Policy Классификация
Engine
USER OUI DHCP HTTP
DEVICE Directory DNS NETFLOW SNMP
PKI CA
CONFIG
Corporate
Resources
Коммутатор
Internet
Персональное
устройство
0. Фильтрация по MAC-адресам
1. Внедрение машинной аутентификации с помощью 802.1x
2. Классификация (профилирование) типов устройств на Policy Engine и
коммутаторе
3. Оценка состояния устройства и проверка наличия корпоративного ПО
(NAC)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18

19. Можно ли ограничить в платформе?
Консьюмеризация Непрерывное Распространение Мобильность
соединение устройств
Любое устройство, Везде, Всегда, Защищенно....
2,454 iPads
70% рост
Планшетники
11,762 1,164 15,403 3,289
iPhones Android BlackBerry Другие устройства
20% рост 76% рост 0% рост -18% рост
Смартфоны (КПК)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19

20. Предоставление базового сервиса доступа в Интернет и
ограниченному перечню внутренних ресурсов
Функции BYOD
Управление доступом на
Гостевые устройства Упрощенное подключение
основе политик
• Полный цикл управления новых устройств
• Идентификация и гостевым доступом в сеть • Регистрация и настройка
аутентификация
• Предоставление Интернет- персональных устройств без
персональных устройств
доступа и доступа к вмешательства IT-персонала
сотрудников
внутренним гостевым
• Управление доступом в ресурсам
зависимости от типа
устройства/роли пользователя
Wireless Wired Политики Управление
THIN/VIRTUAL DESKTOP/
SMARTPHONES TABLETS GAME/PRINTER
CLIENTS NOTEBOOKS
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20

21. Policy Engine для расширенного управления политиками
ИДЕНТИФИ- КЛАССИФИКАЦИЯ
КАЦИЯ
HTTP
NETFLOW
SNMP
VLAN 10 DNS
VLAN 20 RADIUS
Ресурс
DHCP
компании
HQ
Wireless LAN
Single SSID Controller
2:38pm
Персона
льный
ресурс
Полный или
Unified Access
Management частичный доступ
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21

22. Сервис для гостевого доступа
Веб-
Гостевая политика
аутентификаци
я
Гости
Беспроводный
или проводной
доступ
Доступ только в
Интернет
Гостевых учетных привилегиями Уведомление отчетность по
записей через спонсоров, правами гостей об учетных существующим
Гостевой Портал гостевых учетных записях -Print, записям
© 2012 Cisco and/or its affiliates. All rights reserved. записей Email, or SMS Cisco Confidential 22

23. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23

24. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24

25. Доступ к сервисам и приложениям на работе и вне офиса
Функции BYOD
Применение политик Безопасный мобильный Приложения для
• Идентификация и доступ совместной работы и VDI
аутентификация • Технологии безопасного • Предоставление приложений
персональных устройств удаленного доступа к для совместной работы и
сотрудников Интернет-ресурсам и доступа к корпоративным
• Управление доступом в корпоративным ресурсам сервисам
зависимости от типа • Безопасность веб-доступа
устройства/роли
пользователя
Enterprise
WebEx Jabber Quad
Applications
Защитный
клиент Облако Web Sec МСЭ
Политики Управление
Router Wireless Wired
SMARTPHONES TABLETS GAME/PRINTER THIN/VIRTUAL CLIENTS DESKTOP/NOTEBOOKS
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 25

26. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 26

27. Облачная безопасность
Новости Электронная
почта
МСЭ/
Защита IPS Фильтрация
Интернет-доступа контента
Социальные сети Корпоративная
в сети предприятия SaaS-система
Corporate AD
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27

28. Инсталляция корпоративных приложений, браузер или VDI
Родные приложения
для BYOD
• Данные на устройстве
• Высокая
производительность
•“Родной” интерфейс
Браузер
•Данные на устройстве
•Портирование на разные
платформы
•Интерфейс браузера
Виртульные сервисы
•Нет локальных данных
•Самая высокая
безопасность
•Ощущения зависят от
скорости канала связи
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28

29. Полноценное рабочее место. Политика обеспечивает
гранулированный доступ и управление для персональных
устройств.
Функции BYOD
Mobile Device Management
• Интегрированное управление политиками с управлением мобильными
устройствами (Mobile Device Management) предоставляет гранулированный
контроль устройств, многоуровневую безопасность и применение сетевых политик
доступа при внедрении BYOD
Enterprise
WebEx Jabber Quad
Applications
Защитный
клиент Облако Web Sec МСЭ
Политики Управление
Router Wireless Wired
SMARTPHONES TABLETS GAME/PRINTER THIN/VIRTUALCLIENTS DESKTOP/NOTEBOOKS
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 29

30. Инвентаризация Аутентификация Защита от угроз Безопасный
Инициализация пользователей и Политика удаленный доступ
устройства устройств использования
Безопасность данных на Оценка состояния Web
устройстве Применение Защита от утечек
Безопасность приложен. политики доступа информации
Управление затратами
Полная или частичная
очистка удаленного
Политики Облако Web Sec Защитный клиент МСЭ
устройства
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 30

31. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31

32. BYOD Проводный, Беспроводный, Инфраструктура доступа Шлюзы безопасности Инфраструктура защиты и
устройства Мобильный доступы управлениям политиками
Mobile Network МСЭ)
Active Certificate
Internet Directory Authority
Public Wi-Fi Network (AD) (CA)
Management
Switching
WLAN Core
WLAN AP
Controller
Access Switch
Campus
Policy Engine Mobile RSA
Device Secure ID
Integrated Manager
Services (MDM)
Router
Branch Office
WAN
Aggregation
Wireless
Services
Router
Router
AnyConnect Home Office
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32

33. • Банк России
Явных требований нет
Возможно выполнение всех требований СТО БР ИББС
• ФСТЭК и ФСБ
Явных требований нет - все зависит от модели угроз
Недоверие со стороны регулятора
Отсутствие контролируемой зоны
Нехватка сертифицированных решений
• Безопасность мобильного устройства обеспечить можно!
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 33

34. 1. Явление BYOD влияет на все сферы IT и
предполагает наличия в организации
концепции/стратегии мобильного рабочего места и
соответствующих процессов
2. На сегодня BYOD есть фактически в каждой
организации – отличается лишь степень
проникновения персональных устройств
3. В зависимости от степени “зрелости” использования
персональных устройств организация может
выбирать разные сценарии решения BYOD
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 34

35. Спасибо за внимание!
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 35