Recientemente noté este artículo en Forbes con respecto a un cambio sugerido para todas las configuraciones de Wi-Fi de iOS y generó una pregunta potencialmente controvertida.
Pourquoi chaque administrateur informatique/sécurité ne publie-t-il pas une liste des changements de paramètres/configuration liés aux appareils iOS et Android à chaque utilisateur de l'entreprise ? (Si vos employés utilisent encore des BlackBerry et que je viens de recevoir un e-mail d'un employé du Département américain de la sécurité intérieure. UU. Qu'il soit, ce qui est assez effrayant, nous devons parler dès que possible).
Certaines entreprises, bien sûr, ont écrit et publié ces paramètres de configuration. Mais pourquoi de nombreux DSI/CISO ne s'en soucient-ils pas ? Et alors que je plonge plus profondément dans les eaux troubles, permettez-moi de continuer : pourquoi ne pas rendre ces listes obligatoires, une exigence pour toute entreprise qui permet aux appareils personnels d'accéder à des données et des systèmes sensibles ? Presque tous nécessitent l'utilisation d'un VPN téléchargeable approuvé par l'entreprise, alors pourquoi ne pas dicter toutes sortes de paramètres qui présentent également des risques de cybersécurité ?
Les exigences varient d'une entreprise à l'autre et très probablement d'un utilisateur à l'autre. Mais les bases peuvent sûrement être configurées, comme désactiver le Wi-Fi lorsque vous n'êtes pas au bureau à domicile (qui pourrait littéralement être à la maison aujourd'hui) ou garder Bluetooth désactivé jusqu'à ce que vous en ayez besoin.
Ne soyez pas surpris si ces suggestions viennent avec le recul, car les travailleurs à distance se sont habitués à des services qui conviennent à la maison mais extrêmement dangereux lorsqu'ils traversent un aéroport, une gare ou le hall d'un hôtel d'affaires. De plus, ils peuvent être dangereux lorsqu'ils se promènent dans les rues de Manhattan ou de San Francisco.
Pensez Bluetooth. C'est un moyen d'attaque très pratique, tant que le méchant peut s'approcher très près de l'utilisateur prévu. Selon le logiciel de sécurité installé, une attaque Bluetooth peut contourner de nombreuses défenses traditionnelles. Alors pourquoi ne pas l'éteindre tout le temps, sauf quand c'est nécessaire ?
Les utilisateurs d'aujourd'hui sont susceptibles de porter des appareils Bluetooth dans leurs oreilles lorsqu'ils parlent dans cet aéroport, afin qu'ils puissent répondre à un appel téléphonique à tout moment. Une telle règle obligerait-elle chacun à garder son casque/écouteurs bluetooth à la maison et à ne voyager qu'avec un casque filaire ? Ce ne serait pas une si mauvaise idée. Mais les écouteurs filaires dureront-ils encore longtemps ?
L'histoire de Forbes qui m'a lancé sur ce sujet suggère que les utilisateurs ne sont pas autorisés à se connecter à des réseaux inconnus par défaut, une très bonne précaution. En outre, il a fait valoir que si un utilisateur pense qu'un réseau inconnu doit absolument être utilisé, veuillez d'abord activer un VPN mobile de confiance.
Commençons par là. Combien de magasins informatiques spécifient même un VPN mobile approuvé, et encore moins en exigent un ? Il est important de se rappeler qu'un VPN n'offre pas la protection que de nombreux utilisateurs pensent qu'il offre. Si l'utilisateur interagit avec un e-mail confidentiel ou se connecte à un compte bancaire, un attaquant surveillant Bluetooth peut toujours en voir quelque chose. Et s'ils téléchargeaient une capture de frappe ? Dans ce cas, les mauvais acteurs ont probablement vos identifiants.
Les administrateurs pourraient (et devraient) faire de même avec des règles concernant le Wi-Fi, les mots de passe ou les installations d'applications, qui peuvent tous aider à verrouiller les appareils mobiles et à protéger les données de l'entreprise. Et puis, bien sûr, la responsabilité devient de s'assurer que tout le monde dans l'organisation sait quoi faire et le fait. Et sinon, il devrait y avoir des conséquences pour rendre l'entreprise vulnérable aux attaques ou au vol.
Dans un environnement BYOD, l'informatique et la sécurité ont l'obligation de protéger tous les actifs de l'entreprise. Avec le pourcentage de ces actifs voyageant via le mobile qui monte en flèche, n'est-il pas temps d'établir des règles strictes ? Aucune de ces règles ne nuira de manière significative aux employés, ni n'empêchera les travailleurs d'interagir avec les applications et les données des consommateurs. Le pire des cas est un petit inconvénient.
Si un utilisateur souhaite se retirer du BYOD et insiste pour que l'entreprise lui fournisse un appareil mobile, il a certainement le droit de faire cette demande. (L'approbation est-elle une question très différente ?) Mais si elle est approuvée, ces utilisateurs peuvent se sentir libres de traiter leurs appareils personnels aussi imprudemment qu'ils le souhaitent. Tant qu'ils utilisent ces appareils pour accéder et créer des actifs de données appartenant à l'employeur, les règles de configuration semblent parfaitement raisonnables. Cela ne rend peut-être pas l'informatique et la sécurité particulièrement populaires auprès des utilisateurs (mais soyez franc : cela ne l'a jamais été et cela ne changera probablement pas).
<p>Copyright © 2021 IDG Communications, Inc.</p>