Policy and risks regarding personal computers

Views:

Dozvoljeno je koriscenje iskljucivo racunara koji su pod Intune upravljanjem za pristup poslovnim sistemima, podacima i aplikacijama.
Koriscenje licnih, neadministriranih uredjaja predstavlja znacajan rizik i nije dozvoljeno, osim uz specificno odobranje od strane vlasnika kompanije koji takodje potvrdjuje da se navedeni rizici koji dolaze uz koriscenje privatnih racunara prihvataju.

Procedura koja se primenjuje kada korisnik radi i loguje se na kompanijski nalog sa privatnog racunara je sledeca:

- Uvek prvo ponudimo reinstalaciju racunara kao kompanijskog (da se uradi Autopilot, bude enrolled na Intune i koristi sa poslovnim nalogom)

- Korisnicima se objasni sta obuhvata reinstalacija racunara na ovaj nacin i da ce racunar efektivno biti upravljan od strane kompanije

- Ukoliko prihvate tu opciju, prati se procedura za zakazivanje reinstalacije koja se nalazi u drugom KA

- Ukoliko ne prihvate prvu opciju potrebno je u roku od 1 radnog dana definisati da li ce se ici sa drugom ili trecom opcijom

- Druga opcija zamene racunara se predlaze vlasniku kompanije, ukoliko zele da obezbede novi racunar koji se moze instalirati kao kompanijski od starta

- Treca i poslednja opcija je da vlasnik izricito odobri koriscenje privatnog racunara nakon sto mu se prethodno objasne rizici (protiv nase preporuke)

1. Bezbednosni rizici

Licni uredjaji najcesce nemaju:

- Instaliran i upravljan antivirus / EDR sistem (npr. Microsoft Defender for Endpoint)

- Automatsko azuriranje i patch management operativnog sistema

- Aktiviranu enkripciju diska (BitLocker)

- Konfigurisan firewall i mreznu zastitu pod nadzorom IT-a

Bez ovih kontrola, rizik od malvera, ransomvera ili kradje podataka znacajno je povecan.

Neadministrirani uredjaji ne salju izvestaje o bitnim sistemskim parametrima menadzment portalu.

Zbog toga IT ne može:

- Otkrivati i resavati bezbednosne incidente

- Primenjivati kontrole pristupa (Conditional Access)

- Osigurati da uredjaj ispunjava propisane bezbednosne standarde

Ovaj nedostatak vidljivosti moze omoguciti da napadi ili eksploatacije racunara prodju neprimeceno.

2. Rizici po zastitu podataka

Kada se poslovnim podacima (fajlovi, mejlovi, kredencijali) pristupa sa licnog racunara:

Fajlovi se mogu cuvati van enkriptovanog, kompanijskog prostora.

Kesirani podaci i lozinke mogu ostati na uredjaju i nakon prestanka radnog odnosa.

Sinhronizacija sa licnim cloud servisima (Google Drive, Dropbox, i sl.) moze dovesti do kradje podataka.

U zavisnosti od industrije, koriscenje neadministriranih uredjaja moze dovesti do krsenja:

- Zakona o zastiti podataka (npr. GDPR)

- Ugovora o poverljivosti sa klijentima

- Internih bezbednosnih politika kompanije

3. Rizici po kontrolu pristupa i identitet

Conditional Access i Device Compliance polise u Intune-u obezbedjuju da samo pouzdani i bezbedni uredjaji imaju pristup poslovnim sistemima.

Kada se koristi licni uredjaj, ove zastite se zaobilaze. To povecava rizik od kradje naloga i kompromitovanja kredencijala, narocito na deljenim ili nezasticenim kucnim mrezama.

4. Operativni i tehnicki rizici

IT ne moze da pruza daljinsku podrsku, instalira azuriranja sistema/aplikacija ili obnavlja podatke na licnim uredjajima.

U slucaju gubitka, kvara ili infekcije malverom, moze doci do nepovratnog gubitka podataka.

Licne konfiguracije i softver cesto prave konflikte sa poslovnim aplikacijama (VPN klijenti, sertifikati, i sl.).

Keywords: Risk, policy, unmanaged, personal, intune