Концепция BYOD пришла в Россию недавно. Это еще недостаточно изученная область. Не хватает и специализирующихся на ней экспертов, и методических материалов.
Несмотря на рост популярности BYOD, выгоды этой концепции в России известны недостаточно широко. Кроме того, не все компании знают, как именно правильно использовать BYOD.
Дешевле для компаний
BYOD позволяет упростить многие бизнес-процессы. Например, сейчас почти не осталось компаний, где руководство или менеджеры в разъездах не пользуются корпоративной мобильной почтой — преимущественно с личных телефонов или планшетов. На сегодняшний день около 50% офисных сотрудников, по словам Константина Астахова, руководителя направления портальных и мобильных решений КРОК, используют мобильные устройства для работы.
Более половины сотрудников работают в дороге |
Кроме удобства и доступности, использование личных устройств привлекательно для работодателей с экономической точки зрения — так как сокращает их затраты на оснащение рабочих мест. Зачастую пользователи берут на себя поддержку своих личных устройств. Иногда необходимость в расходах на рабочие места и вовсе пропадает.
Удобнее для сотрудников
BYOD не только позволяет уменьшить расходы на аппаратное обеспечение, но и повышает эффективность работы сотрудников. Поэтому применение этой концепции, по словам Степана Дешевых, старшего менеджера по продуктам «Лаборатории Касперского», будет полезно практически всем компаниям.
«При правильной организации BYOD может стать конкурентным преимуществом для бизнеса», — рассказал он.
В компании «Астерос» BYOD как корпоративный принцип пока не принят. Но личные устройства для работы все-таки используются. Преимущества такого подхода, по словам Петра Лилеева, независимого эксперта «Астерос», ощущают в первую очередь сотрудники — и в небольшой степени компания, сокращающая таким образом затраты на оснащение рабочих мест.
Комплексный подход
Но не просто сам факт использования личного смартфона или планшета для работы повышает эффективность сотрудников. На устройство должны быть установлены специфичные для компании приложения и средства совместной работы с информацией. Именно такой вариант BYOD эффективнее всего, и именно он реже всего используется — и не только в России, но и в более развитых странах.
BYOD эффективен, когда на личном телефоне или планшете установлены все специфичные для компании приложения, необходимые сотруднику |
Сегодня основной сценарий, по словам Степана Дешевых, — это настройка на личном гаджете email– и Wi-Fi-профилей. Обычно на этом все и заканчивается. До использования приложений, раскрывающих всю ценность BYOD, дело доходит гораздо реже.
«Цена экономии и удобства — это риски несанкционированного доступа к корпоративным данным и заражения вирусами, рост обращений в службу поддержки и сложности с предоставлением необходимого корпоративного ПО», — рассказал Петр Лилеев.
Спешка опасна
BYOD — это серьезные угрозы безопасности, причем не всегда четко идентифицируемые. Внедрять BYOD надо постепенно и осмотрительно. В противном случае можно создать себе много проблем.
При поверхностном подходе к внедрению, по словам Алексея Раевского, генерального директора Zecurion, может получиться так, что затраты на менеджмент и защиту мобильных устройств превысят экономию, связанную с повышением эффективности мобильных сотрудников, и экономический эффект будет отрицательным.
«К BYOD нельзя подготовиться. Нужно понимать, что он уже здесь и повсеместен», — рассказал Юрий Черкас, руководитель направления инфраструктурных ИБ-решений Центра информационной безопасности компании «Инфосистемы Джет».
Проникновение различных вариантов этой концепции в большинство компаний, по его словам, — это свершившийся факт, связанный в первую очередь со всеобщей мобилизацией.
«ИТ-департаменту потребуется значительно перестроить свою работу, начать применять новые технологии, обучить специалистов, поменять процесс поддержки мобильных пользователей», — сказал Константин Астахов. Компании, по его словам, стоит разработать стратегию по мобилизации бизнеса, согласно которой будут выстраиваться все процессы.
Подготовка: определить и оценить
При подготовке к внедрению BYOD надо в первую очередь обратить внимание на данные. Необходимо определить круг задач, решаемых с помощью мобильных устройств, и объем информации, к которой сотрудники получат доступ.
После этого нужно идентифицировать риски, возникающие при работе с этой информацией на мобильных устройствах, и спланировать, как, с помощью каких мер и средств можно снизить эти риски до приемлемого уровня. Эта задача, по словам Алексея Раевского, усложняется многообразием моделей мобильных устройств, программных платформ и их версий.
«Наличие такого плана гарантирует разумную безопасность при существенно возрастающей эффективности организации», — рассказал Степан Дешевых. При этом, по его словам, иногда уже на стадии анализа может оказаться, что BYOD неприемлем — например, для спецслужб государства.
«Важно, чтобы пользователи BYOD могли легко понимать, какие данные на их устройствах являются персональными, а какие принадлежат компании», —сказал Андрей Арефьев, менеджер по развитию продуктов InfoWatch.
В идеальном мире нужна четкая граница между персональными и служебными данными, и любое ее пересечение в сторону персональных данных должно пресекаться. Важно, по словам Арефьева, предусмотреть меры уничтожения данных в случае кражи или потери мобильного устройства. И разумеется, к BYOD-устройствам должны применяться политики защиты доступа, основанные на использовании пароля.
Риски: сравнить и поделить
Два пути минимизации рисков при BYOD — экстенсивный и интенсивный — предложил Петр Лилеев. В первом случае требования к внешним устройствам должны быть соизмеримы с требованиями к внутренним.
«Если в компании регламентированы вопросы корпоративных АРМов; если прописаны требования к антивирусному ПО, вопросы хранения и передачи данных; если проработаны темы с установкой или предоставлением ПО и понятны механизмы технической поддержки, то подготовка к BYOD не займет много времени», — сказал Лилеев.
При выборе интенсивного пути следует использовать широкодоступные технологии терминального доступа и виртуализации, воспринимая личное устройство исключительно в качестве «тонкого клиента» и, по словам Лилеева, самостоятельно обеспечивая централизованную безопасную работу и сохранность данных.
Для минимизации рисков в КРОК применялась следующая стратегия. Компания выделила несколько групп сотрудников, которые будут пользоваться мобильными решениями. Для каждой группы были определены количество доступной информации и сервисы, которые она будет использовать. Все это было согласовано и утверждено на уровне руководства, рассказал Константин Астахов.
«Для доступа с личного мобильного устройства к любому корпоративному приложению, даже к почте, меняются настройки гаджета; для разблокирования телефона необходимо вводить пароль», — объяснил он.
Гаджеты под контролем
В последнее время концепция BYOD принимает в некоторых компаниях своеобразную форму. Организация, по словам Раевского, вместо подключения к своей сети мобильного устройства сотрудника выдает ему корпоративный смартфон или планшет заранее выбранной модели с уже установленным на нем ПО для защиты информации и настроенными политиками безопасности. Раньше так же выдавались ноутбуки.
«В этом случае значительно проще организовать контроль и управление парком мобильных устройств и решить задачи снижения рисков утечки конфиденциальной информации», — сказал Раевский. Некоторые производители, по его словам, идут навстречу корпоративным пользователям и включают в свои мобильные платформы специальные защищенные решения для работы с корпоративными данными. Например, это KNOX и SAFE компании Samsung.
При выборе концепции защиты стоит придерживаться простого правила: стоимость защиты не должна превышать стоимости данных, которые могут быть украдены. Здесь, по словам Андрея Арефьева, надо соизмерять важность данных, доступных на мобильных устройствах, с затратами на решения, определяющие и поддерживающие соответствующие политики. Главное при этом — знать меру и не использовать BYOD там, где это не требуется.
