Политика BYOD: кто контролирует ваш смартфон?

Опубликовано: 4 Апреля, 2023
Политика BYOD: кто контролирует ваш смартфон?

Любите вы их или ненавидите, смартфоны — удивительная технология. Мало того, что средний смартфон имеет большую вычислительную мощность, чем тот, который использовался для отправки человека на Луну, но благодаря повсеместному подключению практически каждый имеет доступ ко всему объему человеческих знаний, и все это с устройства, которое достаточно маленькое, чтобы вместить в нашем кармане. Однако, как и любая другая широко распространенная технология, смартфоны вызвали немало трений. В последнее время я стал замечать некоторую борьбу за власть, связанную со смартфоном. Нет, я не говорю о Sprint и Verizon, борющихся за долю рынка. Я говорю о тех, кто хочет, чтобы вы использовали собственный телефон в своих целях, поднимая вопрос: кто контролирует ваш смартфон?

На первый взгляд это звучит коварно. Ведь телефон, который сейчас лежит у вас в кармане, — ваш. Вы купили телефон, оплачиваете счета, так что вам решать, как им пользоваться, верно? Не совсем.

Три или четыре года назад одной из главных тенденций в ИТ была идея «принеси свое собственное устройство», или BYOD. Раньше корпоративным ИТ-специалистам в основном требовалось, чтобы сотрудники работали с официально разрешенных корпоративных устройств. Идея заключалась в том, что эти устройства можно настроить в соответствии с политикой безопасности организации, в то время как персональные устройства представляют неприемлемый риск для безопасности. Тенденция «принеси свое собственное устройство» началась, когда сотрудники (особенно руководители) начали требовать возможности работать с потребительских устройств последнего поколения.

BYOD: зайти слишком далеко?

Изначально функция Bring Your Own Device давала людям беспрецедентную гибкость в работе с любого устройства по своему выбору. Однако в последнее время эта тенденция, похоже, зашла слишком далеко. В то время как работа с личного устройства когда-то была выбором, я слышу все больше историй о сотрудниках, которых вынуждают работать с личных устройств. Я даже слышал пару историй об организациях, которые больше не предоставляют сотрудникам компьютеры, планшеты и т. д., вместо этого ожидая, что сотрудники будут работать со своих личных устройств. Эту тенденцию сравнивают с другими отраслями, в которых сотрудники должны предоставлять свои собственные инструменты. Например, парикмахеры обычно сами предоставляют расчески и ножницы. Автомеханики часто предоставляют свои гаечные ключи.

Лично у меня нет проблем с идеей, что сотрудников просят предоставить свои собственные вычислительные устройства, если это требование соответствует этическим нормам. В конце концов, одно дело сообщить потенциальному сотруднику о требовании во время собеседования. Другое дело — внезапно потребовать от существующих сотрудников предоставления собственных вычислительных устройств.

Конечно, большинство организаций еще не требуют от сотрудников предоставления собственных вычислительных устройств. На данный момент самой большой проблемой, связанной с использованием персональных устройств, является контроль устройств. Я буду первым, кто признает, что ИТ-отдел должен принять меры для обеспечения того, чтобы устройства, подключаемые к корпоративным ресурсам, не создавали проблем с безопасностью или соблюдением нормативных требований. Но в какой момент потребность в безопасности уступает место контролю за личной жизнью сотрудника?

Для сотрудника, который иногда работает с личного устройства, более важным вопросом может быть вопрос о том, что организация может и не может делать с этим устройством. В некоторых случаях возможности организации разъясняются сотруднику в процессе регистрации устройства. Например, организация может отобразить экран, на котором сотруднику предлагается принять различные условия до завершения процесса регистрации.

В других случаях портал регистрации может описать сотруднику, что он может ожидать. Microsoft Intune, например, действительно хорош в этом. Когда пользователь регистрирует устройство iOS в Intune, на портале регистрации отображается сообщение, подобное показанному ниже, в котором точно сообщается сотруднику, что может и что не может делать ИТ-отдел. Единственная проблема заключается в том, что сотрудник может не обязательно быть уведомлен, если эти возможности изменятся в какой-то момент в будущем.

Изображение 10237
Для меня реальная проблема того, кто контролирует ваш смартфон, — это право собственности на устройство. Практически любая организация потребует, чтобы мобильные устройства, такие как смартфоны, соответствовали некоторым базовым стандартам безопасности, если им разрешен доступ к ресурсам компании. Например, организация, вероятно, потребует, чтобы устройства были защищены паролем и автоматически блокировались после бездействия в течение определенного периода времени. Это все хорошо и хорошо, но можно зайти слишком далеко.

Известно, что в целях обеспечения безопасности устройств некоторые организации используют политики ActiveSync, которые отключают определенные аппаратные функции на мобильных устройствах, такие как камера, подключение Bluetooth и даже GPS. Были также случаи, когда организации отключали веб-браузер устройства во имя безопасности. Конечно, может быть и обратное. Судебный процесс, поданный пару лет назад, утверждает, что менеджер по продажам был уволен после удаления приложения, которое постоянно отслеживало ее местонахождение, даже по выходным.

Когда «приемлемое использование» становится неприемлемым

Как бы ни раздражала потеря основных функций устройства из-за чрезмерно усердных политик ActiveSync, более серьезная проблема может заключаться в том, что в некоторых компаниях использование устройства для работы может означать отказ от возможности использовать устройство по своему усмотрению. Я читал о компаниях, которые теперь устанавливают политику приемлемого использования для любого устройства, которое обращается к корпоративным ресурсам, а не только для тех устройств, которыми владеет компания. Такая политика технически означает, что к сотруднику, работающему со своего устройства, будут применяться те же стандарты поведения, что и к сотруднику, работающему с корпоративного устройства. Другими словами, приложения, которые устанавливает сотрудник, текстовые сообщения, которые отправляет сотрудник, и веб-сайты, которые посещает сотрудник, должны соответствовать политике приемлемого использования компании.

Сотрудник может быть уволен за отправку нестандартного текстового сообщения со своего личного устройства близкому другу, который не работает в компании, в нерабочее время. Если это звучит безумно, то рассмотрите случаи, когда учителя или даже знаменитости были уволены за нарушение какой-либо статьи о морали в их контракте.

Пока правовая система не разберется во всем, лучший способ защитить себя сотруднику — использовать отдельные устройства или отдельные профили для работы и личного пользования. Сотрудникам также было бы разумно попросить письменное изложение политики компании в отношении содержимого личных устройств.

Всем, кто использует мобильное устройство как для работы, так и для личных целей, также рекомендуется настроить автоматическое облачное резервное копирование данных, таких как фотографии, видео и контакты. Корпоративный ИТ-отдел может легко выполнить удаленную очистку зарегистрированных мобильных устройств. Такие операции очищают устройство от всех его данных и приложений, возвращая устройство к заводским настройкам по умолчанию. Задокументированы случаи потери сотрудниками личных данных в результате случайной удаленной очистки.

Кто контролирует ваш смартфон? Расширяющееся поле битвы

Хотя корпоративная политика BYOD, вероятно, представляет собой наиболее очевидную борьбу за то, кто контролирует ваш смартфон, борьба ведется и на коммерческом фронте. Некоторые производители автомобилей, например, начали постепенно отказываться от встроенных в приборную панель навигационных систем в пользу приложений для смартфонов, которые используют телефон водителя для отправки навигационных данных на экран автомобиля. В условиях обслуживания для некоторых из этих приложений обсуждается все, от способов сбора ваших личных данных до способов, которыми приложение может отображать уведомления (рекламу?) на вашем мобильном устройстве. Точно так же некоторые страховые компании начали использовать приложения для смартфонов, чтобы отслеживать поведение своих клиентов, чтобы установить риск.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023