Принесите свое собственное устройство на работу: кошмар безопасности?

Введение

Ваша компания была вынуждена вступить в дебаты о том, могут ли сотрудники использовать свои личные устройства для деятельности, связанной с бизнесом? Если нет, то придет день, когда вам придется принимать решения на устройствах сотрудников. Несколько лет назад велись дискуссии о том, разрешать ли сотрудникам использовать свои персональные компьютеры, такие как ноутбук или домашний рабочий стол, для работы из дома. Некоторые компании создали безопасные решения VPN, удаленный рабочий стол или разрешили пользователям использовать OWA (Outlook Web Access) для выполнения ограниченных функций со своего домашнего компьютера. Теперь, с распространением устройств, которые сотрудники носят с собой, проблема использования их собственных устройств стала еще более сложной. Устройства Apple и Android повсюду, и почти у каждого есть одно из них. Конечно, многие владеют обоими типами устройств. Итак, давайте обсудим плюсы и минусы предоставления пользователям возможности использовать собственное устройство для работы. Конечно, наша дискуссия имеет уклон в сторону концепций безопасности.

Перспектива сотрудника

Большинство сотрудников выступают за концепцию предоставления собственного устройства для работы по нескольким причинам. Во-первых, они уже владеют устройством и знакомы с ним. Большинство пользователей стали очень испорченными, когда дело доходит до постоянной смены рабочих столов и операционных систем. Большинство пользователей считают, что они могут быть более продуктивными с устройством, которое они постоянно используют как для работы, так и для личных целей. Во-вторых, большинство сотрудников недовольны подходом к блокировке устройств, который используется в большинстве организаций. Когда сотруднику доставляется устройство, обычно это настольный компьютер или ноутбук с Windows, оно имеет множество ограничений. Это может включать ограниченный доступ к Интернету, невозможность установки приложений и многие другие ограничивающие элементы управления. В-третьих, пользователи постоянно говорят, что хотят контролировать устройства, на которых они работают. Сюда входит работа и личная деятельность. Пользователи говорят, что хотят проверить электронную почту в одну минуту, а в следующую поиграть в Angry Birds.

По данным многих исследовательских организаций, сотрудники охотнее смотрят на компании, которые позволяют им приносить на работу собственное устройство. Кроме того, чем моложе сотрудник, тем больше вероятность того, что он согласится на работу, которая позволяет использовать на работе принадлежащее сотруднику устройство.

Перспектива компании

В организации существует много мнений по этому вопросу, поскольку на каждом уровне внутри организации возникают разные проблемы.

На верхнем уровне стоимость является серьезной проблемой. Сегодня, когда настольные и портативные компьютеры обновляются через определенные промежутки времени, отсутствие необходимости обновлять настольные компьютеры или ноутбуки — это огромная экономия средств. Руководителям и лицам, принимающим решения на этом уровне, нравится тот факт, что организации не придется платить за аппаратное и программное обеспечение, необходимое для выполнения пользователем своих обязанностей. Конечно, будет некоторое программное обеспечение, которое должна предоставить организация, но теперь операционная система и, возможно, пакет Microsoft Office могут быть предоставлены сотрудником.

На более низких уровнях, таких как служба поддержки и поддержка, также есть поддержка сотрудников, которые приносят свои устройства из дома на работу. Обычно устройство может поддерживаться или продаваться компанией или сторонней службой, которая может поддерживать несколько платформ, которые сотрудники могут использовать в организации. Служба поддержки теперь потенциально будет отвечать за внутренние приложения, вход в систему, аутентификацию, сетевые ресурсы и электронную почту. Другие требования по поддержке оборудования и проблем, связанных с ОС, могут быть сняты.

Посередине лежит ОНО. Обычно ИТ-отдел не очень доволен тем, что сотрудники приносят свои устройства из дома. ИТ-отдел полностью осведомлен об экономии средств и потенциальной разгрузке поддержки, но они также осведомлены о других проблемах, которые могут возникнуть и, скорее всего, возникнут из-за того, что чужое устройство попытается работать в пределах корпоративной сети. ИТ-отдел, скорее всего, больше всего заботится о безопасности. Проблемы безопасности, которые есть у ИТ, не только обоснованы, но и представляют серьезную угрозу. Во-первых, если сотрудники приносят свои устройства из дома, какие политики будут применяться к устройству? Во-вторых, если сотрудник будет проверять корпоративную почту на устройстве, какие политики и настройки будут защищать доступ к устройству и электронной почте? В-третьих, если сотрудник контролирует устройство, кто будет диктовать политику контроля доступа (включая пароль для входа в систему, блокировку и т. д.). Наконец, кто может сказать, что приложение, которое пользователь использует на устройстве (например, Angry Birds, Words with Friends, Facebook и т. д.), не пронизано вирусом или червем?

Контроль устройств, предоставленных сотрудниками

Очевидно, что потребуются некоторые обязательные средства контроля над устройствами, которые сотрудники используют для выполнения задач, связанных с работой. Были некоторые задокументированные предложения, но список все еще растет и трансформируется, чтобы адаптироваться к недавно выявленным и менее очевидным возникающим проблемам. Вот список некоторых элементов управления безопасностью, которые вы можете установить на эти устройства:

• Минимальные требования к паролю, соответствующие требованиям корпоративной сети.
  
• Шифрование всех данных, которые хранятся на устройстве.
  
• Минимальная политика блокировки для времени простоя.
  
• Привязка устройств, если пользователь отойдет далеко от устройства, прозвучит сигнал тревоги.
  
• Кейсы физической безопасности для устройств.
  
• Аудит активности на устройстве для криминалистики.
  
• Удаленная очистка на случай потери устройства.
  
• Конфигурации брандмауэра для ограничения явного вредоносного кода и приложений.
  
• Программное обеспечение для защиты от вирусов, вредоносных программ, шпионских программ и червей.

Резюме

Возможность сотрудников приносить свои устройства на работу — очень горячая тема. Организации считают, что стоит оценить экономию затрат на эту инфраструктуру. Часто руководители и ИТ в организации являются подопытными кроликами для этой оценки. Хотя может показаться, что это идеальные группы для оценки, последствия незащищенных устройств могут быть больше, чем компания хочет принять. Деньги не должны быть единственным решающим фактором, поддержка и безопасность также должны быть включены в число факторов. Например, если компания является магазином Windows, но сотрудники начинают внедрять устройства Apple и Droid, эти устройства могут быть несовместимы с существующими приложениями. Кроме того, эти устройства могут вызывать другие проблемы совместимости с сетевой инфраструктурой, такой как принтеры, маршрутизаторы, брандмауэры и т. д. Важнейшее значение при выборе этих устройств должна иметь безопасность. Если руководитель потеряет устройство, имеющее ключевую интеллектуальную собственность, из-за «сделки», которая не подлежит разглашению по юридическим причинам, это может вызвать серьезные проблемы для организации. Это случилось с Apple через несколько месяцев после выпуска iPad, так что это может случиться и с вашей организацией. В конце концов, ваша организация должна учитывать общие преимущества и риски, связанные с внедрением подобных устройств. Рассмотрение всех политик, процедур и элементов управления безопасностью будет иметь большое значение для вашего окончательного решения.