НовостиСобытияКонференцииФорумыIT@Work
Документооборот/ECM:

Блог

BYOD - основа для развития мобильных устройств и решений

Ришат Мухаметшин
25.03.2013 13:57:13

Не так давно я случайно набрёл на статью The BYOD challenge to enterprise App development. Её в своём блоге опубликовал разработчик PhoneGap — программного решения для быстрой разработки мобильных приложений. Получается, тема BYOD настолько популярна, что даже разработчики вовсю используют термин в своих публикациях.

Если взглянуть на график трендов поиска в Google и сравнить его, скажем, с термином “social enterprise”, то мы увидим интересную картину.

Несмотря на то, что тема BYOD отстаёт в суммарном весе (фактически, общее число поисков и публикаций меньше), в конце 2012 года она обогнала тему social enterprise.

BYOD содержит в себе значительный пласт мобильных устройств и решений. Это исходит из определения мобильного устройства — такого, которое можно взять с собой и принести в офис. А других сейчас и нет. График выше можно интерпретировать и как желание ввязаться в BYOD, и как общую обеспокоенность проблемами использования таких устройств в рабочих целях. Если говорить о втором, то безопасная эксплуатация мобильных устройств в корпоративных целях и хранение на них корпоративной информации — вопрос до сих пор открытый и спорный. К слову, самые популярные запросы, из которых сложился этот график, — “BYOD policy” и “BYOD security”.

Большая проблема мобильного устройства в контексте информационной безопасности состоит в том, что оно, как правило, подключено к сети постоянно и непрерывно, когда есть такая возможность. Бóльшую часть времени пользователь не контролирует трафик. Пока устройство находится в режиме ожидания, над ним можно выполнять операции, используя все имеющиеся ресурсы, скрывать присутствие вредоносного приложения при этом не нужно, — его никто не видит. По факту потребления интернет-трафика пользователь может заподозрить неладное, но многие ли следят за этим?

Безотносительно того, в каких деловых процессах участвует пользователь, выполняя задачи с помощью своего мобильного устройства, он использует корпоративную информацию. Она отображается на экране, она хранится в памяти. Иногда она хранится в памяти долгосрочно и доступна после выхода из приложения, а в некоторых случаях она доступна постоянно и находится в локальном хранилище, являющемся мини-копией корпоративной базы данных. То есть, получив доступ к хранилищу мобильного устройства, злоумышленник может похитить данные, в том числе и корпоративные, если они не защищены надёжно.

При этом с каждым днём критерии надёжности поднимаются выше и выше в погоне за вычислительными мощностями систем, способных создать угрозу тем самым данным. За сумму порядка сотни долларов можно арендовать CUDA и подобрать ключ к зашифрованному любым популярным алгоритмом тексту. Нужно понимать, что корпоративные данные иногда стоят значительно дороже.

Вопрос угроз изучен вдоль и поперёк. Существуют крупные корпоративные решения по обеспечению информационной безопасности в среде, где в той или иной степени функционирует BYOD. Но за шесть с половиной лет не произошло ни одного грандиозного открытия в этой области, а все ноу-хау сводятся в одну точку: централизованная выдача устройств. Но только в этом случае второе и третье слова аббревиатуры теряют смысл.

Что ж, будем ждать новых открытий и свершений.

Комментариев: 8

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

25.03.2013 14:27:10

Мне кажется, что все это слишком абстрактно-теоретические рассуждения. Пора бы уже от них переходить к анализу реальной практики.
И еще мне кажется, что "централизованная выдача устройств" - это как раз совсем не BYOD smile:)

25.03.2013 14:42:17

Абсолютно согласен. Но чтобы пойти в атаку, необходимо накопить критическую массу информации про врага. BYOD — враг большой и опасный, поэтому до сих пор крутимся в теории. Устройства личные, к сети подключены 24/7, каждый пользователь себе на уме, в частности, в вопросах безопасности. Как управлять? Где готовые рецепты? Не вижу таких, одна теория. Поставщики корпоративных решений концентрируют усилия на мобильных решениях, обеспечивают безопасное функционирование их, но это на уровне конкретных решений. А общий, глобальный инструмент мониторинга и управления всеми устройствами (он же mobile device management, если не ошибаюсь) — где он? Непонятно. И также непонятно, действительно ли он нужен, и в какой форме возможно его существование.

Про централизованную выдачу — я о том и говорю, что это далеко не BYOD. Но каждая третья англоязычная статья почему-то либо в качестве решения проблем совместимости и безопасности, либо в качестве одного из пунктов обоснования стоимости указывает на эту самую выдачу. Что, мол, ИТ-служба обеспечивает сотрудников, которые хотят или нуждаются в портативных устройствах, этими самыми портативными устройствами. Но это уже было, и это не BYOD. Более того, это сознательный уход от темы, попытка подменить новую надвигающуюся действительность чем-то привычным и знакомым. А это не так.

25.03.2013 14:49:59

Я уверен, что представление BYOD в образе врага - это совершенно принципиальная ошибка.

Это напоминает психологию работников торговли советской поры, которые воспринимали покупателей, как своих врагов, которые только ходя и мешают "нормально работать" (пить чай с сослуживцами).

25.03.2013 14:59:32

Враг — не потому что нужно с ним бороться, не давать ему развития. А потому что если допустить неконтролируемую его экспансию, это плохо закончится. На персональном уровне принести свой ноутбук на работу — это удобно и не кажется противоестественным. На уровне крупного предприятия даже 1% сотрудников, выполняющих деловые процедуры с помощью личных устройств, — уже угроза, при чём и безопасности, и эффективности. Если нет политики, нет явно выраженного отношения к BYOD на корпоративном уровне, то в определённой точке начинается софтверно-аппаратный хаос. Чем бороться, проще избежать, сдав позицию сейчас, но выиграв всю войну.

Впрочем, согласен, звучит так, будто от BYOD нужно отбиваться всеми силами. Конечно же я имел в виду другое. А именно то, что нужно быть предельно готовым к его приходу в устоявшуюся рабочую структуру, не предназначенную изначально к такому взрыву мобильности.

25.03.2013 15:16:34

Честно - я не очень понял вашего комментария. В том числе вот этой фразы:

Цитата
Чем бороться, проще избежать, сдав позицию сейчас, но выиграв всю войну.


Я еше раз повторю: вы тут приводите позицию сотрудника ИТ-отдела, который каждого пользователя воспринимает как личного врага.

Давайте поменяем подход: не пользователи существуют для ИТ, а наоборот.

И еще - давайте от общих рассуждение о безопасности перейдем к рассмотрению конкретных сценариев.

Расскажите лучше конкретные случаи из вашей реальной практики. Как принесенный мобильные телефон привел к утечекам информации... И как личный ноутбук снизил производительность...

25.03.2013 19:20:36

С BYOD есть еще одна проблема, о которой не очень говорят, но в нашей стране она может оказаться существенной. Как-то сидючи на конференции по управлению софтверными активами (SAM, Software Asset Management), я услышал от докладчика замечательную фразу. Смысл в том, что если сотрудник принес на работу, допустим, свой ноутбук, а в это время в компанию пришли с антипиратской проверкой, то этот ноутбук считается используемым для решения задач компании и тоже подлежит проверке. Сколько на нем окажется нелицензионного софта? А ведь штраф будет платить компания. Ей нужна такая головная боль?

И даже если на личном ноутбуке нет контрафакта, все лицензии все равно нужно будет предъявить и доказать их чистоту.

25.03.2013 19:58:38

Это так, но все это - подход с точки зрения начальника ИТ-отдела.

Со стороны ИТ-отдела BYOD - это только одна головная боль, не более того.

Оценивать BYOD можно только с позиции руководства компании в целом.

26.03.2013 00:53:50

Цитата
Пора бы уже… переходить к анализу реальной практики.


Такого рода анализ уже есть. См. заметку “Истинное состояние дел с корпоративной мобильностью в нашей стране”.

Вкратце: cогласно итогам опроса участников “Дня корпоративной мобильности”, организованного в IV квартале прошлого года Центром корпоративной мобильности “АйТи” и СоДИТ (Союзом ИТ-директоров России), в нашей стране 16% организаций запрещают своим сотрудниками осуществлять доступ к корпоративным ресурсам со своих личных мобильных устройств; 40% компаний ещё не регламентировали доступ к корпоративным ресурсам с личных мобильных устройств. И лишь в 45% компаний (представители которых приняли участие в опросе) разрешен доступ с личных устройств к корпоративной почте, контактам и календарю.

Каких-либо леденящих душу последствий стихийно сложившейся практики BYOD пока не зафиксировано. Не так уж страшен зверь… Но определенные меры безопасности, конечно, нужны. Даже не столько технические, сколько организационные.

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии