НовостиСобытияКонференцииФорумыIT@Work
Мобильные решения:

Блог

BYOD: удобство или безопасность

Сергей Голубев
02.06.2014 12:14:23
Теги: BYOD

В обсуждении заметки «Шифрование в Android с точки зрения пользователя» наш постоянный читатель Donat Lipkovsky оставил комментарий, одна фраза из которого сама по себе заслуживает отдельного разговора. Вот она:

Цитата
… или пользователь подключает своё устройство к BYOD и выполняет все требования безопасности или ему в нормальной компании никто подключить устройство не даст.

Разумеется, критерии «нормальной компании» у каждого свои. Как и точка зрение на приоритеты при использовании BYOD.

Например, есть четыре более-менее общепринятых «полочки» BYOD:
  • Разрешена и зарегламентирована;
  • Разрешена, но не приветстствуется;
  • Запрещена;
  • Не регулируется.

На первый взгляд, перечислены все варианты, хотя на человек, знакомый с BYOD на практике, тут же добавит пятую «полочку»:

  • Обязательна и не зарегламентирована.

    Иными словами, сотрудник получает корпоративную почту на свой личный планшет, поскольку по умолчанию предполагается, что такое устройство у него имеется и выдавать ему казённое нет никакой нужды. В этом случае сформулированное нашим читателем правило будет выглядеть несколько иначе:

    Цитата
    … или компания не усложняет использующему личное устройство сотруднику процесс выполнение служебной задачи, или ни один нормальный сотрудник не будет использовать своё устройство в служебных целях.

    Отличие в отношениях к BYOD обычного сотрудника и сотрудника ИТ-подразделения заключается в следующем. Каждая сторона искренне уверена, что делает одолжение другой.

    «ИБшники» думают, что это компания идёт на уступки сотруднику, который из-за какой-то свое блажи не желает использовать «правильное» казённое устройство. Сотрудник уверен, что помогает компании, которая по непонятным причинам не может купить ему «нормальную железку».

    Разумеется, правильный ответ — истина где-то посередине. Но с практической точки зрения его цена ничтожна, поскольку всё равно стороны останутся при своём мнении.

  • Комментариев: 18

    Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

    Donat Lipkovsky
    03.06.2014 01:14:38

    В "нормальной организации безопасностью, как правило занимается в том числе отдельное подразделение - служба безопасности.
    Кроме этого, в нормальной организации должен существовать документ с названием "Политика безопасности компании" определяющий основные требования безопасности и документы по направлениям безопасности, которые регламентируют выполнение этих требованиям, скажем в ИТ-области - "Политика ИТ безопасности компании". Ну и целый набор инструкций для всех сотрудников.
    Всё это разрабатывается совместно - руководство компании, служба безопасности (если есть), ИТ-отдел, руководители отделов и направлений, юристы компании в обязательном порядке.
    И вопрос не стоит ИЛИ - безопасность или комфорт. Всегда стараются найти компромисс, но не за счёт безопасности.
    И это не мной придумано.

    03.06.2014 10:19:26

    Ну хорошо, давайте попробуем найти компромисс. Допустим, я бьёдер, вы безопасник. Вы доводите до меня требования политики безопасности, я спрашиваю.
    Как я могу убедиться, что ваши люди не получат доступ к МОИМ персональным данным, которые хранятся на МОЁМ планшете?

    Donat Lipkovsky
    03.06.2014 11:11:09

    Если информация, с которой вы будете работать в организации не относится к служебной и составляющей коммерческую тайну, то технически, применительно к Google Apps, к вашему устройству не будут применяться «правила в отношении паролей, шифрования, подтверждения устройств и политики безопасности для мобильных устройств.» В этом случае не нужно устанавливать приложение Google Apps Device Policy и, даже, ждать активации устройства администратором. Т.е. вы, по-сути, будете пользоваться корпоративным сервисом Google Apps, как обычным Googl'ом. На Google Диска для вас будут доступны общие для организации документы, которые, как сказано выше, не несут груза служебности и коммерческой тайны.
    Если же информация подпадает под служебность и коммерческую тайну, то вас обязаны предупредить об этом, вы должны будете подписать (или не подписать в случае несогласия) соответствующий документ о согласии со всеми «гадостями» в отношении вашего персонального устройства. Политики будут применены в полном или частичном объеме, приложение Google Apps Device Policy необходимо. В общем должны быть соблюдены все технические и юридические тонкости.
    Всё это в нормальной организации. В остальных организациях, которые собственные руководители или сотрудники считают норамльными, может быть по-всякому. Там можно и по-капризничать и покачать свои права.

    03.06.2014 11:30:37

    Безопасность без удобства не нужна.
    Признаться, общие разговоры о проблемах безопасности уже изрядно надоели. НУжно все это рассматривать с показом конкретных примеров.

    Donat Lipkovsky
    03.06.2014 12:08:18

    Код
    Безопасность без удобства не нужна

    Для пользователя... а организации, нормальной организации, не нужны удобства в обмен на безопасность.
    Что касается конкретного примера, который
    Код
    с показом
    , то он предоставлен, в рамках имеемых у меня возможностей, для автора этой статьи. Конкретно - доступ к корпоративному Google Apps. Насколько мне известно, в данный момент Сергей уже окунулся в "тяготы и лишения воинской службы" сори... Googl'овского корпоративного сервиса. Причём это ещё не все тяготы и лишения, потому, как в данной организации планируется интеграция со Active Directory и другими внутри-корпоративными сервисами "со всеми тяжкими". Естественно - индивидуально для различных групп пользователей.
    Для Сергея закручено по полной, для других - политики не применяются вообще и всё это в рамках политик безопасности от Google Apps. С политикой безопасности в Google Apps для организаций, можно ознакомиться с справочном разделе сервиса. И всё это не мной придумано.

    03.06.2014 12:13:06

    Организации нужны прежде всего деньги. Которые приносит не ИБ, кстати.

    Donat Lipkovsky
    03.06.2014 12:22:38

    Код
    Организации нужны прежде всего деньги. Которые приносит не ИБ, кстати

    Это точно, ИБ не приносит. Это не её задача. Её задача - исключать многотысячные, многомиллионные и многомиллиардные убытки в случае компрометации важной информации.

    03.06.2014 12:34:53

    Тем не менее, мы как-то ушли от темы BYOD. Я ведь не против соблюдения каких-то корпоративных правил. Я против применения их к моему личному устройству.

    Donat Lipkovsky
    03.06.2014 12:43:21

    А что непонятно с личным устройством?! Я же объяснил, если у вас доступ к важной для организации информации, то вы или соглашаетесь с применением политики к вашему устройству или пользуетесь выданной корпоративной. Если вы не соглашаетесь с политикой и не желаете использовать корпоративное устройство - нет проблем, - вы идёте работать куда-нибудь ещё.

    Есть, как минимум, две простых вещи, придуманных, опять же, не мной:
    - свобода - это осознанная необходимость
    - незаменимыми людьми, полны все кладбища мира.

    03.06.2014 12:50:28

    Цитата
    вы или соглашаетесь с применением политики к вашему устройству или пользуетесь выданной корпоративной.


    Разумеется. Поэтому на многих предприятиях BYOD — категория сугубо теоретическая. Или на 2-3% сотрудников. Если хотя бы 50%, то будет совсем иначе.

    Donat Lipkovsky
    03.06.2014 13:21:05

    Вы слишком усердствуете применяя принцип обобщения.
    50% сотрудников, скажем, в издании, в котором мы упражняемся в эпистолярном жанре, возможно могут и не париться с собственными устройствами, а вот в банке эти 50% - или будут выполнять требования или поищут другой банк - типа ПриватБанка.


    03.06.2014 13:35:32

    В банке, вероятнее всего, про BYOD никто всерьёз и говорить не будет. BYOD, дистанционка, удалёнка — это для небольших компаний.

    Donat Lipkovsky
    03.06.2014 14:18:37

    В банке не будут говорить всерьёз, если вы откажитесь применять к вашему личному устройству политики, или если по вашему штатному расписанию вам категорически запрещено работать с личными устройствами. Всё зависит от конкретики. Опять, таки - обобщения в безопасности хороши только при распределении сотрудников по группам безопасности.

    Код
    Для больших


    Не думаю - вот интересная аналитика (с экономической т.з) от Cisco
    Полно так же статей по-безопасности. Я просто ими не особо интересуюсь - у меня вопросов по безопасности и BYOD нет.
    Кроме-то, при использование конкретных сервисов, предусматривающих работу с BYOD, ИТ-отдел работает с тем, что в них уже реализовано скажем - Google Apps, Windows Intune и т.п.

    03.06.2014 15:05:13

    Мне кажется, что мы с самого начала говорим о разных вещах smile:).
    Как-то в одной из дискуссий вокруг BYOD и мобильности представители крупного корпоратива рассказывали мне, что у них BYOD внедряется полным ходом. Вот, мол, два крутейших топа купили себе какие-то супер-пупер смартфоны, мы их вписали в корпоративную политику, все довольны…
    На мой же взгляд, BYOD и мобильность начинается с 50% сотрудников, которые используют свои устройства и даже не имеют постоянного рабочего места в конторе. А уж у полностью мобильного предприятия и конторы-то никакой нет.

    03.06.2014 11:31:27

    Цитата
    …вы должны будете подписать (или не подписать в случае несогласия) соответствующий документ о согласии со всеми «гадостями» в отношении вашего персонального устройства.


    Только не моего персонального. Я работал в разных конторах (и нормальных, и «нормальных»), но мне никогда не предлагали подписать бумаги, относящиеся к моей личной собственности. В противном случае я предложил бы считать, что никаких личных устройств у меня нет, выдать мне казённые и делать с ними всё, что угодно.

    Кстати, я не гарантирую, что при словах ИБшника о безопасности хранения секретной информации на ГуглоДиске я смогу удержаться от смеха smile:).

    Donat Lipkovsky
    03.06.2014 11:50:10

    Код
    Я работал в разных конторах (и нормальных, и «нормальных»), но мне никогда не предлагали подписать бумаги, относящиеся к моей личной собственности.

    Это обязательный юридический момент и он не для вас, а для организации. В нормальных организациях предлагают.

    Код
    Кстати, я не гарантирую, что при словах ИБшника о безопасности хранения секретной информации на ГуглоДиске я смогу удержаться от смеха

    Боюсь, что вам придётся смеяться бесконечно. Всё это актуально при использовании любого сервиса, где можно хранить информацию, скажем, Яндекс.Диск, DropBox и им подобных, а так же всех без исключения облачных сервисов.
    Кстати, когда тут во всю рекламировали использование в ПриватБанке Ubuntu и использовании сервиса Google Apps - я писал о странности этого решения для Банка, но что-то никто не смеялся. Кстати, там можно было смпеяться и о применении конкретно Ubuntu, ибо она не одной официальной структурой не сертифицирована для работы с персональными данными ни у нас, ни в Украине. Об этом я то же упоминал - но что-то никто, опять, же не смеялся.
    Надо отметить, что для Google Apps насколько мне известно существую дополнительные соглашения о хранении корпоративной информации. В любом случае Google Apps это абсолютно такой же внешний сервис, как любые другие, в том числе облачные.
    Так что, мы или с ними работаем или... смеёмся.

    03.06.2014 12:07:21

    Не думаю, что Приват хранит на облаках действительно секретные данные.

    Donat Lipkovsky
    03.06.2014 12:15:16

    Ну судя по т.с. "подходу" к безопасности с применением не сертифицированной ОС в банке - всё может статься.
    Хотя, тут может и есть свой корыстный интерес с точки зрения доступа к конфиденциальной информации - государство может и не достучаться до необходимых данных в известном случае, сервис то - импортный.

    Только зарегистрированные и авторизованные пользователи могут добавлять комментарии