С одной стороны, использование собственных устройств пользователей (BYOD) важно для стратегии мобильности предприятия, c другой, эта же технология угрожает его мобильной безопасности и потому в случае ее использования на первое место выходит обучение пользователей требованиям мобильной безопасности.
Разрабатывайте свою мобильную стратегию, но помните о безопасности
В течение нескольких последних лет предприятия регистрируют увеличение числа служащих, желающих использовать свои личные мобильные устройства в рабочих целях. Вместе с тем, компании должны понимать, что использование личных устройств порождает проблемы в обеспечении информационной безопасности.
Некоторые эксперты в области ИТ утверждают, что использование BYOD должно быть частью общей мобильной стратегии предприятия и служащие должны понимать свою роль в защите корпоративных данных. Однако пользователи должны понимать, что использование корпоративных средств обеспечения безопасности мобильных устройств может привести к существенному ограничению возможностей их применения в частной жизни. Фактически, компания должна взвесить возможные «за» и «против» внедрения таких решений.
Политика BYOD
Несмотря на то что в последние годы мы много и часто говорим о BYOD, все же как правило политика, которая должна определять мобильность и требования к ней, на предприятиях отсутствует. У многих компаний сегодня нет формальных правил, определяющих требования к мобильной стратегии. А ведь отсутствие подобной политики чаще всего ведет к ошибкам в обеспечении безопасности, потраченным впустую деньгам и ресурсам (в особенности с точки зрения производительности) и другим потенциальным потерям. Отказы в обеспечении безопасности и неэффективность могут не только снизить практический результат внедрения мобильных технологий, но и поставить под угрозу всю безопасность и даже репутацию предприятия.
Такая политика должна определять:
1. Какая информация чувствительна к утечкам и как мы собираемся ее защищать.
2. Кому предоставляется доступ к такой информации и на основе чего.
3. При каких обстоятельствах мы можем предоставить такой доступ.
4. Что делать при нарушении.
В общем случае политика не определяет, какие технологии будут использоваться для решения конкретных вопросов, какой VPN мы хотим использовать, какой механизм обеспечения аутентификации или какой антивирус мы будем использовать.
Более того, даже прежде чем компания осуществит те или иные механизмы безопасности и проведет подробный анализ уровня защищенности, тщательно продуманный план уже важен для успешного сдерживания злоумышленников. Для внедрения тех или иных механизмов безопасности вам также потребуется тест проверки на определённых группах людей.
Необходимо тщательно контролировать соответствие производимых действий с политикой безопасности!
Стоит отметить, что политика безопасности предприятия часто независима от стратегии BYOD. Но как только вы начинаете разрабатывать мобильную политику безопасности, вы сразу же должны задуматься о том, будете ли вы использовать BYOD и как именно.
BYOD нуждается в письменном соглашении
Политика BYOD должна определять, кто именно может использовать свои собственные устройства на рабочем месте. Хорошей идеей, на мой взгляд, будет ввод ограничений на применяемое устройство и его операционную систему, определение возможных механизмов аутентификации и процедур управления. Более того, в данной политике можно указать, какие продукты управления мобильными устройствами могут применяться на предприятии.
Как и в случае любых других услуг письменное соглашение гарантирует, что обе стороны знают о положениях и условиях использования мобильных устройств.
Некоторые компании, особенно в жестко регулируемых отраслях экономики (финансы, здравоохранение, госсектор) могут позволить себе применение только тех устройств, которые уже используются на предприятии. Помните, что бесконтрольное применение BYOD приводит к распространению мобильного «зоопарка», которым весьма сложно управлять!
Определите границы приемлемого использования
Независимо от того, принадлежит ли конечное устройство пользователю или организации, политика допустимого использования определяет, какие действия могут быть законно проведены на ноутбуке, смартфоне или планшете, а также в корпоративной сети или ИТ-инфраструктуре, с которой соединяется это устройство. Регулярное напоминание положений этой политики помогает штатным сотрудникам правильно использовать свои устройства.
Стратегическое управление мобильностью
В то время как большинство специалистов предполагает, что MDM (управление мобильными устройствами) является основой управления мобильностью, фактически это только одна из технологий, один из компонентов гораздо большей структуры, известной как управление мобильностью предприятия (enterprise mobility management, или EMM). Гораздо важнее, чем MDM, управление мобильными приложениями (MAM) и особенно мобильным контентом (MCM). При этом MAM определяет, какие приложения можно использовать, а какие нет.
Стоит понимать, что абсолютной безопасности не существует. Важно минимизировать риски BYOD, устанавливая организационную политику и контролируя фактическое использование устройств и доступ к данным.
Автор статьи — Microsoft MVP, Microsoft Security Trusted Advisor.