Контакты
Подписка
МЕНЮ
Контакты
Подписка

BYOD – дверь в инфраструктуру предприятия

BYOD – дверь в инфраструктуру предприятия

В рубрику "Спецпроект: mobile security" | К списку рубрик  |  К списку авторов  |  К списку публикаций

BYOD – дверь в инфраструктуру предприятия

Что такое политика BYOD, сегодня уже никому объяснять не нужно, однако у большинства компаний неоднозначное к ней отношение. Мобильность бизнеса – общемировой тренд, но готовы ли к нему российские компании?
Александр Мормуш
Менеджер по работе с партнерами, Fortinet

– В чем важность использования мобильных устройств для бизнеса?
– Использование мобильных устройств для бизнеса расширяет границы рабочего дня сотрудника с традиционных 8 часов в течение 5 дней до круглосуточных 24 на 7. Безусловно, с этим можно поспорить, однако если раньше работодатель настаивал на обязательном присутствии сотрудника в офисе в строго отведенное время, то ввиду технического прогресса и появления мобильных устройств эта тенденция изменилась. Компании, что не боятся предоставлять своим сотрудникам удаленный доступ к корпоративной почте и внутренним ресурсам, отмечают, что производительность их сотрудников увеличилась, поскольку стирается грань между личным и рабочим временем. Сотрудники компаний проверяют и работают с почтой, только пробудившись ото сна, в поездке к клиенту, в обеденный перерыв или перед сном. Таким образом, бизнес получает дополнительную выгоду в доступности сотрудника практически в любое время и по собственной воле.

По уровню распространения концепции BYOD применительно к различным странам статистика неоднородна. В процентном соотношении Россия близка к странам Европы, например к Германии и Франции, однако уступает США и Индии.
Важно отметить, что наряду с этим Россия, согласно исследованиям, относится к "High Growth Market".

– С какими основными проблемами сталкиваются компании, когда пытаются реализовать BYOD на своем предприятии?
– Наряду с преимуществами, концепция BYOD таит в себе немало проблем, и самая главная из них, на мой взгляд, – это безопасность. Поскольку в рамках концепции устройство принадлежит сотруднику, а не компании, контролировать установленные на устройстве приложения, их актуальность последним версиям, безопасности и наличию систем защиты крайне сложно. Не секрет, что мобильные устройства являются одним из главных способов проникновения в корпоративные сети компании и вектором возможной атаки. Мало того, потеря устройства без установленного PIN-кода и двухфакторной аутентификации при доступе к внутренним ресурсам компании предоставляет злоумышленнику легкий способ доступа к критически важной конфиденциальной информации.

– О каких основных факторах нужно помнить при разработке концепции BYOD?
– При разработке концепции BYOD необходимо понимать должностные обязанности и природу выполняемых сотрудником компании работ. Например, если сотрудник большую часть своего времени проводит за стационарным рабочим местом, не проводит большое количество встреч вне офиса и в целом степень мобильности сотрудника и уровень компьютерной грамотности невысоки, то предоставлять такому сотруднику доступ к внутренним ресурсам компании с мобильного устройства не является целесообразным.

Концепция BYOD прежде всего должна базироваться на балансе между целесообразностью и осознанием рисков и угроз в мобильной среде.

– В последние несколько лет технические эксперты так много говорили о Bring Your Own Device, что сложилось впечатление, будто эта политика внедрена уже почти на всех предприятиях. Как, по вашему мнению, многие ли компании используют BYOD сегодня? В каких сферах они работают?
– В целом концепция использования личных устройств уже доказала свою эффективность. Аналитики Gartner предрекают, что к 2017 г. половина компаний полностью перейдет на BYOD.

Традиционными лидерами в рамках концепции BYOD являются компании финансового сектора (банки, страховые агентства, пенсионные фонды), медицины и ИТ-компании. Уровень использования личных устройств в компаниях данных секторов составляет более 80%.

– Как скоро, по вашему мнению, компании, которые сейчас довольно закрыты и не доверяют политике мобильности, внедрят у себя BYOD? Что должно произойти для этого?
– Несмотря на очевидные преимущества в виде увеличения производительности труда и повышения уровня лояльности сотрудников в компаниях, где концепция BYOD уже внедрена, существует ряд сложностей, которые сдерживают применение политики мобильности повсеместно. Самый главный фактор сдерживания – это вопрос информационной безопасности. Ведь бесконтрольное использование устройства, имеющего доступ к внутренним ресурсам компании, за ее пределами может привести к утечке конфиденциальной информации. Угроз в этом плане дов о л ьн о м ного, э то и потеря/кража устройства, подключения к небезопасным точкам доступа, а также установка нелегитимного ПО, за которым может скрываться вредоносный код.

Выработка правил и политик в рамках принятия концепции BYOD является одним из важнейших этапов. В рамках утвержденных бизнес-процессов для каждой из компаний в отдельности нужно выработать политику: какими именно приложениями можно пользоваться с мобильных устройств, будут ли на устройстве установлены программы защиты от вредоносного кода и двухфакторной аутентификации, каков уровень доступа к внутренним ресурсам компании, исходя из должностных обязанностей сотрудника.

– С какими основными недостатками этой политики сталкиваются компании при внедрении?
– К основным недостаткам/ проблемам BYOD можно отнести следующие: большое разнообразие мобильных устройств, увеличение вовлеченности ИТ-служб, человеческий фактор и угрозы информационной безопасности.

Нужно принять за основу, что единого решения под концепцию BYOD не существует. Нет решения, что могло бы устранить сразу все трудности при внедрении данной концепции на предприятии. Понимая необходимость и целесообразность предоставления части сотрудников доступа с устройств, которые фактически не принадлежат компании, нужно выработать определенные правила и политики работы удаленного доступа. Существует множество технических систем, способных помочь в организации BYOD. К ним можно отнести:

  • решения MDM (Mobile Device Management) – программное устройство, помогающее организовать работу с корпоративной системой при помощи мобильных устройств;
  • клиентское ПО безопасности – программный агент, установленный на мобильном устройстве и предоставляющий возможность создания VPN-соединения, функции антивирусного контроля и настройки пользовательского трафика согласно политикам предприятия;
  • организация работы посредством виртуальных рабочих мест (Virtual Desktop Infrastructure) – технология, позволяющая создавать виртуальную ИT-инфраструктуру и разворачивать полноценные рабочие места на базе одного сервера.

– Как построение комплексной сетевой безопасности помогает справиться с основными рисками, сопровождающими внедрение BYOD?
– Внедрение концепции удаленного доступа с мобильных устройств сотрудников невозможно рассматривать в отрыве от комплексной системы сетевой безопасности, поскольку, образно говоря, BYOD – это "новая дверь" в инфраструктуру предприятия.

Согласно исследованию компании Fortinet, 74% респондентов регулярно используют личные гаджеты в производственных целях. Более того, 55% из опрошенных считают такое использование личных гаджетов своим правом, а не привилегией. При этом в мире количество мобильных работников приближается к 1,5 млрд, что фактически чуть ниже трети экономически активного населения планеты. Аналитики Gartner предрекают, что к 2017 г. половина компаний полностью перейдет на BYOD.

Как показывает опыт разработки систем защиты информации, максимальная эффективность по предотвращению угроз безопасности достигается при объединении всех компонентов в целостную, комплексную систему.

В свою очередь, наличие комплексной системы безопасности позволит реализовать концепцию микросегментации, заключающуюся в разграничении доступа не только на периметре корпоративной сети, но также внутри нее. За счет реализации этой концепции появляется возможность гранулярного разграничения прав доступа, в том числе на уровне мобильных устройств.

– Если сравнивать ситуацию в России и в мире, то где эта политика получила наибольшее распространение? В чем причина?
– По уровню распространения концепции BYOD применительно к различным странам статистика неоднородна. В процентном соотношении Россия близка к странам Европы, например к Германии и Франции, однако уступает США и Индии.

Важно отметить, что наряду с этим Россия, согласно исследованиям, относится к "High Growth Market".

– Каковы ваши прогнозы: насколько Россия в ближайшее время продвинется в вопросах удаленной работы, "мобильных сотрудников", BYOD?
– С одной стороны, это существенно зависит от нашего менталитета и корпоративной культуры, принятой в компании. А с другой – от развития технологий в целом и опыта, который можно перенять от компаний в США и Европе, где рынок мобильных услуг уже достаточно насыщен. Понимаете, невозможно остановить ход времени и технологический прогресс. Через несколько лет беспроводной доступ в сеть Интернет окончательно вытеснит проводной доступ, а по прогнозам компании Google, к 2019 г. провода и кабели периферийных устройств и вовсе уйдут в прошлое. Рынок неуклонно движется в сторону мобильных приложений для потребительского рынка, корпоративного сектора и даже сегмента госуслуг. Мир информационных технологий меняется настолько стремительно, что компании, работающие в разных сферах, будут вынуждены идти в ногу со временем, чтобы быть успешными, и тенденция удаленной работы мобильных сотрудников здесь не исключения, а, скорее, данность.

– Кто будет основными инициаторами повсеместного распространения BYOD: менеджмент или же линейные сотрудники?
– Основными инициаторами распространения концепции BYOD являются представители менеджмента. Кто, как не они, понимают все преимущества мобильной работы, находясь в командировке или на встречах с клиентами. На западе топ-менеджеры, понимая и принимая вызовы, с которыми сталкивается компания, весьма благосклонно смотрят на удаленную работу своих сотрудников. Критерий оценки, который еще недавно применялся в большинстве компаний, в виде времени, проведенного в офисе, себя изжил. Оценкой качества работы может выступать только конечный результат должностных обязанностей сотрудника.

– На что вы порекомендуете обратить внимание нашим читателям при реализации политики BYOD, чтобы минимизировать риски?
– Количество угроз предприятию, связанное с использованием мобильных устройств, увеличивается в геометрической прогрессии.

Слишком обширные полномочия прав доступа на мобильные устройства, операционная система в неактуальном состоянии, наличие сторонних, подчас непроверенных приложений, а также отсутствие PIN-кода при доступе к телефону или корпоративной почте – все это является риском утечки конфиденциальной информации.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2016
Посещений: 7097

Приобрести этот номер или подписаться
  Автор

Александр Мормуш

Александр Мормуш

Менеджер по продуктам информационной безопасности компании LETA IT-company

Всего статей:  2

В рубрику "Спецпроект: mobile security" | К списку рубрик  |  К списку авторов  |  К списку публикаций