Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах Пользователи Компании Лента заказов Курс по ITSM

Принципы создания политики BYOD

Принципы создания политики BYOD

Концепция Bring Your Own Device (BYOD) не является синонимом открытого доступа для любых устройств к корпоративной сети, хотя, безусловно, это угроза ее безопасности. Но рано или поздно многим организациям придется признать, что сотрудники имеют право приносить на работу собственные устройства, и в этот момент политика взаимодействия с этим неконтролируемым железом должна быть уже разработана. Кроме того, должны быть выработаны способы воплощения этого документа в жизнь. Какие вопросы следует задать себе при разработки этой политики?

Концепция работы с личными устройствами сотрудников с первого взгляда кажется сферическим конем в вакууме – множество недоступных администратору устройств, поддерживающих различные сценарии использования и роли самих пользователей. По данным зарубежных исследований, подавляющее большинство компаний считает BYOD допустимой, а многие – еще и полезной. Но, по данным других исследований, примерно столь же считают, что использование личных устройств на работе повышает количество инцидентов, но при этом число подключенных к сети устройств только продолжает расти.

Безусловно, политика взаимодействия с личными устройствами будет специфична для каждой организации. Но большинство разновидностей подобных документов будет отвечать на одни и те же вопросы:

Каким образом можно использовать устройства во внутренней сети (как с точки зрения бизнеса, так и с позиции личной жизни)?

Важно защитить организацию от пользователей, которые держат на своих устройствах нелегальную информацию или данные, принадлежащие другим фирмам, чтобы не получить за них незаслуженного наказания. В нашей стране о подобных гонениях я пока не слышала, но вот случаи, когда нелегальный контент оказывается во внутренней сети организации, долго искать явно не придется.

Какие устройства можно использовать во внутренней сети? Следует ли вводить ограничения?

Сегодня, учитывая количество доступных моделей мобильных устройств, уже не разумно создавать список «разрешенных» девайсов. Но вполне можно ограничить доступ по платформенному принципу, если того требуют соображения безопасности.

Возмещать или не возмещать расходы?

Многие сервисы, с которыми работают мобильные устройства, требуют прямой или косвенной оплаты от пользователей. Политика должна разъяснять, какие именно затраты будут возмещены пользователю со стороны компании. Понятно, что за расходами либо придется следить с помощью специального ПО сторонних разработчиков, либо разрабатывать максимально простую систему компенсаций (например, процент от ежемесячных расходов на связь). Вероятно, для внедрения этой практики придется даже поменять какие-то внутренние устои в организации.

Какие приложения запрещать и разрешать?

Конфигурация мобильного устройства – это ключевая переменная в вопросе успешного и безопасного внедрения BYOD. Заданный в подзаголовке вопрос можно перефразировать так: какая информация является конфиденциальной, и при каких обстоятельствах? И какими инструментами пользователь может ей оперировать?

Наиболее популярный ответ на этот вопрос – белый и черный список приложений, а также набор «обязательных» программ, отвечающих за безопасность. Но в этом случае в политике должно быть прописано, кто имеет право запретить использование того или иного приложения, и как это будет контролироваться.

Как управлять мобильными устройствами?

Технологии управления мобильными устройствами (Mobile Device Management, MDM), позволяющие изменять настройки, защищать и контролировать личные девайсы, пока еще находятся на стадии развития. Говорят, им уже немного осталось до стандартизации, но уже сейчас они поддерживают широкий спектр инструментов. Вообще, MDM является частью более широкого набора средств, которые часто называют «корпоративным управлением мобильностью».

Как донести информацию об ответственности до пользователей?

После введения политики разумно собрать подписи всех сотрудников, использующих собственные мобильные устройства, подтверждающие, что они были ознакомлены с разработанной политикой. Конечно, это все равно не помешает пользователям совершить злонамеренные действия, но заставит задуматься о серьезности использования мобильного устройства на работе тех, кто в обычных условиях не задумался бы. Естественно, для более легкого донесения информации до конечных пользователей, политику надо сформулировать так, чтобы она была максимально простой и понятной.

Личное использование vs использование для работы

Проблема, обозначенная в подзаголовке, - это тот самый спорный момент, который может испортить любую не достаточно обоснованную политику. Особенно в нашей стране, где пока в этой сфере все не очень хорошо с законодательством. Кто, например, виноват, если при удаленном стирании информации с мобильного устройства с помощью упомянутого выше MDM-инструментария, пострадали личные данные?

Так что одним из обязательных действия по отношению к политике принятия BYOD должен стать ее регулярный пересмотр, в том числе с учетом обновлений в законодательстве.

Дополнительные материалы

Комментарии (0)