El использование мобильного телефона, планшета или персонального ноутбука для работы Это стало настолько обыденным явлением, что мы часто даже не замечаем этого. Мы проверяем рабочую почту, сидя на диване, заходим в интранет в поезде или подключаемся к совещанию со смартфона во время поездки. У такого способа работы есть название: BYOD (BYOD — «принеси своё устройство»). Принеси свое устройствои кардинально меняет подход компаний к управлению технологиями и безопасностью.
Разрешить команде использовать собственные устройства кажется отличной идеей: Больше удобства, больше гибкости и меньше затрат на оборудование. Для компании это важно. Однако, когда корпоративная информация начинает распространяться на личных мобильных телефонах и ноутбуках, риски утечки данных, вредоносного ПО или нарушения законодательства резко возрастают. В этой статье вы шаг за шагом увидите, Всё, что вам нужно знать о BYODЧто это такое, как оно работает в организации, каковы его преимущества и недостатки, каковы его основные риски в области кибербезопасности и как разработать надежную политику, чтобы оно не превратилось в бомбу замедленного действия.
Термин BYOD (принеси свое устройство) Речь идёт о деловой политике или философии, в соответствии с которой сотрудники используют собственные устройства (мобильные телефоны, ноутбуки, планшеты и даже носимые устройства) для доступа к ресурсам компании: электронной почте, внутренним приложениям, базам данных, облачным инструментам или корпоративным системам обмена сообщениями.
В отличие от классической модели, в которой Компания закупает, настраивает и контролирует все оборудование.В среде BYOD прямой контроль над устройством ограничен. Организация не владеет устройством, но устанавливает условия доступа: к каким данным можно получить доступ, каким требованиям безопасности должно соответствовать устройство, какое программное обеспечение является обязательным и как действовать в случае утери устройства или увольнения сотрудника.
В последние годы этот подход получил широкое распространение по нескольким причинам: обобщение удаленной и гибкой работыФакторы, повлиявшие на пандемию, возросшая мощность смартфонов и персональных ноутбуков, а также тот факт, что во многих случаях оборудование сотрудников современнее и быстрее, чем оборудование компании.
На самом деле, многие исследования показывают, что около 80-90% сотрудников Сотрудники используют свои личные устройства для доступа к корпоративной информации или приложениям, даже если в компании нет официальной политики BYOD. Это делает BYOD реальностью де-факто, которую необходимо регулировать как можно скорее.
Как работает концепция BYOD в компании
Внедрение BYOD — это не просто... Дайте людям возможность общаться с помощью своих личных мобильных телефонов. И скрестите пальцы. За всем этим должен стоять хорошо продуманный процесс, сочетающий в себе удобство и безопасность. Хотя каждая организация адаптирует модель к своим собственным реалиям, типичный процесс выглядит довольно похоже на следующий:
Прежде всего, это необходимо зарегистрировать устройствоПрежде чем сотрудник сможет использовать свой личный смартфон или ноутбук для работы, устройство должно быть идентифицировано и зарегистрировано в списке авторизованных устройств. Таким образом, компания знает, кому принадлежит устройство, и может контролировать, какие устройства получают доступ к ее системам.
После идентификации оборудования проверяется, что соответствует минимальным требованиям безопасностиЗдесь часто вступают в силу такие правила, как обязательное использование PIN-кодов или надежных паролей, включение шифрования устройства, поддержание операционной системы и приложений в актуальном состоянии, блокировка использования телефонов с root-правами или джейлбрейком, а также установка небольшого приложения безопасности или антивирусной программы, если это необходимо. Управляющий агент (MDM/MAM).
Если устройство проходит эти проверки, ему предоставляется разрешение. безопасный доступ к рабочим инструментамЭто включает корпоративную электронную почту, облачное хранилище, интранет, CRM, ERP и другие критически важные приложения. Доступ, как правило, обеспечивается многофакторной аутентификацией (MFA), защищенными соединениями (VPN или зашифрованными туннелями), а иногда и географическими или временными ограничениями.
Чтобы избежать опасных смесей, многие компании выбирают следующие варианты: Чётко разделяйте персональные и корпоративные данные. внутри устройства. Это достигается за счет защищенных контейнеров, изолированных рабочих пространств, рабочий профиль на Android или виртуальные рабочие столы, чтобы корпоративная электронная почта и документы не смешивались с личными фотографиями, приложениями и файлами.
В процессе ежедневной эксплуатации ИТ-отдел поддерживает непрерывный мониторинг и защитаПроверяется соблюдение политик безопасности, актуальность приложений, отсутствие признаков вредоносного ПО или подозрительного доступа, а также отсутствие модификаций устройств. В случае инцидента — потери, кражи или серьезного нарушения безопасности — доступ может быть заблокирован, а рабочие данные удалены.
Наконец, когда сотрудник перестаёт использовать оборудование в работе или увольняется из компании, выполняются следующие действия: отзыв доступа и выборочное удаление корпоративных данныхЛичные данные остаются нетронутыми, но устройство перестаёт быть шлюзом для доступа к организации.
Преимущества внедрения модели BYOD (использование личных устройств на рабочем месте)
Причина, по которой так много компаний перешли на концепцию BYOD (использование личных устройств на рабочем месте), заключается в том, что при грамотном управлении она предлагает очень привлекательные преимущества Это выгодно как для организации, так и для ее сотрудников. Исследования рынка и тематические исследования сходятся во мнении по нескольким ключевым моментам.
Начнём с того, что одной из главных достопримечательностей является снижение прямых затрат на оборудование и лицензииПо многим оценкам, экономия составляет несколько сотен долларов на одного сотрудника в год, поскольку компания закупает меньше оборудования и продлевает срок его службы. Кроме того, упрощается процесс адаптации: новый сотрудник может начать работать с первого дня, используя свой собственный ноутбук или мобильное устройство.
Еще одним существенным преимуществом является влияние на продуктивность и эффективностьСотрудники работают продуктивнее, когда используют устройство, которое им хорошо знакомо, с персонализированными настройками, сочетаниями клавиш и оптимизированной рабочей средой. Некоторые опросы показывают, что очень высокий процент молодых работников считают, что использование собственных технологий повышает их эффективность.
Не менее важным является и влияние на Удовлетворенность команды и гибкость в работеВозможность выбрать устройство и работать практически из любого места с хорошим интернет-соединением (дома, в коворкинге, в поездках, при посещении клиентов) укрепляет баланс между работой и личной жизнью, а также повышает автономию. BYOD (использование собственных устройств) — это, по сути, мощный аргумент в пользу привлечения талантов, особенно среди поколений, привыкших к мобильности и удаленной работе.
Есть и технологические преимущества: позволяя сотрудникам использовать собственное оборудование, компания получает выгоду от Более современные и мощные устройства без необходимости нести расходы на обновление.Пользователи, как правило, меняют свои мобильные телефоны или ноутбуки чаще, чем многие организации, поэтому установленное программное обеспечение обычно более современное.
Наконец, концепция BYOD способствует улучшение непрерывности бизнесаЕсли офис становится недоступным из-за инцидента или если необходимо массово внедрить удаленную работу, сотрудники могут продолжать подключаться, используя свои личные устройства, без серьезных сбоев. Это стало особенно очевидным во время пандемии.
Недостатки и проблемы философии BYOD (использование собственных устройств)
Обратная сторона медали заключается в том, что BYOD может генерировать скрытые затраты и техническая сложностьПоддержка множества различных операционных систем и моделей (Android, iOS, Windows, macOS, более старые версии, уровни производителей и т. д.) вынуждает ИТ-отдел прилагать огромные усилия. Стандартизация становится более сложной, процессы фрагментированы, и требуются дополнительные инструменты для поддержания минимального уровня порядка.
С точки зрения кибербезопасности, проблемы еще серьезнее. Разрешение личным устройствам подключаться к корпоративной сети открывает двери для новые векторы атаки: устаревшие мобильные телефоны, пиратские приложения, незащищенные сети Wi-Fi, вредоносное ПО, загруженное в личную среду и в конечном итоге заражающее инфраструктуру компании и т. д.
Кроме того, внедрение концепции BYOD может оказать влияние на конфиденциальность и отношения между компанией и сотрудникамиДля защиты корпоративной информации организациям часто необходим определенный уровень контроля над устройством: возможность удаленного удаления данных, обязательная установка приложений безопасности, ограничения на определенные настройки и т. д. Это может вызывать опасения, если не будет четко объяснено, что именно отслеживается, а что нет.
Другим деликатным аспектом является размывание границ между личной и профессиональной жизньюНаличие корпоративной электронной почты и рабочих приложений, постоянно доступных на личных мобильных телефонах, может создавать ощущение круглосуточной доступности, затруднять отключение от работы и повышать риск выгорания. С точки зрения сотрудника, ситуацию усугубляет и то, что ему иногда приходится нести часть расходов на передачу данных, техническое обслуживание или ремонт.
Наконец, мы должны рассмотреть следующее: риски соблюдения правовых и нормативных требованийТакие отрасли, как здравоохранение и финансы, работают с особенно конфиденциальными данными и подпадают под действие строгих правил (GDPR, коммерческая тайна, отраслевые нормы). Если компания не обеспечивает надлежащий контроль за хранением, передачей и удалением этих данных на персональных устройствах, ей могут грозить значительные штрафы.
Основные риски безопасности, связанные с использованием личных устройств на рабочем месте (BYOD).
Самый большой недостаток любой программы BYOD заключается в следующем: риски безопасности если это не сопровождается хорошей стратегией. На основе последних исследований и опыта работы в корпоративной среде выделяется несколько наиболее распространенных типов угроз.
Один из наиболее частых сценариев — это следующий: потерянные или украденные устройстваПодумайте сами: личный мобильный телефон или ноутбук, используемый для работы, может содержать электронные письма, синхронизированные документы, пароли, сохраненные в браузере, открытые сессии корпоративных приложений и учетные данные для входа. Если это устройство не зашифровано, использует слабый PIN-код или поддерживает активные сессии, любой, кто получит к нему доступ, сможет попытаться получить доступ к информации компании.
Слабые пароли и отсутствие многофакторной аутентификации — еще одна серьезная проблема. Многие атаки используют эти уязвимости. повторно используемые или легко угадываемые паролиЕсли сотрудник использует один и тот же пароль как для личных, так и для корпоративных сервисов, взлом платформы для отдыха может открыть доступ к корпоративной сети. Без многофакторной аутентификации одной скомпрометированной комбинации имени пользователя и пароля может быть достаточно для получения доступа.
Также особенно опасны следующие подключения к общедоступным или ненадежным сетям Wi-FiКафе, аэропорты, отели и торговые центры предлагают открытые сети, которые часто не зашифрованы и не настроены должным образом. Злоумышленники могут шпионить за трафиком, создавать поддельные точки доступа или осуществлять атаки типа «человек посередине». Без защищенного соединения (например, с использованием VPN) даже, казалось бы, безобидные действия, такие как проверка электронной почты или доступ к файлу в облаке, могут поставить под угрозу учетные данные.
Ещё одним, всё более актуальным фактором риска, является устаревшие устройства и программыКогда пользователь на неопределенный срок откладывает обновления своей операционной системы или приложений, он не устанавливает критически важные исправления, устраняющие известные уязвимости. Многие недавние инциденты произошли именно из-за широко распространенной эксплуатации уязвимостей, для которых уже существовали решения, но которые не были установлены вовремя.
Лас- несанкционированные приложения и так называемые «теневые ИТ» Эти факторы дополняют картину. Несанкционированные мессенджеры, приложения для обмена файлами, решения для персонального облачного хранения или взломанное программное обеспечение могут показаться полезными обходными путями, но им, как правило, не хватает шифрования, безопасного хостинга и гарантий соответствия законодательству, которые требуются компании. В худших случаях они содержат вредоносное ПО или собирают больше данных, чем кажется на первый взгляд.
Наконец, одним из наиболее недооцененных рисков является Утечка данных при увольнении сотрудника из компании. Если процедура увольнения организована неправильно, и сотрудник уходит, сохранив электронные письма, переписки в чате или корпоративные документы на своем личном ноутбуке или мобильном устройстве, эта информация может оставаться доступной и в конечном итоге быть переслана, скопирована или использована не по назначению еще долго после его увольнения.
Меры по снижению рисков безопасности в рамках концепции BYOD (использование личных устройств на рабочем месте).
Безопасное управление BYOD не означает его запрет, но Установите четкие правила и предоставьте соответствующие инструменты.Эффективная стратегия обычно сочетает в себе технические, организационные и обучающие меры, которые взаимно усиливают друг друга.
Первый блок состоит из усилить безопасность самого устройства и подготовиться к возможной потере или краже. Это включает в себя использование надежных PIN-кодов или паролей, включение автоматической блокировки экрана, шифрование внутренней памяти и, по возможности, использование Решения для управления мобильными устройствами (MDM) способно определять местоположение оборудования, дистанционно блокировать его или удалять только корпоративные данные.
Параллельно с этим, это крайне важно. усилить аутентификацию в системах компанииПароли должны быть уникальными и сложными, а правила их использования должны препятствовать повторному использованию. Многофакторная аутентификация должна быть обязательной для всех критически важных приложений, чтобы украденного пароля было недостаточно для получения доступа.
Ещё одной важной областью является защита данных при передаче. Доступ к корпоративным ресурсам из [мест/устройств] следует ограничивать или полностью запрещать. открытые или ненадежные сети Wi-Fi Если не используется зашифрованное соединение, применение корпоративного VPN или зашифрованных туннелей из рабочих приложений значительно снижает риск перехвата трафика.
Дисциплинированный подход к обновлениям также имеет значение. Политика BYOD должна четко указывать на это. Доступ будет запрещен с устройств, на которых не установлены актуальные обновления безопасности. или которые перестали получать поддержку от производителя. Это относится как к операционной системе, так и к основным приложениям, используемым для работы.
Кроме того, желательно держать это под контролем. Какие приложения обрабатывают данные компании?В идеале доступ к конфиденциальной информации должен осуществляться только через одобренные приложения и сервисы, такие как корпоративная электронная почта, облачное хранилище или офисные пакеты. Это предотвратит попадание конфиденциальных документов в личные учетные записи или на незащищенные инструменты.
Последний, но, безусловно, не менее важный элемент — это управление жизненным циклом сотрудникаС самого первого дня необходимо четко определить, какой доступ предоставляется, как осуществляется управление устройствами и что происходит, если сотрудник меняет должность или покидает организацию. При увольнении учетные данные должны быть аннулированы, устройство отключено от корпоративных систем, а при использовании инструментов MDM/MAM необходимо заказать удаленное удаление рабочих данных без ущерба для персональных данных.
Уровни доступа BYOD: не всем нужны одинаковые требования.
Практический способ снизить риски, не усложняя при этом повседневную жизнь, — это определить... дифференцированные уровни доступа Это зависит от местоположения и конфиденциальности данных. Проверка календаря — это не то же самое, что управление производственным сервером с мобильного устройства.
На самой нижней ступени находится базовый доступПредназначен для задач с низким уровнем риска, таких как проверка электронной почты или календаря без локального хранения данных. Обычно требует только аутентификации пользователя, минимальной защиты экрана и обеспечения истечения срока действия сессии через определенное время.
На ступеньку выше мы находим контролируемый доступЗдесь уже разрешено использование корпоративных приложений, доступ к файлам и инструментам для совместной работы, но взамен требуются дополнительные меры: регистрация устройств, обязательное шифрование, разделение личных и рабочих данных, а также мониторинг соответствия требованиям с помощью MDM или аналогичных решений.
Эль-де-НИВЕЛ полный доступ Этот режим предназначен для профилей, которым необходимо обрабатывать особо конфиденциальную информацию или управлять критически важными системами. В таких случаях, помимо упомянутых выше мер, обычно внедряются строгие и непрерывные политики аутентификации, контроль геолокации, ограничения на использование сети и возможность немедленного удаленного удаления данных.
Наконец, многие организации рассматривают модель виртуальный или удалённый доступЭто особенно полезно для подрядчиков, внешних партнеров или лиц, занимающих ответственные должности. Вместо загрузки данных на свое личное устройство пользователи подключаются к виртуальному рабочему столу или облачным приложениям, где все работает и хранится на серверах компании. Таким образом, мобильный телефон или ноутбук выступает лишь в качестве окна, а не хранилища информации.
Как разработать надежную и реалистичную политику использования личных устройств на рабочем месте (BYOD)
В основе любой стратегии BYOD лежит следующее: Официальная политика, четкая и известная всем.Одной пары электронных писем или слайда на приветственной встрече недостаточно; необходим «живой» документ, устанавливающий правила игры и обновляемый со временем.
Первый шаг — определить цель и сфера действия политикиНеобходимо четко указать, для чего это существует (например, для облегчения мобильности без ущерба для безопасности), к каким группам оно относится (сотрудники, стажеры, поставщики и т. д.) и какие типы устройств разрешены. Также целесообразно указать, к каким данным и системам можно получить доступ с личных устройств.
Установлены следующие положения. минимальные требования безопасностиЭто включает в себя такие вопросы, как обязательное шифрование, параметры паролей, необходимость активации автоматической блокировки, установка необходимых корпоративных приложений и использование многофакторной аутентификации. Чем конкретнее и измеримее эти требования, тем лучше.
Ещё один ключевой раздел — это раздел допустимое использование и запрещенные виды деятельностиВ политике должно быть указано, какие типы приложений разрешены, какие действия запрещены (например, хранение корпоративных документов в личных облачных хранилищах, использование пиратского программного обеспечения или подключение из незащищенных общедоступных сетей), а также каковы последствия серьезного нарушения.
Также важно подробно описать, как управляет доступом к данным и их хранением.Целесообразно требовать, чтобы соединения осуществлялись через зашифрованные каналы (например, корпоративный VPN) и ограничивать доступ к конфиденциальной информации за пределы авторизованных систем. Аналогичным образом следует разъяснить политику резервного копирования, включая срок хранения данных на устройствах и условия их удаления.
Политика также должна учитывать хрупкий баланс между конфиденциальность сотрудников и контроль со стороны компанииНеобходимо четко указать, какую информацию организация может собирать (например, модель устройства, версия системы, статус шифрования), что не будет отслеживаться (фотографии, личные сообщения, история личных просмотров и т. д.) и в каких случаях может быть активировано удаленное удаление данных.
Наконец, хорошая политика BYOD включает в себя план для обучение и осведомленностьВведение правил малоэффективно, если пользователи не понимают рисков или не знают, как реагировать на инцидент. Краткие инструктажи по кибербезопасности, практические руководства и четкие каналы для сообщения о потерянных устройствах или подозрительном поведении имеют решающее значение.
Технологические решения, которые помогают обеспечить использование личных устройств на рабочем месте (BYOD).
Чтобы политика BYOD не осталась просто мертвой буквой, целесообразно полагаться на конкретные технологические инструменты которые облегчают соблюдение нормативных требований и снижают ручную нагрузку на ИТ-специалистов.
Одним из наиболее распространенных является управление мобильными приложениями (МАМ)Основное внимание уделяется защите и контролю только корпоративных приложений, не затрагивая остальную часть устройства. Таким образом, компания может настраивать, обновлять и, при необходимости, удалять рабочие приложения и их данные, не влияя на фотографии, чаты или личные приложения пользователя.
Ещё один широко распространённый метод — это контейнеризацияЭто предполагает создание своего рода «защищенной зоны» внутри устройства, где хранятся данные и инструменты компании. Этот контейнер зашифрован и изолирован от остальной системы, и его можно удалить удаленно, не затрагивая остальную информацию.
В определенных сценариях Виртуальная инфраструктура рабочих столов (VDI) Это особенно полезно. Вместо запуска бизнес-приложений на самом устройстве пользователь подключается к рабочему столу, размещенному на корпоративных серверах. Таким образом, никакие конфиденциальные данные не хранятся на мобильном телефоне или ноутбуке; все остается в центре обработки данных организации или в облаке.
La управление мобильными устройствами (MDM) Это обеспечивает более широкий контроль. Позволяет централизованно применять политики безопасности (шифрование, пароли, ограничения для приложений), распространять обновления, вести учет парка устройств и активировать функции определения местоположения, блокировки или удаленного удаления данных. Особенно полезно это в ситуациях высокого уровня риска или при использовании как корпоративных устройств, так и устройств, созданных самими пользователями (BYOD).
Наряду с этими решениями, корпоративные VPN и другие технологии шифрования связи Они по-прежнему необходимы для защиты трафика между устройством и внутренними системами, особенно когда сотрудник работает в ненадежных сетях.
В целом, сбалансированное сочетание четких правил, постоянного обучения и таких инструментов, как MDM, MAM, защищенные контейнеры, VDI и VPN, позволяет реализовать модель BYOD. простой, безопасный и экологичный Со временем, используя преимущества этой системы, компания сможет избежать серьезных инцидентов, которые могут поставить под угрозу ее информацию и репутацию.
При тщательном управлении этим балансом BYOD перестает быть плохо управляемым риском и становится ключевым компонентом современной, мобильной и гибкой стратегии работы, где сотрудники чувствуют себя более комфортно, а организация сохраняет контроль над тем, что действительно важно: ваши данные и ваши критически важные системы.