Карен Феррис — директор Macanta Consulting
Карен Феррис — директор Macanta Consulting, Karen.ferris@macanta.com.au

BYOD на подъеме

Сотрудники организаций хотят и будут использовать свои собственные устройства на рабочем месте. Более того, они уже их используют и делают это далеко не первый день.

В предусмотрительных организациях используют BYOD как способ привлечения и удержания талантов. Учащиеся, оканчивающие школы и университеты, в которых они могли свободно использовать свои собственные устройства — смартфоны, планшеты, ноутбуки и т. д., не особо радуются, когда потенциальный работодатель говорит им, что делать это запрещено и придется пользоваться техникой, предоставляемой компанией. Это выглядит архаично, ограничительно и неудовлетворительно. Кроме того, высока вероятность, что оборудование, предоставляемое сотруднику, окажется хуже, чем принадлежащие ему передовые гаджеты.

Летом 2011 года компания Citrix Systems анонсировала Citrix Bring-Your-Own Index, демонстрирующий, что 92% ИТ-организаций знают, что сотрудники используют свои собственные устройства на рабочем месте, и 94% из них планируют к середине 2013 года иметь свою политику по BYOD (сейчас такая политика есть у 44%). Исследования показали, что привлечение и удержание талантливых сотрудников, увеличение производительности и мобильности работников, повышение их удовлетворенности, как и сокращение ИТ-затрат, — основные цели BYOD-подхода.

Наибольшие опасения у ИТ-руководителей вызывают вопросы безопасности, в частности доступ к конфиденциальной информации и возможность ее утечки за пределы организации. Но это не должно восприниматься как новая головная боль, приносимая BYOD. У сотрудников десятилетиями был и есть доступ к конфиденциальной информации, а наличие компакт-дисков, USB, пересылки по электронной почте, камер на мобильных телефонах, копировальных аппаратов, ручек и бумаги делали возможной утечку информации.

В апреле 2011 года компания iPass выпустила отчет Global Mobile Workforce Report с результатами опроса более чем 3700 сотрудников в 1100 организациях по всему миру. Исследование показало, что всего 27% работников с планшетными компьютерами получили их от компании, в которой работают. Остальные 73% используют для работы собственные планшеты. 94% имеют смартфоны, причем обладатели как смартфонов, так и планшетов применяют их не только для чтения электронной почты, но и для других задач.

Имеет смысл обсудить значение BYOD для управления ИТ-сервисами. Ряд ключевых областей ITSM играют определенную роль при применении подхода BYOD. Его следует воспринимать как любой другой сервис, однако он имеет свои отличительные особенности.

 

Сервисная стратегия

Необходимо тщательно обдумать последствия принятия стратегии BYOD, касающиеся юридических, финансовых, кадровых вопросов и необходимости соответствовать требованиям, указанным в соглашении об уровне обслуживания. Подход «определяй, анализируй, утверждай и предоставляй», используемый при управлении портфелем сервисов, следует применять к сервису BYOD, как и ко всем остальным сервисам.

Необходимо определить реальный спрос на сервис BYOD внутри организации, а также понять финансовые последствия принятия подхода BYOD.

Стратегия BYOD окажет влияние на корпоративные политики и процедуры в отношении использования личных устройств, причем эти политики будут различаться в разных странах вследствие различий в законах о конфиденциальных данных, налогообложении, рабочих практиках и т. д.

 

Управление финансами

Необходимо изучить финансовые аспекты подхода BYOD, такие как затраты, возврат инвестиций (ROI) и полученная ценность (ROV). Одновременно с сокращением закупок аппаратного обеспечения и экономии на его поддержке возможно также увеличение затрат на системы безопасности и администрирования и инвестиции в инфраструктуру.

Со стороны организации возможно предоставление различных льготных условий, связанных с оборудованием, например беспроцентные кредиты для сотрудников на покупку новых компьютеров, регулярные выплаты и т. д., а также оплата приложений, купленных для решения задач, связанных с работой. Все эти дополнительные издержки необходимо сопоставить с экономией на закупке оборудования и оплате поддержки при использовании подхода BYOD, а также с полученной ценностью от участия, удовлетворенности, производительности и сохранения лояльности сотрудников.

BYOD - четыре буквы, от которых ИТ-директора бегут в панике

Политики

Повторимся, применение стратегии BYOD будет ключевым образом влиять на создание корпоративных политик и процедур. Согласно рекомендациям Gartner эти политики должны включать в себя как минимум следующее:

• терминологию для объяснения сотрудникам ответственности, которая на них накладывается, когда они получают непрерывный доступ к оборудованию, используемому для решения рабочих задач;

• минимальные требования к аппаратному обеспечению и ОС;

• информацию о том, кто, сколько и за что (аппаратное обеспечение, ПО, поддержка) будет платить;

• информацию о том, что будет, а что не будет поддерживаться силами ИТ-подразделения;

• политики удаленного доступа и политики безопасности;

• уровни допустимого доступа к данным;

• способы безопасного хранения данных компании;

• необходимые действия в случае, если устройство украдено;

• необходимые действия в случае увольнения сотрудника;

• финансовые обязательства компании и сотрудника;

• удаление данных с жесткого диска устройства.

В дополнение к перечисленным рекомендациям нужно, чтобы политики процесса управления информационной безопасностью ясно описывали действия, которые необходимо совершать, если мобильное устройство будет утеряно или если сотрудник решит покинуть компанию. Например, организация в данной ситуации может оставить за собой право стереть с мобильного устройства корпоративные данные или вообще все данные.

В рамках процессов управления доступом и управления информационной безопасностью могут быть сгенерированы одноразовые коды доступа с ограниченным временем действия. Следует также заранее определить, соблюдение каких процедур ожидается от сотрудника при использовании личного мобильного устройства. Например, можно потребовать наличия установленной антивирусной защиты определенного уровня на любом мобильном устройстве, которое используется сотрудником в рабочих целях.

Компания может установить дополнительные требования к персональным устройствам сотрудников, в частности, могут быть заданы ограничения на длительность гарантийного периода, предлагаемого поставщиком или производителем устройства.

В своей статье в IT News Лиа Тимсон (Lia Timson. Why Big Australia is gaga for BYO Computing. May 10, 2011. www.itnews.com.au/Tools/Print.aspx?CIID=256857) приводит краткий контрольный список, касающийся безопасности в рамках стратегии BYOD, который включает следующие рекомендации:

• использовать для BYOD-устройств те же настройки, что и для внешних устройств, подключающихся к сети;

• разрешить подключение BYOD-устройств только после их «чистки» ИТ-администраторами;

• рассмотреть возможность использования отдельной закрытой виртуальной машины для рабочих целей;

• запретить хранение корпоративных данных на устройствах и предоставить доступ к защищенному облачному сервису, как альтернативу;

• запретить использование устройств, подвергшихся перепрошивке;

• требовать применения шифрования;

• блокировать конфиденциальные документы в зависимости от типа устройства или временных ограничений.

 

Проектная документация сервиса

Проектная документация сервиса должна быть разработана с особым акцентом на вопросы безопасности, касающиеся сервиса, на связанные с ним технологические стандарты, динамику сервиса, требования к поддержке и требования к уровню обслуживания. В эту документацию должны входить как минимум:

• требования: бизнес-требования; как и где сервис должен использоваться; контактные данные;

• проект сервиса: функциональные требования; требования к уровню обслуживания; требования к операционному управлению; проектные требования сервиса; ожидаемые результаты, в том числе финансовые;

• оценка готовности организации;

• план жизненного цикла: общая программа сервиса; план преобразования сервисов (включая все требования к тестированию); операционный план приема с критериями приема.

Требования к проектированию сервисов должны включать сервисную модель, описывающую структуру сервиса, то есть как все компоненты связаны и каким образом они взаимодействуют друг с другом. Именно здесь следует учесть, какие устройства могут поддерживать те или иные бизнес-сервисы. Например, смартфон или планшет может быть использован для доступа к некоторым бизнес-сервисам, но не ко всем. Динамику развития сервиса необходимо фиксировать, она может стать частью системы управления конфигурациями.

Управление каталогом сервисов

Сервис BYOD необходимо включить в каталог сервисов, который должен отображать как минимум следующие его характеристики:

• что включает в себя сервис;

• стандартные для сервисов детали и опции;

• любые исключения, касающиеся сервиса;

• кто имеет право на получение этого сервиса (если видимость сервиса не ограничена теми, кто может его получать);

• уровни авторизации и согласования, необходимые для получения возможности пользоваться сервисами;

• обязательства, накладываемые на пользователя, включая ссылки на соответствующие политики;

• затраты (например, на поддержку), которые может нести сотрудник;

• возможные компенсации, такие как пособие на использование собственного устройства и закупку приложений для решения рабочих задач;

• информация о том, в каких случаях лучше всего пользоваться сервисом, включая доводы за и против;

• как можно получить сервис;

• время предоставления сервиса и время работы службы поддержки;

• контактные данные для получения более подробной информации по сервису (включая возможность жалоб и благодарностей).

 

Управление уровнем обслуживания

Организации придется рассматривать целевые уровни обслуживания для различных устройств, использование которых допускает концепция BYOD, причем следует учитывать такие параметры, как возможность подключения к корпоративной сети и постоянная техническая поддержка. Обязанности как сотрудника, так и организации должны быть определены в соглашении об уровне обслуживания (Service Level Agreement, SLA). Скажем, первичная поддержка по вопросам подключения может предоставляться только при принятии условий предоставления сервиса, включающих обеспечение заданного уровня безопасности на устройстве и трехлетнюю гарантию на устройство от производителя. Если компания не предоставляет дополнительной поддержки для личного устройства сотрудника, кроме первичного подключения, это должно быть четко указано.

Соглашение об уровне обслуживания должно ясно отражать политику BYOD, уровни и условия поддержки, цены и т. д., используя как ссылки на соответствующую информацию, так и непосредственно текст соглашения.

 

Управление релизами и развертыванием

Рекомендуется использовать поэтапный подход к развертыванию сервиса, чтобы протестировать, проверить и оценить результаты допуска каждого конкретного типа устройств к сети организации.

С появлением доступа необходимо провести тестирование с целью зарегистрировать возможность или невозможность использования каждого типа устройства для получения всех видов сервисов, к которым разрешено подключение.

Тестирование должно включать как можно больше сценариев по безопасности, чтобы гарантировать, что главному беспокойству, приносимому сервисом, уделено достаточно внимания. Как и с любой брешью в безопасности, переживать приходится не просто за потенциальные затраты от возможного инцидента, но и от того, что на карту поставлена репутация компании.

 

Управление изменениями

Если адаптация сотрудников проходит в рамках процесса управления изменениями, следует создать запрос на изменение, который будет отвечать за принятие каждым сотрудником политики BYOD. Это должно обеспечить проверку того факта, что сотрудник прочитал и подписался под политикой BYOD до того, как ему будет предоставлен доступ к ИТ-ресурсам.

Все это также должно применяться к сотрудникам, переходящим на использование устройств по принципу BYOD. Конфигурационные единицы, связанные с сотрудниками, должны отражать факт использования ими сервиса BYOD.

 

Управление сервисными активами и конфигурациями

Если сотрудники организации учитываются как конфигурационные единицы, следует добавить им атрибут, указывающий, используют ли они вычислительные мощности организации (и если да, то что именно) или же работают со своими личными устройствами. Это позволит строить отчетность и отслеживать по ней изменение с течением времени доли сотрудников, пользующихся сервисом BYOD. Анализ данной тенденции позволяет прогнозировать количество сотрудников, которые будут использовать сервис BYOD в будущем, и поэтому дает представление о том, как много вычислительной техники понадобится организации в дальнейшем. Это дает материал для управления мощностями и управления запасными вычислительными ресурсами в случае сбоя в личном устройстве сотрудника.

Следует также проверить текущие лицензии на ПО, чтобы обеспечить организации возможность предоставления сотрудникам доступа к любому лицензированному ПО, которое им необходимо при использовании персональных компьютеров в сети предприятия.

 

Управление мощностями и управление спросом

Необходимо проводить исследования для определения и предсказания масштаба использования устройств по принципу BYOD в компании. Этот масштаб будет отличаться от организации к организации, и на него будут влиять как демографические факторы, так и природа выполняемых сотрудниками работ (например, те, кто прибегают к ИТ периодически, будут с меньшей вероятностью обращаться к сервису BYOD, чем те, кто используют ИТ в большей части своей работы).

Влияние может оказать и степень мобильности сотрудников: более мобильным сотрудникам может быть удобнее использовать устройства по принципу BYOD, чем иметь стационарное рабочее место. Еще одним важным фактором является уровень компьютерной грамотности сотрудников организации.

При планировании и претворении в жизнь подхода BYOD необходимо учитывать все эти факторы, чтобы оценить уровень мощности вычислительных устройств, которые организации нужно будет обеспечить как для нормальной операционной деятельности, так и для предоставления запасных устройств в случае возникновения сбоев в работе устройств сотрудников. В политике BYOD должно быть указано, что в случае невозможности выполнения сотрудником возложенных на него обязанностей с помощью своего личного устройства ему будет предоставлено необходимое устройство из собственности организации до тех пор, пока сотрудник не сможет пользоваться своим устройством опять. Невозможность подключения своего устройства к сети организации — не повод не работать!

Поэтому компании необходимо предсказывать спрос и предоставлять вычислительные мощности, достаточные для работы как в обычных, так и в чрезвычайных ситуациях.

Также необходимо установить баланс между желанием персонала использовать свои личные устройства по принципу BYOD и сложностью для службы поддержки в сопровождении большого количества различных и незнакомых устройств.

 

Поддержка пользователей и служба Service Desk

Должно быть достигнуто ясное взаимопонимание между службой Service Desk и сотрудниками компании в вопросе о том, что именно поддерживается при использовании личных устройств по принципу BYOD. Все это должно быть определено в политике.

Лиз Тэй в своей заметке на IT News (www.itnews.com.au/News/265821,byo-computingneeds-contingency-plan-gartner.aspx) выделила ряд приемов, которые, согласно Gartner, часто используются. Среди них:

• поддержка BYOD-устройств с ограничением по времени на каждое устройство (например, не более 30 минут);

• поддержка, при которой сотрудники сервисной службы предпринимают разумные попытки для решения инцидента, понимая в то же время, что сбои, связанные с BYOD- устройствами, являются личными проблемами владельца устройства;

• ограничение поддержки по техническим областям, когда по некоторым технологиям поддержка осуществляется, а по некоторым нет;

• наличие набора запасных устройств, из которых сотрудник может временно взять замену сломавшемуся устройству;

• поддержка силами сообщества, то есть с возможностью обмена между сотрудниками информацией и опытом посредством почтовых рассылок, корпоративных социальных сетей, вики или микроблогов;

• предоставление поддержки по контрактам, заключенным со сторонними сервисными организациями;

• полный аутсорсинг службы поддержки;

• обучение и проведение тренингов для сотрудников с целью познакомить их с наиболее часто возникающими неполадками и способами борьбы с ними, а также политиками BYOD и наложенной на сотрудников ответственностью;

• введение и управление политиками, включая полное уничтожение данных на устройстве или деавторизацию пользователей при необходимости.

Главное, чтобы границы были четко определены и всеми поняты. Нужно определить, на каком уровне поддержки какое будет оказываться техническое сопровождение для личных устройств сотрудников, а также сформулировать минимальные требования к устройству для разрешения подключения к корпоративной сети.

Служба Service Desk и сотрудники, обеспечивающие поддержку пользователей, должны четко представлять, что поддерживается силами ИТ, что поддерживается силами сторонних компаний и какие обязанности накладываются на сотрудников, использующих сервис BYOD.

Сотрудники должны понимать, какой уровень доступа к их персональным устройствам и данным, хранящимся на них, требует организация. Это должно быть определено при участии отдела кадров и включено в политику. Например, может ли компания, используя дыры в коде, следить за действиями сотрудниками, в частности определить наличие порнографических материалов на устройстве, используемом для рабочих целей? Если устройство было потеряно или была обнаружена брешь в системе безопасности, может ли организация стереть все данные с устройства или из стираемых данных будут исключены персональные данные сотрудника?

У Service Desk и сотрудников, занимающихся поддержкой пользователей, должны быть необходимые знания и инструменты.

 

Управление поставщиками

Организация может рассмотреть вариант, когда сотрудникам, работающим по принципу BYOD, техническая поддержка предоставляется сторонней организацией.

В отчете «Checklist for an Employee-Owned Notebook or PC Program» аналитики Gartner приводят некоторые советы относительно сторонней службы поддержки и соображения по обслуживанию.

Одним из главных преимуществ от использования сотрудниками своих персональных устройств является облегчение работы службы поддержки при починке этих устройств или решении инцидентов с нестандартными программами.

Тем не менее наиболее важным является принцип, по которому сотрудники имеют устройства, подходящие для выполнения рабочих задач, в любое время. Если такие устройства ломаются, то сотрудник должен откуда-то получить поддержку.

Лучшей практикой в этой области является организация для участников инициативы BYOD соответствующих вариантов поддержки от сторонней организации. Такое обслуживание может осуществляться реселлерами,

специализированными компаниями, занимающимися поддержкой, или производителями ПК. В дополнение к аппаратному обеспечению план по предоставлению поддержки должен включать в себя поддержку по вопросам ОС и ПО, так же как и по вопросам работы домашней сети и принтеров.

Возможны следующие варианты.

• Во время работы по пилотной версии плана компания может выплачивать всю сумму (или ее часть), расходуемую на поддержку, в виде компенсации сотрудникам. Сотрудники, разумеется, могут и отказаться.

• Компании могут предоставлять программные системы, загруженные из образа, принадлежащего компании, сотрудникам «напрокат». Эта стратегия позволяет сохранить продуктивность сотрудников на период починки их собственных устройств.

Следует отметить, что должна быть отдельная VIP-программа поддержки для топ-менеджеров, которым необходимо более быстрое и персонализированное обслуживание. Чтобы обеспечить адекватное финансирование, высшие руководители должны платить за данную услугу.

При взаимодействии с поставщиками следует развивать различные варианты поддержки в области BYOD и выбирать тот вариант, который доступен организации и в наибольшей степени удовлетворяет ее требованиям.

 

Управление знаниями

В условиях, когда используется большое количество различных устройств, управление знаниями имеет ключевое значение. Как минимум будет требоваться поддержка по вопросам подключения конкретных устройств к сети организации, поэтому база знаний должна содержать соответствующие инструкции.

Также база знаний должна включать детали политики BYOD и требования к сотрудникам, минимальные спецификации устройств, обязательный гарантийный период и т. д.

При появлении нового типа устройств в арсенале служащих, необходимо провести обновление базы знаний информацией о том, как подключить это устройство к сети организации.

Инструменты совместной работы также позволяют сотрудникам получать доступ к знаниям и опыту их коллег в случаях, когда возникают какие-то сложности. Хорошие инструменты совместной работы и полноценная, актуальная и точная база знаний могут радикально уменьшить потребность в помощи, оказываемой сотрудниками Service Desk по вопросам BYOD.

 

Выводы

При внедрении подхода BYOD в организации ITSM сталкивается с новыми задачами, касающимися не только безопасности, но и поддержки.

К BYOD следует относиться как к любому другому сервису, и рассматривать его надо с точки зрения необходимых аспектов стратегии и проектирования сервисов.

Важно ясно описать политики, связанные с BYOD, и убедиться, что они доступны и доводятся до сведения всех сотрудников компании на понятном для них языке. Требования к сотрудникам должны быть изложены предельно ясно, и обязанности организации в отношении личных устройств сотрудника должны быть четко определены.

Эту информацию необходимо сделать легкодоступной, например посредством базы знаний или внутренней корпоративной сети. Ее понимание каждым сотрудником нужно проверять с помощью аудитов и опросов, требуя ежегодно подписывать документ, заверяющий ознакомление с принятыми политиками.

Организации должны предоставить нужные вычислительные мощности тем сотрудникам, которые не используют BYOD, а также тем, устройства которых не позволяют им решать их задачи.

Service Desk и поддерживающий персонал должны обладать необходимыми навыками, инструментами и знаниями для поддержки тысяч устройств, приносимых для работы в организацию. Они также должны ясно представлять себе область и границы оказания поддержки личных устройств работников.

Заранее, до введения BYOD, следует обеспечить вовлечение кадровых служб и юридических отделов, чтобы последствия в области занятости сотрудников или в области законодательства не были недооценены.

И наконец, следует помнить, что принцип BYOD направлен на то, чтобы сделать сотрудников счастливыми, расширить их права и возможности, повысить производительность. BYOD дает возможность привлекать, вовлекать и удерживать таланты. Разве мы все не хотим этого?

 

Karen Ferris, A 4-letter acronim sending CIOs running scared — BYOD. At Your Service, Official Magazine of the IT Service Management Forum, Vol. 1, No. 5, 2011.

Все права сохранены. Перевод публикуется с разрешения ITSMf International в рамках партнерства издательства «Открытые системы» и ITSMf Russia (www.itsmforum.ru)