ТЕОРЕТИЧЕСКИ ИДЕЯ BYOD выгодна как для компании, так и для сотрудника Источник: Sony |
Семинар ассоциации RISSPA, проведенный совместно с компанией Trend Micro, был посвящен концепции BYOD (Bring Your Own Device — «принеси свое собственное устройство»). Этим термином обозначают практику, в соответствии с которой сотрудники для решения корпоративных задач используют свои собственные устройства. В основном речь идет о смартфонах и планшетных компьютерах, хотя концептуально модель может распространяться и, например, на автомобили. Параллельно возник и другой термин — консьюмеризация ИТ, подразумевающий в том числе использование созданных для потребительского рынка ИТ-продуктов в профессиональной деятельности. Понятия эти связаны, поскольку сотрудники приносят на работу в большинстве случаев именно персональные продукты, хотя не всегда персональные устройства, подключаемые к корпоративной сети, принадлежат сотрудникам.
Теоретически идея BYOD выгодна как для компании, так и для сотрудника. Организации не проходится тратиться на покупку и поддержку устройств, имея при этом сотрудника на связи практически круглосуточно. Сотрудник же получает возможность часть работы выполнять в удобное для него время. Кроме того, мобильные сотрудники получают доступ к корпоративной информации на том устройстве, которое ему нравится. Однако за очевидные выгоды приходится расплачиваться тем, что компании приходится обеспечивать поддержку различных мобильных платформ и тщательнее контролировать деятельность удаленных сотрудников.
Увы, компании часто впадают в крайности: либо вообще запрещают сотрудникам использовать их мобильные телефоны на работе, либо выдают корпоративные устройства, но жестко контролируют их использование. Есть также вариант, когда доступ с мобильных устройств организуют сотрудники ИТ-отдела компании, но потом его вообще не контролируют. Однако это обычно приводит к проблемам с информационной безопасностью и, как следстие, к запрету мобильных устройств.
Тем не менее остановить процесс «мобилизации» бизнеса невозможно. Сотрудники все равно совершают со своих мобильных телефонов корпоративные звонки, а электронную почту, заведенную в открытых почтовых системах и доступную с тех же мобильных устройств, используют для общения с заказчиками и партнерами. Они пользуются социальными сетями и другими приложениями на мобильных устройствах. Эти устройства в некоторых случаях становятся источниками ценной информации о компании.
В частности, Олег Федоров, генеральный директор компании Oxygen Software, рассказал о том, какие ценные сведения можно найти в памяти смартфона при помощи разработанного его компанией инструмента для криминалистов. Этот инструмент, названный Oxygen Forensic Suite, посредством специального агента, установленного на мобильное устройство, может получить из его памяти много ценной и полезной информации для правоохранительных органов. Федоров продемонстрировал, что в памяти телефона агент может обнаружить все SMS-сообщения с метками времени, сообщения электронной почты с полным текстом, адресную книгу с группами и сокращенными номерами, подчеркивающими важность определенных контактов, снимки, содержащие сведения о том, где они получены, и многое другое. Некоторые модели телефонов вместе с SMS, звонками и сведениями о беспроводных подключениях сохраняют данные о базовых станциях, по которым можно определить, где в этот момент был человек.
Таким образом, хотя само устройство пользователя и не подключается к корпоративной сети, скрытно установив в его операционную систему программу-шпион, злоумышленник может получить много всякой информации о сотруднике и о самой компании. При этом сотрудник, скорее всего, будет просто не в состоянии самостоятельно защититься от подобной слежки. В результате служба безопасности, которая просто запрещает доступ сотрудников с мобильных платформ, не решает проблему утечки информации. Более действенной мерой, скорее всего, было бы внедрение систем управления мобильными устройствами, которые позволяют управлять ценной информацией компании, не мешая при этом сотруднику использовать свое устройство.