Распространение идей BYOD привело к тому, что организациям становится все сложнее осуществлять контроль над растущим количеством пунктов доступа к корпоративным системам. Как показало исследование, проведенное недавно компанией Bitglass, 57% служащих и 38% ИТ-специалистов не участвуют в корпоративных инициативах BYOD из опасений, что у руководства компании будет доступ к персональным данным пользователей.
Разумеется, это не мешает сотрудникам пользоваться на работе личными устройствами в обход официальных правил. А если сотрудники игнорируют корпоративную стратегию BYOD, значит, она неэффективна, и пришло время ее пересмотреть.
Как определить, что служащие пользуются собственными устройствами в обход правил, ставя под угрозу корпоративные данные?
«Есть несколько признаков, но самый очевидный — это утечки конфиденциальной корпоративной информации; скажем, вы обнаружили ваши данные в ‘недрах’ WWW или где-то в открытом доступе», — указала Патриция Титус, в прошлом директор по безопасности ряда компаний.
Ревизию программы BYOD надо начать с оценки соответствия политики потребностям компании, а также выяснения того, приводит ли она к повышению ответственности служащих и применима ли к современным технологиям, используемым в настоящее время.
Если после такой оценки выяснится, что политика BYOD не приносит результатов и не обеспечивает защищенность конфиденциальных данных, то есть два варианта: реструктурировать политику или полностью отказаться от программы BYOD.
Для того чтобы новая политика была эффективной, важно соблюдать принцип «доверяй, но проверяй», а также учитывать отзывы, поступающие от всех бизнес-подразделений.
«Чтобы создать ощущение причастности, политику необходимо разрабатывать коллективно, — считает Доминик Фогель, консультант по информационной безопасности. — Обязательно пригласите представителей кадрового отдела, бухгалтерии, маркетологов, сотрудников информационного отдела, топ-менеджеров и вместе составьте реалистичную (но не драконовскую!) политику, которая сводит к минимуму риски, позволяя при этом вести бизнес в нормальном режиме».
Переработанные правила нужно четко довести до сведения сотрудников, избегая использования технической терминологии. Понимание политики должно стать обязательным условием для подключения личных устройств к корпоративной сети.
«Если в компании стремятся максимально избегать рисков, например если ее деятельность сильно регулируется, то программа BYOD ей, возможно, вообще не подходит», — отметила Титус.
Вместо этого Титус предлагает подход CYOD (Choose Your Own Device — «выбери себе устройство»): владеет устройством и отвечает за безопасность компания, но сотрудники могут выбрать то, что им по вкусу, из небольшого ассортимента устройств.
Провальная политика BYOD может оказаться разрушительной для бизнеса, поскольку связана с несущими риски утечками интеллектуальной собственности; информации, позволяющей установить личности заказчиков; а также финансовых данных, не говоря уже о раскрытии данных конечных пользователей. Достаточно всего одного устройства без заплат, без стандартного антивируса или других защитных средств, которое подключили к корпоративной сети или утратили в результате потери или хищения, чтобы ваша компания могла оказаться жертвой масштабной утечки.