Распространение идей BYOD привело к тому, что организациям становится все сложнее осуществлять контроль над растущим количеством пунктов доступа к корпоративным системам. Как показало исследование, проведенное недавно компанией Bitglass, 57% служащих и 38% ИТ-специалистов не участвуют в корпоративных инициативах BYOD из опасений, что у руководства компании будет доступ к персональным данным пользователей.
Разумеется, это не мешает сотрудникам пользоваться на работе личными устройствами в обход официальных правил. А если сотрудники игнорируют корпоративную стратегию BYOD, значит, она неэффективна, и пришло время ее пересмотреть.
Как определить, что служащие перешли на «нелегальное положение» — пользуются собственными устройствами в обход правил, ставя под угрозу корпоративные данные?
«Есть несколько признаков, но самый очевидный — это утечки конфиденциальной корпоративной информации; скажем, вы обнаружили ваши данные в 'недрах' WWW или где-то в открытом доступе», — указала Патриция Титус, в прошлом директор по безопасности ряда компаний, а ныне член Visual Privacy Advisory Council, организации, которая помогает бороться с «визуальным взломом», нарушениями безопасности, происходящими, когда кто-то подсмотрел не предназначенную для него информацию и воспользовался этим.
Еще один знак того, что правила не работают, — если вы замечаете увеличение количества вредоносов или атак с разрешенных персональных устройств. Это может означать, что сотрудник не выполняет свою часть договора BYOD, которая требует использования и своевременного обновления ПО безопасности.
Ревизию программы BYOD надо начать с оценки соответствия политики потребностям компании, а также выяснения того, приводит ли она к повышению ответственности служащих и применима ли к современным технологиям, используемым в настоящее время.
Если после такой оценки выяснится, что политика BYOD не приносит результатов и не обеспечивает защищенность конфиденциальных данных, то есть два варианта: реструктурировать политику или полностью отказаться от программы BYOD.
Для того чтобы новая политика при реструктуризации была эффективной, важно соблюдать принцип «доверяй но проверяй», а также учитывать отзывы, поступающие от всех бизнес-подразделений. Если у сотрудников не будет ощущения причастности к общему делу, они продолжат игнорировать политику, считает Доминик Фогель, консультант по информационной безопасности.
«Чтобы создать ощущение причастности, политику необходимо разрабатывать коллективно, — продолжил он. — Обязательно пригласите представителей кадрового отдела, бухгалтерии, маркетологов, сотрудников информационного отдела, топ-менеджеров и вместе составьте реалистичную (но не драконовскую!) политику, которая сводит к минимуму риски, позволяя при этом вести бизнес в нормальном режиме».
Переработанные правила нужно четко довести до сведения сотрудников, избегая использования технической терминологии. Понимание политики должно стать обязательным условием для подключения личных устройств к корпоративной сети.
Возможно, это кого-то удивит, но сегодня все больше экспертов по безопасности приходят к мнению, что в компаниях стоит выбрать второй вариант — отказаться от BYOD. Дело попросту в том, что правила игнорируют слишком многие, поэтому иногда будет лучше совсем запретить подключать личные устройства, особенно если вы работаете в сильно регулируемой отрасли.
«Если в компании стремятся максимально избегать рисков, например, если ее деятельность сильно регулируется, то программа BYOD ей, возможно, вообще не подходит, — отметила Титус. — Ведь регулируемым компаниям придется как-то доказывать аудиторам эффективность инициатив BYOD».
Вместо BYOD Титус предлагает подход CYOD (Choose Your Own Device — "выбери себе устройство"): владеет устройством и отвечает за безопасность компания, но сотрудники могут выбрать то, что им по вкусу, из небольшого ассортимента устройств.
Если нужно по какой-то причине прекратить программу BYOD, важно выяснить, как удалить конфиденциальную информацию компании с личных устройств служащих без уничтожения личных данных. «Это может оказаться непросто, — отмечает Титус. — При этом необходимо даже временное прекращение программы BYOD согласовывать с кадровым и юридическим отделами. Разъяснительная работа должна быть превыше всего, но в целом информацию о безопасности стоит дозировать, иначе ее начнут пропускать мимо ушей».
Провальная политика BYOD может оказаться разрушительной для бизнеса, поскольку связана с несущими риски утечками интеллектуальной собственности; информации, позволяющей установить личности заказчиков; а также финансовых данных, не говоря уже о раскрытии данных конечных пользователей. Достаточно всего одного устройства без заплат, без стандартного антивируса или других защитных средств, которое подключили к корпоративной сети или утратили в результате потери или хищения, чтобы ваша компания могла оказаться жертвой масштабной утечки.