Многие современные компании придерживаются концепции BYOD. Расшифровка данной аббревиатуры – “Bring your own device”, а суть – в использовании сотрудниками для работы не корпоративных, а собственных устройств, будь то компьютеры, ноутбуки, планшеты, смартфоны.
Такая схема отличается простой и мобильностью, снижает сторонние издержки работодателя, избавляет его от необходимости покупки оборудования. Есть, однако, и обратная сторона – проблемы с безопасностью. Безответственность работника, случайно раскрывшего учетную запись и пароль, вирусные атаки – все это может привести к потере важных данных, репутационному, финансовому ущербу организации. Как нивелировать подобные риски? Какие инструменты и средства наиболее эффективны?
Основные риски
Каждый руководитель, придерживающийся концепции BYOD, должен понимать риски, характерные для нее. Это позволит выработать грамотную стратегию противодействия, исключения неприятностей. Каждый фактор требует подробного рассмотрения.
Утечка информации
Взаимодействовать с корпоративными данными могут исключительно авторизованные пользователи. Впрочем, даже при защите сложным паролем, разграничении прав доступа сохраняется опасность потери данных. Нерадивый сотрудник может открыть вредоносную ссылку, ведущую на страницу с автоматической загрузкой вирусного файла. Хорошо, если такое действие будет оперативно заблокировано антивирусом. В противном случае – неприятностей не избежать.
Неправильная корпоративная политика
Руководству организации, придерживающейся принципа BYOD, нужно помнить несколько статистических фактов:
- 80% сотрудников знают, что пароли могут быть скомпрометированы и раскрыты.
- 60%, несмотря на это, годами используют один и тот же шифр, не отличающийся сложностью.
- 40% - не меняют пароль даже после его раскрытия.
Соответственно, компания обязана следовать строгой политике безопасности, доверять своим работникам, но проверять их, напоминать о важности ответственного отношения к учетным записям, методам авторизации.
Вредоносные программы
Смартфон или ноутбук – собственность сотрудника, так что он волен устанавливать все желаемые приложения, не ограничиваясь только рабочими. Далеко не факт, что под благонадежным ПО не скрывается софт, ворующий пароли или напрямую данные, хранящиеся на устройстве. Более того, при первом подключении такого устройства к корпоративной сети произойдет массовое заражение, что крайне опасно.
Кража
Случайность, которую никогда нельзя исключать. Зачастую злоумышленникам, желающим добраться до конфиденциальной информации, не нужно пользоваться специальными программными средствами, писать вирусные программы, пытаться выкрасть пароли и учетные записи. Хватает и примитивных действий, кражи непосредственно устройства. Аналогичными последствиями обернется и потеря. В такой ситуации, впрочем, еще можно надеяться на то, что находку обнаружит законопослушный гражданин и вернет ее владельцу.
Небезопасный удаленный доступ
Одно из важнейших достоинств концепции BYOD – доступ к ресурсам организации без географических ограничений. Достаточно устройства, подключенного к Интернету. Преимущество, однако, имеет и обратную сторону. Сотрудник может подключиться через общедоступную сеть Wi-Fi, безопасность которой не гарантирована. Это особенно актуально, если владелец сети не стремится к максимальному качеству услуги, не требует от провайдера внедрения актуальных методик шифрования. Риск перехвата конфиденциальных сведений в таком случае очень высок.
Политика безопасности: важность и особенности разработки
Грамотная политика безопасности – основа безопасности предприятия, придерживающегося концепции BYOD. Наиболее значимые моменты, требующие учета, выглядят следующим образом:
- Настройка доступа и разграничение прав. Нужно определить, с какими именно ресурсами организации можно взаимодействовать с личных устройств. Нелишне внедрить алгоритмы многофакторной аутентификации, не ограничивающейся только паролем, а требующей дополнительных действий, например, сканирования отпечатка пальца, ввода одноразового кода, отправленного в виде СМС или электронного письма.
- Шифрование. Корпоративные сведения, хранящиеся на личных смартфонах, ноутбуках, в обязательном порядке шифруются. Для этого используются глубокие алгоритмы шифрования, на уровне не отдельных файлов, а диска, карты памяти в целом. Это исключит потерю данных даже при краже устройства.
- Регулярность установки обновлений и исправлений безопасности. Противостояние разработчиков защитных программ, операционных систем и хакеров вечно. Вторые ищут уязвимости для совершения противоправных действий, первые – проводят тесты, обнаруживают и устраняют их. Важно ставить патчи безопасности сразу после выхода.
- VPN. Многие сервисы VPN поддерживают технологии шифрования, позволяют наладить передачу данных по защищенным каналам. Даже перехват в таком случае не даст результата, раскодирование окажется невозможным.
- Формирование культуры безопасности. Нужно на регулярной основе проводить семинары, встречи со специалистами IT-отдела, системными администраторами, рассказывающими о сетевых угрозах, средствах противодействия, важности соблюдения “сетевой гигиены”.
Пример внедрения
Стратегию внедрения концепции BYOD можно рассмотреть на примере финансовой организации среднего масштаба. Первым делом, компания должна оценить инфраструктуру, определить классы устройств, с которыми приходится взаимодействовать, подыскать соответствующее программное обеспечение. Готовится документ, в котором закреплены базовые принципы BYOD, отражено следующее:
- Требования к ОС, периодичности и специфике установке обновлений, исправлений безопасности.
- Требования к организации удаленной работы, в частности – задействования VPN-сервисов и других алгоритмов передачи информации по защищенным каналам в зашифрованном виде.
- Требования к безопасности пароля, запреты на использование простых способов снятия блокировки с мобильных устройств, например 4-значных PIN-кодов или графических ключей.
- Порядок действий при потере или похищении устройства. Стандартный алгоритм – оповещение IT-специалистов организации, которые удаленно сотрут всю информацию. Конечно, личные данные остаются нетронутыми. IT-отдел не имеет к ним доступа.
Несмотря на то, что сотрудники пользуются собственными устройствами, они должны зарегистрировать их в реестре организации. Задача уполномоченного отдела – проверка безопасности, надежности ноутбука или смартфона. Только при ее успешном прохождении работник получит коды доступа, позволяющие ему заходить в личную учетную запись.
Подведение итогов
BYOD – концепция, воспринимать которую следует не просто как дань современности, а как удобный для сотрудников формат работы, эффективный, помогающий сэкономить ресурсы организации. Для раскрытия ее преимуществ, однако, нужно комплексно оценивать риски, ответственно отнестись к внедрению, следовать корпоративной политике безопасности, исключающей все вероятные проблемы и риски.
Минимальный набор средств для снижения рисков – алгоритмы шифрования, разграничение прав доступа, использование проверенного программного обеспечения и своевременность его обновления. Также компаниям следует повышать уровень знаний персонала, регулярно проводить обучающие семинары, разбирать базовые вопросы сетевой безопасности.