Стратегия BYOD должна начинаться с Безопасности, построенной вокруг Данных.
Комплекс статей по тематике BYOD
(Bring Your Own Device – Принеси с собой любое собственное беспроводное устройство)
4-11-2011
Стратегия BYOD должна начинаться с Безопасности, построенной вокруг Данных.
ИТ-подразделение компании приняло подход «Любое Ваше устройство теперь наше устройство» ? Тогда наступило время вернуться к принципам безопасности, при которых Безопасность Данных это первый и основной принцип.
Это в человеческой природе сталкиваясь с чем-то новым мы пытаемся действовать как с чем-то уже нам известным. И чем больше времени мы делаем что-то определенным образом, тем сложнее нам к этому привыкнуть или приспособиться. Моя нынешняя машина имеет систему безключевого открывания дверей и запуск двигателя – просто надо нажать на кнопку. И даже не смотря на то, что я вожу эту машину уже какое-то время, но если я задумываюсь о чем-то важном пока иду к машине моя рука рефлекторно пытается вынуть ключи из моего кармана. Подобно этому и понимание новых средств передачи информации требует времени. Например, если бы мы назвали радио «фонограф as a service»(PHaaS) мы потеряли бы большую часть его потенциала интерактивности.
Ориентация на интересы потребителей уже стала нормой и все больше работников приносят на рабочие места их собственные смартфоны и планшетные компьютеры. Первая реакция ИТ-службы или запретить, или рассматривать эти устройства наравне с теми, которые компания купила и выдала сотруднику ранее.
Если подход вашей команды «Ваше устройство теперь наше устройство» (в смысле обслуживания, а не в смысле насильственного изъятия:-), прим. Wi-Life), то вам определенно необходимо пересмотреть многие вещи.
Очень хотелось бы упростить себе жизнь и подходить ко всем устройствам одинаково. Оправдание при этом часто выглядит как: «у нас есть правила, которые каждый должен понимать и исполнять и которые прекрасные и удобные». Однако, когда это переносится на устройства, которыми ИТ не владеет, это рискованная стратегия.
Как Вы будете себя вести с разгневанным пользователем, у которого были уникальные персональные данные на этом устройстве, пока ваша ИТ-команда не стерла эти данные удаленно или не отправила какое-либо обновление ПО, которое уничтожило некорпоративный контент ? Вы действительно хотели бы взять на себя ответственность за невосполнимые семейные фотографии, у которых не было копии или за архив музыкальных записей и т.п. ? Говоря пользователю, что он должен иметь резервные копии всего, что у него есть скорее приведет к риску быть посланным по известному адресу... Определенно такой подход не позволит завоевать уважение ваших коллег и неизбежно когда-либо потеря персональных данных приведет кого-либо к судебному разбирательству. Управление не принадлежащими вам устройствами ведет к риску, который вряд ли очень хочется брать на себя.
Когда устройство принадлежит компании и работники точно знают какие данные они должны и не должны хранить на нем (т.к. у вас есть хорошо написанные правила и которые были правильно донесены до пользователей), то любая потеря персональных данных на этих устройствах переносится в зону ответственности самих пользователей. Когда какое-либо устройство принадлежит самому пользователю неявное соглашение отлично от предыдущего случая, т.к. работник самостоятельно купил и принес это устройство для работы.
Большинство работников хотят одно устройство (или потенциально один набор устройств), чтобы носить с собой. Они понимают необходимость лаптопов, как устройств для работы. Они также вполне могут понять почему компания может не хотеть покупать планшетные компьютеры, даже несмотря на то, что многие пользователи находят планшеты удобными в работе. Но они точно не хотят два телефона. И они не хотят понимать и принимать настойчивость компании в том, чтобы управлять персональными устройствами, как если бы это были обычные корпоративные устройства, включая ПО управления устройством, которое вводит многие дополнительные процедуры, как например сложные политики паролей и функционал удаленного вычищения памяти устройства и т.п..
И это действительно то, что многие ИТ-команды делают. Происходит это в основном из-за того, что они смешивают управление устройством с безопасностью данных. Иногда это происходит из-за относительно плохого соответствия техническим требованиям, в других случаях из-за того, что они сами не до конца все продумали.
Основная идея, которую хотелось бы донести здесь это то что управление устройством и безопасность данных никогда не были одним и тем же и с наступлением новой эры – BYOD – эти составляющие должны рассматриваться и отрабатываться как полностью раздельные элементы.
Управление устройствами это процесс, в ходе исполнения которого ИТ-служба экономически оправдано гарантирует доставку приложений и сервисов сотрудникам компании. Когда это не корпоративный телефон, планшет или лаптоп это более не проблема ИТ-службы. Но обеспечение необходимого уровня безопасности для закрытых данных это важный вопрос.
Хорошая новость здесь это то что т.к. это подходит работникам большинства индустрий лучшее решение это наиболее легко достижимое и не требующее затрат больших, чем некоторые тренинговые мероприятия. Во-первых, данные должны быть защищены изначально и с самого базового уровня. Получили таблицу работников и предлагаемые повышения зарплат ? Установите пароль.
Храните большое количество информации для бизнес целей ? Зашифруйте ее, сделайте возможность выноса данных очень сложной.
Но самая большая и самая важная составляющая, которую ИТ-служба должна делать это прекратить видеть в своих пользователях проблему и начать воспринимать их как важнейшую часть решения. Обучайте своих пользователей. Доводите до них как они могут получить доступ к данным и использовать их безопасно и как они должны защищать закрытую информацию. Пользователи, которые много хотят, но необразованы (в части рассматриваемых вопросов, прим. Wi-Life) являются вашей наибольшей проблемой и риском. Обучайте их и сделайте вашим крупнейшим достоянием.
автор: Art Wittmann / InformationWeek
перевод: komway.ru
оригинал статьи находится по адресу:
http://www.informationweek.com/news/global-cio/trends/231902370
Использование материалов этого сайта разрешено только с согласия владельца и наличии прямой ссылки на источник.
