BYOD, CYOD, COPE = мобильное предприятие. Сценарии и риски использования мобильных устройств в корпоративной среде

 

BYOD, CYOD, COPE = мобильное предприятие. Сценарии и риски использования мобильных устройств в корпоративной средеВсего за несколько лет мобильные устройства (mobile device, MD) стали неотъемлемой частью нашей жизни, сделав мобильным, в том числе, корпоративный сектор. Согласно исследованию компании «Код безопасности», в 2016 году 58% россиян использовали личные девайсы для просмотра корпоративной электронной почты и работы с иной конфиденциальной информацией. В Европе этот показатель составляет всего 30%. В связи с этим компании модернизируются под влиянием «мобильной революции» и задумываются о регламентах и безопасности использования MD в рабочих целях.

 

Влияние мобильных устройств на бизнес-процессы

Проникнув в бизнес-среду, мобильные технологии изменили как поведение сотрудников, так и подход к построению бизнес-процессов.

Основное преимущество, которое дает MD, это мобильность сотрудников и возможность их удаленной работы. Таким образом, компания может оптимизировать издержки за счет сокращения арендуемых площадей, расходов на содержание офиса (электроэнергия, канцелярия и пр.), снижения фонда оплаты труда, при этом не теряя в производительности и сохраняя качество предоставляемых услуг. Кроме того, удаленная работа открывает возможность привлекать специалистов из других стран без их физического присутствия, что, во-первых, тоже экономически выгодно, а во-вторых, повышает интеллектуальный капитал организации. В целом, компания и ее бизнес-процессы становятся гибкими.

В то же время, у «мобильной революции» бизнеса есть и обратная сторона. Диджитализация увеличивает нагрузку на ИТ-отделы. Они должны поддерживать корректную работу систем в режиме 24х7х365, а любой сбой имеет для компании критически важное значение. Также требуются инвестиции в закупку корпоративных мобильных девайсов (Choose Your Own Device, CYOD) и/или в разработку и поддержание стандартов безопасности для модели BYOD (Bring Your Own Device).         

 

Влияние мобильных устройств на корпоративную культуру

Для сотрудников работа из дома удобна тем, что экономит время на дорогу до офиса и повышает их производительность. Mobile device не привязывают их к рабочему компьютеру. При этом сотрудники могут быть «на связи» постоянно, мгновенно обмениваться файлами, работать в облачных сервисах над общими документами, организовывать онлайн-совещания и т.д.  

 

Виды рисков использования мобильных устройств в корпоративной среде

Использование мобильных устройств для рабочих процессов неизбежно снижает уровень защищенности деловой конфиденциальной информации. Если стационарные компьютеры находятся в пределах одного помещения и подключены к защищенной корпоративной сети, то mobile device большую часть времени проводят за периметром компании. Согласно результатам опроса компании «Код безопасности», свыше 46% пользователей передают свой девайс третьим лицам. Помимо снижения киберзащищенности, это делает устройства недоступными для обновлений, изменения политик и др.  

Можно выделить несколько групп риска, связанных с использованием мобильных устройств в корпоративной среде: физические, организационные, технические риски.

Таблица 1 - Виды рисков использования мобильных устройств в корпоративной среде

Физический риск

Организационный риск

Технический риск

- утрата устройства (потеря, кража, повреждение и т.д.)

 

- низкая компетенция сотрудников в функциях смартфона, синхронизация приложений

- смена поколений MD, технологий и приложений

- привилегированный доступ к базам данных на MD

- нецелевое использование сотрудником MD 

- утечка конфиденциальной информации через вредоносное ПО, программы-шпионы

- отслеживание поведения пользователя

 

 

Физический риск использования мобильных устройств в корпоративной среде

Существенным физическим риском для мобильного устройства является его потеря и, как следствие, кража данных. Если на девайс не установлен пароль, то важная информация станет доступна любому прохожему. Даже если пароль установлен, то, обладая определенными компетенциями, его можно взломать. Как правило, операционные системы смартфонов привязываются к учетной записи. При манипуляциях с ней данные могут быть безвозвратно потеряны.   

Чтобы минимизировать риски от потери или кражи mobile device, можно предварительно предпринять дополнительные мер защиты, среди которых:

1. Установить сервисы геолокационного отслеживания местонахождения устройства.

2. Настроить функции дистанционной блокировки устройства. Данная возможность предусмотрена большинством современных смартфонов. Если задать в настойках нужные параметры, то можно влиять на устройство с другого девайса.

3. Настроить возможность уделённой блокировки SIM-карты. 

4. Использовать надежные пароли, регулярно обновлять приложения.

И всё же лучшей защитой остается тщательный присмотр за мобильным устройством и предотвращение его попадания в руки злоумышленников, т.к. всегда присутствует вероятность обойти ограничения операционной системы через баги в программном обеспечении и ошибки интерфейса.

 

Организационный риск использования мобильных устройств в корпоративной среде

Один из организационных рисков связан с мобильной гигиеной сотрудника. Для корпоративного использования MD недостаточно компетенции пользователя. В современных смартфонах многофункциональное меню настроек. Далеко не каждый разбирается во всех его пунктах и осознанно понимает, к чему ведет «галочка» напротив той или иной функции. Каждое установленное приложение имеет свою политику, а пользователи, принимая соглашение при загрузке, читают его в исключительных случаях. В результате, часто встречаются ошибки в конфигурации и, например, синхронизация рабочей и личной электронной почты, открытие доступа подозрительным приложениям, синхронизация файлов с облачными сервисами и пр.

Серьезной проблемой использования MD в рабочей среде является их моральный износ. Для корпоративных целей важна мощность устройства и корректная работа. Поколения девайсов и технологий меняются регулярно, требуя периодических вложений в технический парк. Цикл использования корпоративного mobile device в крупных компаниях составляет около двух лет. Обновлять или заменять приложения требуется еще чаще. Вместе с этим необходимо обучать персонал новым интерфейсам и техническим возможностям.

 

Технический риск использования мобильных устройств в корпоративной среде

Технические риски  являются самой большой группой рисков с точки зрения наличия лазеек для нецелевого использования информации. Ряд программ, вредоносное ПО или программы-шпионы могут долго оставаться незамеченными, отслеживать активность пользователя и перехватывать информацию. Для управления зараженным MD злоумышленнику нужен канал передачи данных, т.е. несанкционированное подключение к сети. Заражение также может произойти через полученные по e-mail файлы или подключение к общественному Wi-Fi.

Источник атаки на MD кроется даже в веб-интерфейсе и мобильной версии сайтов. Несмотря на то, что большинство мобильных устройств поддерживают все протоколы сети, в целях более удобного просмотра страницы с небольшого экрана предлагается мобильная версия. Переход на мобильную версию может быть атакой, особенно распространенной на сайтах и приложениях, предназначенных для финансовых операций. Например, пользователь может перейти не на официальную мобильную версию сайта, а на легитимную страницу, которая передает введенные данные третьим лицам.

Риск потери конфиденциальных данных компании с mobile device повышается тем, что многие файлы дублируются из корпоративной сети и хранятся в памяти устройства. У многих владельцев девайсов такие функции передачи данных, как Wi-Fi, Bluetooth, GPS, всегда активны, что повышает риск несанкционированного вторжения в устройство и сбора информации о пользователе.

Чтобы повысить уровень защищенности корпоративной информации на пользовательских устройствах (например, файлов doc, xls, ppt и пр.), компании необходимо предусмотреть политикой безопасности обязательное шифрование накопителей. Важно создавать корпоративные файловые хранилища, которые будут обслуживаться и защищаться местным ИТ-отделом, чтобы сотрудники не использовали в рабочих целях общесдоступные облачные сервисы, предлагаемые браузерами.    

 

Сценарии использования мобильных устройств в корпоративной среде                 

В связи с развитием возможностей смартфона, их ценовой доступностью, диджитализациией окружения и упрочнением позиций MD в жизни каждого, выработалось несколько сценариев использования мобильных устройств в корпоративной среде. Самые популярные стратегии работы с mobile device - это BYOD (Bring Your Own Device – «принеси свое устройство), CYOD (Choose Your Own Device – «выбери свое устройство») и COPE (Corporate-Owned, Personally Enabled - «корпоративные устройства, настройкой  и  обслуживанием которых сотрудник занимается самостоятельно»). Например, прослеживается закономерность, что, чем крупнее компания, тем чаще она самостоятельно закупает корпоративные девайсы, контролирует их настройки и информационную безопасность. Но какое бы решение не было выбрано, важно обозначить правила их использования.     

Концепция BYOD предполагает, что сотрудник использует личное устройство в рабочих целях, как в офисе, так и за его пределами, самостоятельно его приобретает и обслуживает. Возможен вариант, что компания оплачивает мобильную связь сотрудника. В рамках CYOD компания приобретает корпоративные устройства самостоятельно. Сценарий COPE менее популярен. Он предусматривает, что само устройство приобретает и выдает компания, но его настройкой и обслуживанием занимается сотрудник. Поэтому может использовать параллельно в личных и рабочих целях. Такой подход оправдывает себя, если штат обладает достаточными техническими знаниями.

Любой сценарий требует для реализации три компонента: Web, беспроводная связь и мобильное устройство. Web – это платформа для различных сервисов и приложений в виртуальной среде. Беспроводная связь делает жизнь полностью мобильной, предоставляя доступ к рабочей среде из любого места, где есть связь. Мобильное устройство – это инструмент для пользования Web-сервисами через беспроводную сеть.  

Если компания приняла решение осваивать мобильные устройства для рабочих целей, нужно аккуратно подходить к правовой стороне вопроса. Важно заранее оговорить, кто несет имущественную ответственность за девайс, какие ограничения компания может накладывать на пользовательские права в рамках BYOD, последствия для сотрудника в случае утечки информации и пр. Данные моменты лучше заранее документально оформить.      

Таблица 2 – Преимущества и недостатки различных сценариев использования мобильных устройств в корпоративной среде

 

BYOD

CYOD

COPE

Преимущества

- снижение расходов компании на приобретение mobile device

- сотрудники пользуются удобными для ними самих устройствами

- личные MD, как правило, более современные и производительные

- целевое использование MD

- нет привязки к рабочему месту и границам рабочего дня

- более высокий уровень защиты корпоративной информации

- единство политик безопасности и ОС

- обновление программ

- частичная персонализация устройства

- уменьшение затрат на техническое обслуживание MD

 

Мобильность сотрудников, нет привязки к рабочему месту и границам рабочего дня

Недостатки

- низкая компетенция пользователей при выборе настроек

- отсутствие технической поддержки устройства

- низкий уровень защиты корпоративной информации

- риск кражи информации уволившимся сотрудником

- смешанные цели использования MD

- разнообразие устройств и ОС

- расходы на приобретение мобильных устройств, их замену, ремонт

- высокие требования к техническим знаниям пользователя

Размытие границ между частной жизнью и работой, сотрудник всегда «на связи»

 Мобильная связь на пути к 6G

О принципах работы мобильных устройств, их категориях (скоростях и других функциональных возможностях), а также мобильных гаджетах будущего читайте в новой книге "Мобильная связь на пути к 6G".

 

Читайте также:

Диджитализация окружения, или четвертая промышленная революция в действии

Цифровизация (диджитализация) операторов мобильной связи России

Развитие цифровой экономики в России. Модели и направления

Сравнение мобильных тарифов (связь и интернет) операторов мобильной связи России для частных лиц на 2017 год. Какой тариф выбрать?

Книга "Мобильная связь на пути к 6G"

Благодарность Оргкомитету IV Конференции из Министерства связи и массовых коммуникаций РФ

Ответы на самые животрепещущие вопросы пассажиров

Добавить комментарий


Защитный код
Обновить

Яндекс.Метрика