2015/03/23 15:33:54

Корпоративная мобильность
Bring Your Own Device - BYOD

Концепция BYOD — это не очередная линия косметики. Это новая глобальная тенденция, горячо обсуждаемая профессионалами в сфере ИТ. Аббревиатура BYOD расшифровывается как «Bring Your Own Device» («принеси свое устройство») и описывает феномен распространения личных мобильных устройств в бизнес-среде. Также используются термины «консьюмеризация» и «пользовательские устройства». Аналитики уверены: со временем эта тенденция примет глобальный масштаб. Согласно исследованиям, проведенным IDC, около 95% сотрудников компаний уже используют по крайней мере одно личное устройство для рабочих целей. По оценкам Gartner, около 90% компаний планируют поддерживать бизнес-приложения на устройствах, принадлежащих конечным пользователям, поскольку это позволит сократить расходы на оборудование на 40%. Кроме того, широкое распространение мобильных устройств поможет «выйти на связь» с сотрудником даже после окончания рабочего дня. Например, служащие смогут просматривать электронную почту или работать над презентацией в свое свободное время.

Содержание

Концепция BYOD «размывает» границы между работой и частной жизнью. В наши дни все больше сотрудников пользуются социальными сетями (например, Facebook, Twitter и Xing), в которых «сходятся» профессиональные и частные контакты. Принцип корпоративной мобильности (BYOD – от Bring Your Own Device) является горячей темой в ИТ-индустрии, в том числе на уровне крупных компаний. Данный принцип предусматривает, что сотрудники компании используют в служебных целях свои личные электронные устройства – ноутбуки, планшеты или смартфоны. Сотрудники получают больше гибкости в своей работе, повышается уровень удовлетворенности трудом. Кроме того, BYOD также приносит потенциал в экономии средств.

'Смотрите также': Mobile Device Management (MDM)

BYOD в мире

2013

Согласно исследованиям IDC в 2013 году продажи мобильных устройств возросли на 20%, что составило 20% от всех ИТ-продаж в мире и привело к росту рынка ИТ на 57%. При этом без рынка мобильных устройств ИТ-индустрия выросла бы всего на 2.9%. По исследованиям Gartner – мобильные технологии и мобильный доступ входят в топ-10 приоритетов CIO в текущем году, а хранилище, или магазин корпоративных приложений входит в топ-10 технологических трендов этого года.

Растет применение мобильных технологий и устройств мобильного доступа. В США 78% офисных работников используют устройства мобильного доступа в рабочих целях. 65% офисных работников используют мобильную связь для выполнения работы. По прогнозам экспертов, к 2014 г. на каждого работника умственного труда в среднем будут приходиться 3,3 подключенных устройства (в 2012 г. этот показатель составил 2,8 единицы).

В среднем в 2014 г. на различные инициативы по обеспечению мобильности будет расходоваться 20% бюджетных средств ИТ-отдела по сравнению с 17% в 2012 г.

2011

Согласно результатам исследования «Enterprise Mobility 2011, Taking stock of German companies’ investment plans», проведенного в апреле 2011 г. маркетологами компании Berlecon Research, входящей в группу Pierre Audoin Consultants (PAC), во многих современных компаниях значительная часть персонала уже мобильна. Более чем в половине всех рассмотренных компаний по крайней мере один сотрудник из десяти регулярно работает в мобильном режиме. Почти на каждом пятом предприятии более половины сотрудников работают удаленно более одного раза в неделю. В каждой третьей организации более половины сотрудников непрерывно перемещаются по помещениям компании. Рост уровня мобильности особенно заметен на предприятиях среднего размера: в 26% компаний, имеющих в штате от 250 до 500 человек, более половины сотрудников регулярно работают вне офиса.

Аналитики Berlecon Research уверены, что стремительное распространение смартфонов и планшетных ПК в Германии свидетельствует о том, что вопрос корпоративной мобильности весьма актуален для бизнеса в этой стране. 80% немецких компаний применяют смартфоны в повседневной работе; в каждой пятой компании ими пользуется более половины(!) персонала. Эти результаты подтверждаются данными ассоциации Bitkom (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.). В 2011 г. в Германии было продано 11,8 млн. смартфонов, что более чем на одну треть превышает результаты 2010 г. По данным Berlecon, сегодня около 25% компаний используют планшетные ПК в своей повседневной деятельности.

Мобильные решения также завоевали популярность у частных пользователей. Согласно последним данным ассоциации Allensbacher Computer and Technical Analysis (ACTA), в 2011 г. в Германии 7,3 млн. человек планировали приобрести смартфон. Согласно данным Bitkom, в 2011 г. в Германии было продано 2,1 млн. планшетных ПК, что превосходит их собственную более раннюю оценку в 1,5 млн. шт. Производители прогнозируют еще более уверенный рост рынка в 2012 г. Представители отрасли сообщают, что ожидают в 2012 г. роста продаж на 29% до 2,7 млн. единиц. «Планшетные компьютеры — это основной сегмент рынка пользовательских устройств. Аудитория их пользователей постоянно растет», — отмечает президент Bitkom Дитер Кемпф (Dieter Kempf). Аналитики Gartner подтверждают, что эта тенденция охватит и другие страны. Согласно их прогнозам, высокие темпы роста будут сохраняться до 2015 г., причем приблизительно 326,3 млн. планшетных устройств к тому времени сменят владельца. В 2011 г. в мире было продано около 40,5 млн. устройств iPad.

В мае 2011 г. агентство PAC опубликовало результаты опроса руководителей ИТ-отделов и генеральных директоров немецких компаний, посвященного развертыванию планшетных ПК. В исследовании принял участие 151 человек. Обзор подтвердил, что компании высоко ценят мобильные устройства и ожидают, что они сыграют важную роль в развитии корпоративных ИТ-сред. В частности, PAC отмечает высокий потенциал мобильных приложений ERP и CRM. Руководители, принявшие участие в исследовании, полагают, что планшетные ПК способны повысить эффективность работы их сотрудников. Среди компаний-участников опроса самым популярным планшетным ПК стал iPad.

Примерно 70% компаний верят в то, что стратегия Bring Your Own Device (BYOD) может повысить эффективность их работы, а 59% считают, что ее отсутствие лишает организаций конкурентных преимуществ.

Тем не менее, как отмечают в Vanson Bourne, три четверти опрошенных (в конце 2013 года) утверждают, что BYOD принесет значительные преимущества только в том случае, когда есть понимание конкретных требований пользователей и того, как необходимо разграничить их права. Лишь 17% организаций готовы брать под контроль любое пользовательское устройство, идя на поводу у желаний своих сотрудников.

В целом, респонденты назвали четыре положительных изменения для сотрудников: увеличение гибкости рабочего графика, повышение креативности, новаторство и более активное взаимодействие с коллегами. Кроме того, компании, следующие стратегии BYOD, отмечают повышение производительности труда, сокращение времени на реагирование на запросы клиентов и улучшенную операционную эффективность.

BYOD в России

2013

Отношение российского бизнеса к мобильности в целом положительное, возможности и резкий рост эффективности захватывают. Однако тот факт, что в основном мобилизация происходит за счет BYOD в неконтролируемом варианте исполнения, вызывает опасения. Инфографика отражает настроения как работодателей, так и сотрудников[1].

Аналитики обещают, что через год число мобильных сотрудников в мире достигнет 1,3 млрд человек, по приблизительным оценкам, это каждый седьмой житель планеты. Если учесть, что в экономике занято около 70% населения (4,9 млрд человек), то доля мобильного персонала составит чуть менее трети. При этом российский контингент отличается свободомыслием – 47% сотрудников будут использовать мобильные устройства на рабочем месте даже при запрете работодателя.

2011

Центр корпоративной мобильности АйТи провел в конце 2011 года среди руководителей ИТ- и бизнес-подразделений аналитическое исследование, целью которого было выявить текущее состояние, тенденции и перспективы развития рынка корпоративной мобильности в России. Методом исследования было выбрано анкетирование участников конференции «День корпоративной мобильности/Enterprise Mobility Day», организатором которой являлся Центр корпоративной мобильности АйТи. В конференции приняло участие более 150 ИТ- и бизнес-руководителей средних и крупных компаний и организаций, представлявших различные отрасли экономики. К анализу были приняты 102 анкеты, заполненные на более чем 75%, что позволило получить целостную картину затронутой области анализа. Респондентам предлагалось ответить на 23 комплексных вопроса для анализа следующих аспектов использования смартфонов и планшетов в корпоративной среде:

  • Общий взгляд на корпоративную мобильность – востребованность, мотивация, состояние, планы
  • Пользователи и мобильный доступ к корпоративным информационным системам и ресурсам
  • Обеспечение сотрудников мобильными устройствами и средствами доступа к корпоративным информационным ресурсам и системам
  • Факторы, ограничивающие эффективное деловое использование мобильных технологий
  • BYOD − личные мобильные устройства в корпоративной среде
  • Сценарии развертывания корпоративных мобильных приложений
  • Мобильные платформы

Данные исследования подтвердили актуальность вопроса делового применения смартфонов и планшетов в организациях и компаниях. Это не просто дань модным гаджетам, привнесенным в деловую среду топ-менеджерами, а следствие реальных потребностей организаций, в том числе касающихся улучшения коммуникаций (81%) и существующих бизнес-процессов (61%).

В мобильном доступе нуждаются не только руководители организаций (83%) и подразделений (81%), задающие тон в деловом применении современных мобильных устройств. В России отчетливо видна тенденция к формированию категории сотрудников, называемой IDC «мобильными профессионалами» (mobile professionals, по таксономии IDC Worldwide Mobile Worker Population 2009-2013 Forecast). Это сотрудники, которым значимую часть времени приходится работать вне своего рабочего места, и, тем не менее, они нуждаются в обеспечении полнофункционального, своевременного и безопасного мобильного доступа к корпоративным ресурсам.

Результаты опроса показали, что организации уделяют внимание не только смартфонам, но и планшетам. iOS и Android становятся безусловными лидерами среди платформ смартфонов и планшетов. И если еще недавно iPad был де-факто единственным выбором корпоративных пользователей, то сейчас наблюдается тенденция роста доли Android-планшетов (отметили 23% респондентов), которые рассматриваются к применению почти половиной опрошенных организаций.

Разнообразие устройств и платформ, доступных на рынке, в контексте отсутствия актуализированных корпоративных стандартов является самой распространенной причиной, ограничивающей эффективное использование мобильных устройств (50%). Вторым по значимости фактором, препятствующим, по мнению более чем 40% респондентов, эффективному использованию мобильных устройств в корпоративной среде, являются ограничения со стороны информационной безопасности. При этом стоимость устройств в качестве тормозящего фактора отмечают менее пятой части респондентов. Этот пункт оказался лишь на 6-7-м месте вкупе с недостаточной готовностью ИТ/сетевой инфраструктуры.

Средства управления использованием мобильных устройств (MDM/EMM – Mobile Device Management/Enterprise Mobility Management) сегодня использует лишь 4-5% средних и крупных организаций. Внедрение таких средств может оказать решающее влияние на обеспечение легитимности и прозрачного контроля мобильного доступа к корпоративным информационным ресурсам и системам в рамках политик и регламентов, принятых в организации. И более 65% ИТ-руководителей осознают необходимость таких решений, рассматривая возможность или уже планируя соответствующие внедрения в течение ближайшего времени.

«Резюмируя результаты нашего исследования, можно с уверенностью сказать, что тема мобилизации сотрудников организаций и компаний привлекла серьезное внимание ИТ-департаментов и самого бизнеса, зачастую инициирующего такие запросы в отношении ИТ и служб информационной безопасности, – комментирует Сергей Орлик, директор Центра корпоративной мобильности компании АйТи. – Это требует выработки системного подхода к внедрению процессов и решений для „мобилизации` сотрудников и бизнес-процессов. Только так компании смогут эффективно решать задачи оперативного и безопасного мобильного доступа к корпоративным данным».

Cisco Ike: BYOD – это проще, чем вы думаете (BYOD – Simpler Than You Think)

В этом видеосюжете наглядно и с юмором демонстрируется, что преимущества BYOD для бизнеса не просто существенно перевешивают возможные недостатки, но и нивелируют их. Для обеспечения безопасности BYOD-технологии распределяют пользователей по категориям доступа к определенным ресурсам по различным параметрам, создавая условия для комфортного и безопасного управления любым количеством совершенно разных мобильных устройств.

Айк – герой серии роликов, созданных компанией Cisco для популяризации перспективных технологий. Первый ролик с участием этого персонажа вышел весной 2011 года под названием Ike сan do IT. Как в названии ролика, так и в имени героя (Ike Theodore (IT) Willis) обыгрывается тесная связь Айка с миром IT.


Весной 2012 года компания Cisco огласила результаты исследования под названием Cisco IBSG Horizons Study, в ходе которого были опрошены ИТ-директора и руководители 600 компаний в США. Исследование показало, что ИТ-отделы считают приемлемым и порой даже активно поддерживают принцип "Принеси на работу свое устройство" (Bring Your Own Device, BYOD). Опрос выявил как ощутимые преимущества, так и сложности, связанные с использованием сотрудниками собственных устройств мобильного доступа в сетях работодателей. Публикуя результаты исследования, компания Cisco напомнила о своих "интеллектуальных" решениях для предприятий, дающих операторам связи возможноcть обеспечить мобильный доступ заказчикам и конечным пользователям в офисе, дома и в пути.

Многие предприятия, говорится в исследовании, уже дали ход концепции BYOD. Подавляющее большинство (95%) респондентов сказали, что в их организациях сотрудникам разрешено так или иначе использовать собственные устройства на рабочих местах. Исследование также показало, что к 2014 г. на каждого работника умственного труда в среднем будут приходиться 3,3 подключенных устройства (в 2012 г. этот показатель составит 2,8). В таких условиях руководители ИТ-отделов вынуждены балансировать между необходимостью обеспечить, с одной стороны, безопасность информации и сети, а с другой - поддержку применяемых устройств, чтобы за счет BYOD добиться снижения затрат и повышения производительности труда.

Более того, опрос показал, что использование сотрудниками собственных устройств на работе способно обеспечить бизнесу значительные выгоды. Более трех четвертей (76%) опрошенных руководителей ИТ-отделов охарактеризовали BYOD как фактор, в той или иной мере способствующий деятельности их компаний и вместе с тем порождающий немалые трудности для ИТ-специалистов. Все это свидетельствует о том, что применение сотрудниками своих собственных устройств на работе стало необратимым. В связи с этим менеджеры признают необходимость в более всестороннем подходе, допускающем возможность масштабирования и управления мобильностью, безопасностью, виртуализацией и сетевыми политиками, чтобы тем самым сдерживать расходы на управление и при этом обеспечивать оптимальные условия для экономии средств.

Результаты исследования подтверждают точку зрения Cisco о том, что мобильность не может ограничиваться концепцией BYOD и должна предусматривать мобильность операторов связи и предприятий, а также включать решения в области безопасности, совместной работы и виртуализации настольных систем.

Ключевые выводы исследования

Все больше компаний-лидеров в области ИТ и бизнеса одобряют принцип BYOD

  • 95% организаций разрешают своим сотрудникам так или иначе использовать собственные устройства на рабочих местах.
  • 84% респондентов не только позволяют сотрудникам использовать их собственные устройства, но и оказывают определенную поддержку этому.
  • 36% опрошенных предприятий предоставляют полную поддержку устройств сотрудников. Другими словами, они предоставляют поддержку любых устройств (смартфонов, планшетов, ноутбуков и т.п.), используемых сотрудниками на рабочих местах.

Растет применение мобильных технологий и устройств мобильного доступа. В США 78% офисных работников используют устройства мобильного доступа в рабочих целях. 65% офисных работников используют мобильную связь для выполнения работы. Как уже говорилось, к 2014 г. на каждого работника умственного труда в среднем будут приходиться 3,3 подключенных устройства (в 2012 г. этот показатель составит 2,8).

  • В среднем в 2014 г. на различные инициативы по обеспечению мобильности будет расходоваться 20% бюджетных средств ИТ-отдела по сравнению с 17% в 2012 г.

Респонденты отметили два основных преимущества BYOD: повышение производительности труда сотрудников (больше возможностей для совместной работы) и большую удовлетворенность от работы.

Сотрудники хотят работать так, как им удобно. Они приносят на работу собственные устройства для эффективного выполнения своих служебных обязанностей и обеспечения удобства работы.

  • 40% респондентов назвали "свободу выбора устройства" (т.е. возможность использовать избранное устройство в любом месте) своим главным приоритетом в том, что касается BYOD .
  • Следующий по значимости приоритет для сотрудников – гибкость в выполнении своих служебных обязанностей, т.е. возможность работать в любом удобном месте в любое удобное время.
  • Сотрудники также хотят использовать собственные приложения на работе. 69% респондентов указали, что несанкционированные приложения, в частности, облачная электронная почта, приложения для социальных сетей и мгновенного обмена сообщениями, сегодня распространены гораздо больше, чем два года назад.
  • Сотрудники готовы вкладывать свои средства в повышение эффективности и удобства выполнения своей работы. По данным консалтингового подразделения Cisco IBSG, сотрудник компании Cisco, использующий в работе собственные устройства, дополнительно тратит в среднем 600 долларов США.

Преимущества применения концепции BYOD могут быть значительными, хотя и различаются в зависимости от должности и служебных обязанностей сотрудника. По оценкам Cisco IBSG, ежегодная прибыль от BYOD составляет 300-1300 долларов США на одного сотрудника в зависимости от его должности.

Личные мобильные устройства на работе приводят к допрасходам

Большинство организаций, которые используют концепцию BYOD или думают о том, чтобы начать это делать, озабочены тем, что гаджеты сотрудников создают опасную брешь в защите корпоративной сети. К такому выводу пришли в 2012 году эксперты компании Webroot, специализирующейся на компьютерной безопасности. В особенности эта проблема актуальна для маленьких компаний, которые не могут позволить себе серьезные дополнительные траты на безопасность.

В исследовании компании участвовали американские, британские и австралийские компании с числом сотрудников больше 10 человек. Более половины опрошенных компаний заявили, что им приходится справляться с непредвиденными угрозами безопасности, исходящими от частных мобильных устройств. 61% участников опроса заявили, что это приводит к избыточным нагрузкам на ИТ-отделы и, как следствие, сокращению их продуктивности и увеличению затрат.

Проблемы возникают не только с безопасностью, но и с рутинной работой мобильных устройств. Так, 63% компаний пожаловались на то, что сотрудникам постоянно требовалась помощь хелп-деска для ремонта, настройки и управления смартфонами и планшетами. На решение этих проблем у представителей хелп-деска стало уходить больше трети рабочего времени.

Уверенность в том, что мобильные устройства могут нанести ущерб безопасности их компании, высказали 82% респондентов. Страх этот небезоснователен: сотрудники 45% компаний теряли телефоны, содержащие важные рабочие данные, или становились жертвами кражи, а у 24% были обнаружены многочисленные вирусы.

Тем не менее, мобильные устройства остаются приоритетной сферой работы для современных работников, поэтому многие компании предпочли потратиться на дополнительные меры безопасности, а не пресекать BYOD полностью. Установкой мобильной "обороны" после нескольких атак занялись 46% компаний. Однако доступна она оказалась в основном крупным игрокам: почти половина компаний, которые смогли позволить себе мобильную защиту, содержат в штате 100 и более сотрудников. Впрочем, именно крупные компании чаще всего подвергаются атакам – 67% компаний с количеством сотрудников более 100 человек имели те или иные проблемы с мобильной безопасностью.

Потенциальный выход из этой ситуации – централизованно обеспечить сотрудников всеми необходимыми устройствами. Такой подход позволяет не ограничивать мобильность работников, и в то же время контролировать безопасность мобильных устройств.

О развитии концепции BYOD в "ВымпелКоме" рассказывает Ильин Дмитрий , директор по ИТ-инфраструктуре компании. Руководители и сотрудники, которым требуется оперативный доступ к ресурсам компании, обеспечиваются ноутбуками, мобильными устройствами iPhone и BlackBerry, а также устройствами iPad. Все они имеют доступ к корпоративной электронной почте. "Однако до недавнего времени полноценный доступ к внутренним ресурсам компании можно было получить только с корпоративного ноутбука с операционной системой Windows, – уточняет Ильин. – Сейчас в компании внедрена услуга OTP (One Time Password), доступная к заказу для сотрудников компании. Система позволила обеспечить полноценный доступ к корпоративным ресурсам с личных устройств сотрудников под управлением ОС Windows, а также частичный доступ с устройств Android и MAC OS".

В компании инициирован проект под названием Enterprise Mobility, в рамках которого планируется провести адаптацию корпоративных приложений для работы с современными устройствами типа IPad, Samsung Galaxy и другими, обеспечить их владельцев всеми современными возможностями коммуникаций в виде тесно интегрированных между собой систем видеоконференцсвязи, коротких сообщений, мобильной связи, SMS, корпоративной почты, интранета. Ключевой целью проекта является упрощение доступа к корпоративным ресурсам при сохранении высокого уровня безопасности доступа и защите от утечки конфиденциальной информации.

"Для это планируется внедрить решение класса Mobile Device Management, которое позволит управлять устройствами, доступами, приложениями на устройствах, корпоративными данными, гарантировать защищенный доступ к ресурсам и предотвращать утечку конфиденциальной информации, – говорит Дмитрий Ильин. – Параллельно с внедрением соответствующих политик и регламентов, реализация проекта позволит сделать BYOD частью корпоративной культуры компании". Естественно, такой подход означает серьезное перераспределение ИТ-ресурсов в пользу поддержки концепции.

Подобная практика принята в Яндексе. "Основной рабочий инструмент яндексоида – ноутбук, который выдается в первый день работы в Яндексе. Сотрудник может выбрать наиболее удобную для себя модель и операционную систему. С ноутбуком можно работать не только из любого места в офисе, но и при необходимости из дома, или брать с собой в командировку. С рабочего компьютера сотрудники имеют доступ ко всем внутренним корпоративным ресурсам (почте, интранету и т.п.), а также на него устанавливается все необходимое для работы лицензионное ПО. Многим сотрудникам также выдаются смартфоны (можно выбрать из нескольких современных моделей – iPhone, HTC и др.) или планшеты и оплачивается мобильный интернет", – пояснила Элина Ставиская, представитель компании "Яндекс".

Инструкции по безопасности, призванные может помочь бизнесу уменьшить количество угроз, исходящих от мобильных устройств, среди прочего, рекомендуют устанавливать на все личные мобильные устройства, которые будут использоваться в офисе, проверенный корпоративный софт и постоянно обновляемые антивирусные системы. Очень вероятно, что развитие практики BYOD приведет к появлению отраслевых стандартов, рекомендаций по ее реализации. При этом ресурсы технической поддержки будут серьезно перераспределены.

BYOD-Экономия

Согласно исследованиям Gartner, переход на технологии BYOD может помочь компаниям сэкономить до 40% от стоимости затрат на приобретение и техническое обслуживание сотрудников.

Использование в компании технологий BYOD обеспечивает потенциальную экономию на оборудовании, программном обеспечении, инфраструктуре, а также способствует модернизации ИТ-приложений и ИТ-поддержки. Экономия зависит в первую очередь от того, насколько компания хотела бы внести свой вклад в поддержку сотрудников при использовании решений мобильных технологий.

По статистике около 95% организаций разрешают сотрудникам использовать свои мобильные устройства для работы и подключать их тем или иным образом к своей инфраструктуре. При этом 84% организаций оказывают частичную поддержку этих устройств, чаще всего это выполняется без инструментов централизованного управления и не имеет какой-бы то ни было системы.

И всего около 36% компаний оказывают полную поддержку мобильных устройств своих сотрудников. Другими словами, они предоставляют поддержку любых устройств (смартфонов, ноутбуков, планшетов), используемых сотрудниками на рабочих местах.

Перед организацией могут стоять разные задачи, связанные с BYOD, от наиболее простых, например, обеспечение доступом к почте и календарям с мобильных устройств, до комплексной реализации с обеспечением доступа к бизнес-решениям.

Конечно же, решение об оказании компанией полной поддержки мобильности зависит от задач и степени влияния соответствующего сотрудника. Из бесспорных преимуществ использования BYOD можно назвать лучшую интеграцию задач каждого сотрудника в личном времени (баланс работы/жизни).

Альтернативные издержки Экономия
Аппаратные средства Гранты на оборудование; дополнительное страхование оборудования На закупке аппаратных средств
Программное обеспечение Лицензии, Операционная система, антивирусные программы Стоимость участия работников в использовании данных
Инфраструктура и модернизация Средства безопасности, средства управления мобильными устройствами, переход на Cloud-платформу/Browser-платформу / независимые от платформы приложения Снижение затрат на замену оборудования и обновление ПО
ИТ-поддержка Изменение процессов для поддержки нескольких устройств и платформ, обучение сотрудников Снижение стоимости техподдержки, продвижение собственной техподдержки

Источник - Perspektive BYOD. Private Hardware in Unternehmen.

Интенсивное внедрение и использование виртуализации настольных систем

Компании признают важность виртуализации настольных систем. 98% респондентов осведомлены о технологии виртуализации настольных систем. 68% опрошенных согласны с тем, что большинство должностных обязанностей работников умственного труда могут быть выполнены эффективнее в случае виртуализации настольных систем, а 50% упомянули о том, что в их организациях осуществляется виртуализация настольных систем.

Виртуализация настольных систем дает преимущества в трех основных областях, обеспечивая: 1) непрерывность бизнес-процессов, что, в свою очередь, позволяет сотрудникам получать доступ к приложениям в различных точках и с различных устройств (например, даже в случае сбоя в работе сервера), 2) повышение производительности труда сотрудников и 3) сокращение ИТ-расходов.

Защита данных — задача номер один. Обеспечение доступа к конфиденциальным данным компаний и заказчиков только тем, кому нужно, является главным приоритетом.

Облака и стратегия BYOD увеличивают необходимость автоматической IAM системы

Традиционные концепты безопасности периметра и защиты предприятия от проникновения в результате распространения облаков и стратегии BYOD привели к необходимости контроля за доступом к приложениям. И вот здесь в игру вступают автоматические системы аутентификации, авторизации и управления доступом.

Популяризация облачных сервисов в комбинации со стратегией BOYD усложняет права доступа и приводит к необходимости распространить защитные системы за пределы периметра предприятия.

Согласно исследованию, проведенному компанией Symantec и Cloud Security Alliance, 90% организаций признают необходимости контролировать доступ к облачным приложениям, это станет самым главным во внедрении облачных сервисов. Это – самый сложный и дорогостоящий фактор.

Например, представьте, что компания использует Salesforce для своей CRM и предоставляет сотрудникам доступ к системе с их мобильных устройств. Если сотрудник уходит из компании, предприятие должно удалить его учетную запись. Но также необходимо закрыть право доступа к Salesforce, иначе бывший сотрудник сможет получать важную информацию о клиентах. Для большинства организаций это до сих пор является довольно длительным ручным процессом.

Чем больше данных переезжает в облака, тем больше их доступно для доступа с мобильных устройств. Традиционная концепция безопасности посредством защиты периметра становится несостоятельной. Периметр больше не является четко очерченным. И это приводит к необходимости внедрения системы управления аутентификацией и доступом (IAM), которые помогают следить за жизненным циклом учетных записей и контролем доступа.

Ручное управление записями становится невозможным в больших организациях

Чем больше организация, тем сложнее управление учетными записями. Одна финансовая организация, например, имеет 30 тысяч сотрудников и тысячу приложений. Если умножить количество сотрудников на количество учетных записей с правами доступа к этим приложениям, то получите миллионы различных вариантов доступа. За этим совершенно невозможно уследить в ручном режиме.

Предоставление доступа может оказаться достаточно трудоемким, не менее сложно и уничтожение доступа.

Ввод ново сотрудника может занимать пять-шесть дней, это потеря его рабочего времени. В сфере здравоохранения, например – в госпитале может появиться сотни новых резидентов в течении одной недели. Если они не могут создать необходимые учетные записи, что они делают? Врач дает им свой доступ, чтобы они могли работать.

Сложности автоматизированной IAM

В прошлом системы IAM были доступны только большим предприятиям. Совершенно понятно, почему – внедрение системы, которая автоматизирована и дает права доступа – не такая простая задача.

При внедрении были сложности с инфраструктурой, которая содержит множество приложений, систем и сетей. В каждой такой системе есть система безопасности, оптимизированная специально для нее. Внедрение в такую отлаженную систему требует большой и сложной работы, поскольку в каждом случае это затрагивает комбинацию систем в одном процессе. Простая процедура перевода денег требует интеграции четырех приложений, оптимизированных под специфические задачи.

Кроме того, почти каждое действие связано с тем, кто имеет доступ к каким ресурсам, и что он может с ними делать. Сегодня системы IAM также перемещаются в облака и могут быть частью SaaS услуг. И это позволяет даже самым небольшим предприятия пользоваться IAM системами.

Поколение Y высказывается против корпоративной политики, запрещающей BYOD и использование облачных сервисов на рабочем месте

[Fortinet] опубликовала осенью 2013 года результаты глобального исследования, показавшего, что больше половины молодых сотрудников (47% в России) от 21 до 32 лет, принявших участие в опросе, готовы использовать персональные мобильные устройства, облачные сервисы для хранения данных и новейшие технологии, такие как «умные часы», Google Glass, подключенные к интернету автомобили в профессиональных целях вопреки запрещающей это корпоративной политике. В исследовании приняли участие 3200 человек из 20 стран в возрасте от 21 до 32. Опрос проводился в октябре 2013 года. Результаты исследования показали, что число сотрудников, нежелающих подчиняться корпоративным правилам по BYOD, выросло на 42 %, по сравнению с аналогичным опросом Fortinet 2012[1]. Новое исследование также показывает, в какой степени представители поколения Y стали жертвами киберпреступности, насколько молодые участники опроса грамотны в вопросах о современных интернет-угрозах, и как широко они используют личные облачные сервисы для хранения корпоративных данных.

Исследование Fortinet 2013 проводилось с 7 по 13 октября 2013 независимой компанией Vision Critical. В опросе приняли участие 3200 молодых сотрудников от 21 до 32, занятых на полную ставку и имеющих персональный смартфон, планшет или ноутбук. В опросе приняли участие 20 стран: Бразилия, Канада, Чили, Китай, Колумбия, Франция, Германия, Гонконг, Индия, Италия, Япония, Корея, Мексика, Нидерланды, Польша, Россия, Испания, Тайвань, Великобритания и США.

Тенденция нарушения корпоративной политики

Несмотря на то, что опрошенные в России довольно позитивно относятся к политике по BYOD, существующей на сегодняшний день в их компании: 51% участников опроса согласились с тем, что в целом политика по BYOD в их компании положительно влияет на их деятельность, всё же 47% заявили, что готовы использовать персональные мобильные устройства на рабочем месте, даже если работодатель запретит это. Эта тревожная склонность к игнорированию мер безопасности, распространяется и на другие области ИТ. Например, 36% опрошенных в мире, имеющих «личный кабинет» для хранения данных в облаке, и 28% в России заявили, что намерены нарушать любые правила, запрещающие им пользоваться этими услугами в профессиональных целях. Что касается новых технологий, таких как Google Glass и «умные часы», почти половина опрошенных в мире(48%) и 52 % в России ответили, что будут их использовать даже, если будут введены корпоративные правила, запрещающие это.

Растущая популярность технологических аксессуаров

На вопрос о том, как скоро технологические новинки, такие как «умные часы» и Google Glass начнут широко применятся на работе, 16 % опрошенных в мире и 12% в России сказали, что «сразу, как только появятся в продаже, а 33% (39% в России) считают, что это произойдёт, когда эти устройства станут более доступны по цене. Только 8% опрошенных в мире и 4% в России полагают, что эти технологии никогда не будут широко использоваться в профессиональных целях.

Широкое использование «личных кабинетов» в облаке для хранения важных корпоративных данных

89 % участников опроса в мире и 80% в России имеет «личный кабинет», по крайней мере, в одном облачном сервисе для хранения данных. Согласно исследованию, самым популярным сервисом в мире является DropBox (38 %). В России популярность DropBox оказалась намного меньше, только 15% участников заявили, что пользуются этим сервисом. В мире 70% опрошенных (62% в России), имеющих «личный кабинет» в облаке, использовали его для хранения профессиональных данных. 12 % из этой группы хранят в облаке пароли (только 9% в России), 16% - финансовую информацию (11% в России), 22% - критически важные документы такие, как контракты, бизнес-планы (14% в России). В тоже время, треть участников опроса в мире (33 %) и 52% в России хранят в облаке информацию о клиентах.

Почти треть пользователей облачных систем хранения данных в России и в мире (32%), принявших участие в опросе, заявили, что они полностью доверяют облаку. Только 6 % опрошенных в мире и 9% в России сказали, что не доверяют облачным сервисам и не использую их для хранения информации.

Необходимость повышения уровня грамотности сотрудников в области безопасности ИТ

По результатам опроса, больше всего от интернет-угроз страдают персональные ПК и лэптопы. Более 55% участников исследования стали жертвами атак на персональные компьютеры или ноутбуки. В 50% случаях атаки заканчивались хищением личных и корпоративных данных, а также оказывали отрицательное влияние на производительность. В России более 68% опрошенных пользователей признались, что на их персональные компьютеры и лэптопы осуществлялись нападения. Атаки были гораздо менее частыми на смартфоны (19% в мире и 30% в России). Похожий процент наблюдался для планшетов (19% в мире и 24% в России).

Согласно исследованию, 14% респондентов в мире и 24% в России заявили о том, что не станут сообщать работодателю о том, что они столкнулись со взломом и хищением корпоративных данных.

Исследование также показало большой разброс результатов в ответах, определяющих уровень знаний респондентов о современных интернет-угрозах. 27% опрошенных в мире и в России сказали, что знакомы с основными угрозами, но не очень углублялись в сюжет. До 52% опрошенных в мире и до 55% в России признались, что ничего не знают о APT, DDOS или ботнетах. Это показало необходимость инвестиций в обучение персонала в этой области.

Этапы введения стратегии BYOD

Компания Solutionary, поставщик услуг управления безопасностью, указала основные этапы введения стратегии BYOD в своем отчете «Threat Report» 2013 г. Невыполнение этих правил неизбежно ослабит защиту всей корпоративной сети. Предложенная поэтапная схема начинается с выработки политики и включает обучение пользователей, соблюдения правил и внедрение мобильного антивируса в той или иной форме. Должна быть также введена политика, обеспечивающая шифрование данных и удаленное стирание, указывает Solutionary. SANS Institute, занимающийся изучением вопросов безопасности и обучением в этой области, предлагает шаблоны политик безопасности для мобильных устройств, которые могут быть взяты за основу. (Источник: Роберт Уэстервельт, CRN/США)

Сначала анализ

Организации не смогут выстроить эффективную защиту корпоративной сети, если не поймут, что именно нужно защитить, указывает Solutionary. Тщательный анализ поможет выявить все типы устройств, уже используемых служащими, и внутрикорпоративные системы и данные, к которым они обращаются. После того как получена ясная картина, можно формулировать политику, не забыв привлечь юрисконсульта. Поддержка со стороны руководства жизненно важна для успеха политики и ее эффективности, подчеркивают эксперты.

Перед разработкой стратегии потенциального внедрения и применения BYOD, необходимо провести детальный анализ преимуществ и недостатков решения.

Обычно общие Pro-аргументы сводятся к экономии времени, простоте в обращении, или доступу в любом месте. Под Contra-аргументами обычно выступают более высокие расходы на управление доступом к сети, комплексное соответствие правовым и корпоративным нормам, и на обеспечение безопасности, так как подобный подход требует не только единой стратегии, но и повышенной информационной безопасности, связанной с необходимостью разграничить на одном устройстве деловое и личное пространство сотрудника.

Данный анализ, ориентированный на процесс, должен быть дополнен анализом затрат и выгод и расчета возврата инвестиций (ROI). Который включает в себя затраты на время администрирования, стоимость лицензий программного обеспечения, возможные затраты на аппаратные средства. Поскольку в рамках проекта BYOD новые устройства, приложения и процессы всегда необходимо обновлять и адаптировать для использования под конкретную компанию. После чего следует разрешение правовых вопросов, особенно в отношении защиты данных сотрудников.

Подготовьте пользователей

Политику BYOD необходимо довести до сведения персонала. Это означает обучение, желательно систематическое, всестороннее описание характера угроз, которым подвержены данные на смартфонах и планшетах. Хотя основное внимание будет направлено на корпоративные данные, эксперты полагают, что такое обучение поможет защитить самих служащих, в том числе и дома, от киберпреступников, а значит, создать более сильную линию обороны в целом.

Не забывайте про обновления

Как только появится обновление микропрограммного обеспечения для ПЗУ или сервисный пакет для приложения или ОС, необходимо установить их как можно скорее. Установка патчей на мобильные устройства столь же важна, как и на персональные ПК и серверы, пишет Solutionary. Возможно даже, что организациям придется пойти на ограничение спектра поддерживаемых устройств, чтобы обеспечить своевременную установку всех обновлений.

Запретите перепрошивку

Перепрошитый смартфон или планшет позволит его владельцу установить нештатную ОС и программы, не прошедшие проверку у Apple или Google. Оценки экспертов варьируются, но большинство уверены, что небольшая часть пользователей делают перепрошивку своих устройств. Microsoft Exchange ActiveSync не располагает средствами обнаружения, но организации могут использовать тот или иной пакет MDM (администрирования мобильных устройств), если хотят защитить себя с этой стороны. Как минимум, такой запрет перепрошивки ограничивает использование сторонних приложений и доступ к сети и требует ввода PIN или пароля для разблокировки устройства, пишет Solutionary.

Ограничьте доступ к сети

Solutionary рекомендует организациям ввести контроль сетевого доступа (NAC), ограничив подключение устройств отдельными сегментами сети или виртуальной ЛВС (VLAN). Разрешайте только минимум требуемого доступа, чтобы максимально исключить потери конфиденциальных данных, пишет фирма.

Удаленное стирание - необходимость

Потерянный или украденный смартфон либо планшет становится угрозой безопасности намного более опасной, чем вредоносное ПО или утечка данных, пишет фирма. Возможность дистанционно стереть данные на устройстве - безусловный минимум мер безопасности. Для этой цели можно использовать функции, уже встроенные в Exchange ActiveSync (EAS). Кроме того, с их помощью можно потребовать от пользователей ввести PIN на устройстве и заставить регулярно его менять.

Безопасность при использовании BYOD

2014

42% компаний теряют свыше $250 тыс. от инцидентов мобильной безопасности

Компания Check Point Software Technologies опубликовала в октябре 2014 года исследование по мобильной безопасности. Согласно ему, 95% опрошенных ИТ-специалистов сталкиваются с трудностями при обеспечении защиты и поддержки концепции BYOD. Это подчеркивает потребность в более надежных решениях для обеспечения безопасности личных устройств, привязанных к корпоративным сетям.

Исследование Check Point «Влияние мобильных устройств на информационную безопасность» основано на опросе почти 800 ИТ-специалистов в США, Австралии, Канаде, Германии и Великобритании. Полученные данные подчеркивают нарастающую проблему, связанную с передачей важной корпоративной информации за пределы корпоративной среды. Отчет детально рассматривает потенциальные угрозы мобильной безопасности, возникающие из-за недостаточной осведомленности сотрудников в области ИБ и отсутствия должного обучения.

Основные выводы:

  • Самые большие угрозы находятся внутри самих организаций — 87% опрошенных профессионалов уверены, что самая большая проблема в области безопасности мобильных устройств заключается в беспечности самих сотрудников. Практически две третьих респондентов уверены, что последние громкие утечки данных связаны с небрежностью сотрудников.
  • В корпоративных сетях продолжается распространение личных мобильных устройств — Несмотря на небрежность сотрудников, обеспечивающую злоумышленникам самый простой доступ к корпоративным данным, 91% ИТ-профессионалов отметили увеличение количества личных мобильных устройств, подключающихся к сетям организаций за последние два года. В 2014 году 56% респондентов управляли корпоративными данными на личных устройствах сотрудников, тогда как в 2013 году таких было 37%.
  • Ожидается рост количества инцидентов мобильной безопасности — 82% ИТ-профессионалов ожидают рост количества инцидентов безопасности в 2015 году. В дополнение к этому 98% выразили свои опасения в связи с влиянием инцидентов мобильной безопасности, особенно отмечая потерю и кражу информации.
  • Стоимость мобильных инцидентов безопасности продолжит расти — 2014 год показал увеличение стоимости ликвидации последствий мобильных инцидентов безопасности. 42% из принявших участие в опросе профессионалов отметили, что их организациям мобильные инциденты стоили свыше $250 000.
  • Android по-прежнему рассматривается как платформа с наибольшими рисками безопасности — Доля рисков для Android увеличилась с 49% в 2013 году до 64% в текущем году. Таким образом, эта платформа отличается максимальным уровнем рисков по сравнению с Apple, Windows Mobile и Blackberry.


75% приложений на гаджетах сотрудников опасны для работодателей

Более 75% мобильных приложений не удовлетворяют базовым требованиям корпоративной безопасности, сообщила исследовательская компания Gartner. Аналитики предупредили, что такая ситуация сохранится как минимум до конца 2015 г[2].

В компании прогнозируют, что в 2014 г. пользователями во всем мире будет загружено на мобильные устройства почти 139 млрд приложений. К 2017 г. это значение вырастет почти до 269 млрд.

Свыше 90% предприятий, внедряющих стратегию BYOD, пользуются сторонними мобильными приложениями. Поэтому так важно использовать механизмы проверки этих приложений, подчеркнул эксперт.

Аналитики поясняют, что сегодня разработчики в основном посвящают свое время функциональности мобильных приложений и не уделяют внимания их безопасности. Поэтому риски, связанные с использованием таких программ, обусловлены по большей части не действиями злоумышленников, а отсутствием в этих приложениях какого бы то ни было бережного отношения к данным.

Согласно Gartner, в период до 2017 г. включительно 75% нарушений защиты мобильных приложений будут связаны с неправильной работой этих приложений, а не с атаками на мобильные устройства. В качестве примера аналитики приводят приложение для доступа к какому-либо бесплатному облачному сервису, в которое случайно могут попадать корпоративные данные, хранящиеся на смартфоне. Такая ситуация может привести к утечке коммерческих секретов.

2015

Спешка при внедрении "облаков" и BYOD идёт в ущерб безопасности

Внедрение технологий "облаков" и BYOD ослабляет уровень информационной безопасности корпоративных систем, делает их более уязвимыми. Это отметили три четверти опрошенных компанией Trustwave ИТ-специалистов[3].

54% из опрошенной компанией Trustwave тысячи респондентов сообщили о повышенном давлении на ИС своих организаций, а 57% ожидают, что давление в этой части будет нарастать. При этом, в сегменте крупного бизнеса процент респондентов, выразивших опасение роста киберугроз в 2015 году выше – 64%, в среднем и малом бизнесе - 48%. Наиболее значимая группа респондентов (84%) опасается репутационных и финансовых последствий, прежде всего, которые могут повлечь за собой инциденты в сфере информационной безопасности.

В отчете сказано, что внедрение развивающихся технологий вроде "облака" и BYOD заставляет повышать уровень информационной безопасности. При этом респонденты указали на вынужденную необходимость запуска облачных и мобильных проектов, невзирая на существующие в сфере ИБ проблемы. Три четверти респондентов отметили, что их вынуждают запускать ИТ-проекты, незрелые с точки зрения информационной безопасности.

Джон Амарал (John Amaral), старший вице-президент Trustwave, подчеркнул: "Исследование показало, что специалисты по ИБ под давлением бизнеса или вследствие нехватки ресурсов зачастую принимают не те решения, которые считают правильными".
«Действительно, решение по срокам и самому факту переноса сервисов в облака и использованию личных устройств сотрудников чаще всего является решением руководства компаний, – отметил Николай Остаполец, директор департамента комплексных решений компании «Информзащита». – Эти технологические изменения приводят к серьезному увеличению границ защиты информации. Отсутствие достаточного времени на подготовку и проектирование систем защиты заставляет применять в большей степени административные ограничительные меры по работе с информацией, что мешает в полной мере использовать преимущества облачных и мобильных технологий».

Респонденты отметили проблемы, как несоответствие числа сотрудников, занятых в проблемах информационной безопасности, рост числа киберугроз, давление со стороны топ-менеджмента, требующего защиты данных несмотря на нехватку ресурсов. 70% респондентов считают действующую защиту от кибератак надежной, но 84% хотели бы увеличить штат специалистов по информационной безопасности. Более половины не против удвоить команду ИБ, а треть желает её четырехкратного роста.

«Kaspersky (ранее Лаборатория Касперского)» провела опрос в российских компаниях и, согласно этим сведениям, облачные технологии в России более популярны, нежели в среднем в мире:

  • 56% российских компаний используют серверную виртуализацию,
  • еще 8% планируют ее внедрение в течение ближайшего года.
  • виртуальные рабочие станции (VDI) внедрили в четверти компаний,
  • 14% планируют сделать это в ближайшее время.

С защитой такой инфраструктуры дела обстоят заметно хуже, как показал опрос:

  • 18% российских компаний приняли все меры для обеспечения информационной безопасности облачных сред,
  • 65% организаций частично внедрили защиту,
  • 14% компаний пока об этом не думают.

Относительно защиты мобильных устройств, то, согласно опросу «Лаборатории Касперского»:

  • 31% российских компаний в 2014 году защите устройств уделил внимание с помощью систем контроля безопасности (Mobile Device Security Technologies),
  • 24% планировали внедрение подобных решений в течение 2015 года
  • 14% использовали MDM-системы (Mobile Device Management),
  • 16% компаний планировали их внедрение в будущем.

Статистика угроз для мобильных устройств согласно «Лаборатории Касперского» за 2014 год выявила более 4,5 млн вредоносных программ для операционной системы Android.

«Безопасность облачных сред и носимых устройств беспокоит российские компании все больше, что напрямую связано с увеличением уровня проникновения технологий виртуализации и BYOD в ИТ-инфраструктуру компаний», – резюмирует Денис Легезо, антивирусный эксперт «Лаборатории Касперского».

Способы укрепления безопасности при использовании BYOD

Если вы собираетесь позволить сотрудникам компании использовать для работы собственные устройства, необходимо предпринять некоторые шаги по обеспечению безопасности. В этом вам помогут следующие 10 советов.

  1. Наймите консультанта по безопасности с опытом работы в области мобильных технологий. 92 процента брешей в безопасности обнаруживается третьими лицами. Хороший консультант сможет не только укрепить вашу безопасность, но и поможет найти решения, о которых вы даже не подозревали.
  2. Установите MDM/MAM-ПО (mobile device management и mobile application management) для управления мобильными устройствами и их безопасностью. Это крайне мощное ПО, способное достаточно тонко управлять настройками безопасности. Такое ПО выпускают несколько вендоров, посоветуйтесь с представителями других компаний, выберите подходящее решение.
  3. Требуйте подключения через VPN для всех устройств. Это стандартная практика. Если у вас в компании она не применяется, пора приступать. Консультант по безопасности должен быть способен помочь вам подобрать необходимое аппаратное и программное обеспечение для обеспечения работы VPN.
  4. Требуйте блокировать устройства надежными паролями. Вы будете удивлены, когда узнаете, как много людей не защищает свои устройства даже простыми паролями.
  5. Требуйте осуществления шифрования данных на устройствах. Чтобы получить доступ к корпоративным данным со своих устройств, сотрудники должны предварительно настроить на них шифрование. Все данные скачиваемые на пользовательское устройство должны храниться на нем в зашифрованном виде.
  6. Требуйте установки антивирусного ПО. Вполне очевидная рекомендация. Нельзя использовать компьютеры без какой-либо защиты от вредоносного ПО. Вы можете требовать от сотрудников установки одобренного компанией антивирусного ПО.
  7. Внедряйте листы контроля доступа и брандмауэры. Это может показаться слишком сложным, но на самом деле тут все достаточно просто. Хороший консультант по безопасности поможет вам закрыть нежелательный доступ к важным данным и файлам.
  8. Контролируйте доступ к файлам. Любое обращение к ценным файлом должно быть зафиксировано и отмечено. Включая автоматические обращения со стороны сервисных процессов, таких как SFTP.
  9. Настройте оповещения о подозрительной деятельности. На основе логов доступа, о которых говорится в пункте 8, настройте оповещения неавторизованных попытках получения доступа и другой подозрительной активности. Часто при атаках хакеры стараются удалять логи, отсутствие лог-файлов также должно служить причиной для поднятия тревоги.
  10. Установите ограничение на скачивание и установку программ. Программы должны скачиваться и устанавливаться либо с одного проверенного ресурса, либо с собственного хранилища приложений компании. Многие сайты, распространяющие приложения не следят за наличием среди них вредоносного ПО. Сотрудники компании должны устанавливать приложения только из надежных источников. Лучший способ защиты в данном случае – собственное средство распространения ПО.



97% прорывов безопасности можно было бы избежать при условии обеспечения базовых (надежные пароли, антивирусное ПО) и более продвинутых (брандмауэры, VPN) мер.

Рекомендация от BalaBit:

  • Внедряйте ИТ-политики, не позволяющие пользователям делиться логинами и паролями. Даже если пароль был изменен в кратчайшие сроки после предоставления доступа коллеге, безопасность корпоративной сети может быть скомпрометирована.
  • Если сотруднику нужно выполнить задачу от имени другого лица, необходимо провести дополнительную подготовку. Предоставьте «заместителю» временный доступ к соответствующей учетной записи или используйте цифровое хранилище данных для входа в сеть. Это позволит защитить учетные данные пользователя (пароли, частные ключи, сертификаты) при доступе к нужному серверу, даже в случае использования общих учетных данных (например, root).
  • Убедитесь, что политики компании позволяют выполнять работу в безопасном режиме, ведь усилия, затраченные на предотвращение утечек данных, будут значительно меньше, чем на минимизацию рисков для бизнеса и компенсацию последующих репутационных потерь.
  • Требуйте использования безопасного доступа (через VPN, SSL или в режиме бастиона), а также аутентификации, если вход в сеть происходит с незарегистрированного устройства.
  • Отслеживайте действия пользователей в реальном времени и устанавливайте оповещения (или блокируйте сессию) при обнаружении подозрительной активности в сети. В отличие от многослойного контроля, использование мониторинга поможет предотвратить утечки данных, выявляя нетипичные действия пользователей.

Использование сотрудниками собственных устройств сопряжено с некоторыми сложностями, такими как обеспечение безопасности и ИТ-поддержка

Основными проблемами BYOD респонденты назвали обеспечение безопасности/конфиденциальности и необходимость ИТ-поддержки множества мобильных платформ.

Растущее число устройств требует новых политик и подхода, обеспечивающего контроль над уровнем расходов. По данным Cisco IBSG, только 14% затрат BYOD связаны с оборудованием. Консалтинговое подразделение Cisco отмечает также важность выбора верных моделей управления и технической поддержки для контроля над этими затратами.


78% руководителей высшего звена из Европы и США сообщают о том, что их сотрудники используют свои персональные устройства для работы, — таковы итоги исследования, проведенного летом 2012 года аналитиками Forrester Consulting по заказу Trend Micro. Эти результаты подкрепляются выводами другого исследования, выполненного специалистами Decisive Analytics при поддержке Trend Micro. Все собранные данные говорят о том, что консьюмеризация в той или иной мере затронула все компании, а риски, которые она несет для информационной безопасности, осознаются на самом высоком уровне бизнес-руководства.

Исследование, проведенное Forrester Consulting, показало, что программы в сфере консьюмеризации реализуются большинством (78%) компаний. При этом 60% респондентов сообщили о том, что основой их стратегии BYOD стали смартфоны, а 47% компаний развертывают среды BYOD на основе ноутбуков и планшетных ПК. В качестве причин внедрения программ BYOD 70% респондентов назвали возможность повысить эффективность работы сотрудников.

Вместе с тем, исследование Mobile Consumerization Trends & Perceptions показало, что подавляющие большинство (83%) компаний, реализующих программы BYOD, в качестве меры предосторожности требуют от сотрудников устанавливать на свои персональные устройства защитное ПО. Кроме того, согласно данным Trend Micro, 86% руководителей по ИТ из США, Великобритании и Германии считают защиту данных на смартфонах «проблемой номер один» в том, что касается консьюмеризации.

Все исследователи сходятся во мнении, что сегодня консьюмеризация является повседневной реальностью большинства крупных компаний. Авторы отчета Mobile Consumerization Trends & Perceptions приводят следующие цифры: в половине (47%) компаний, разрешающих сотрудникам подключать свои персональные устройства к корпоративной сети, имели место случаи утечки данных. Как правило, при обнаружении подобных проблем первой мерой защиты является изменение протоколов безопасности. В качестве корректирующих мер компании выбирают наложение ограничений доступа (45% респондентов) и установку защитного ПО (43% респондентов). 12% компаний после подобного инцидента приняли решение о сворачивании программы BYOD до тех пор, пока не убедятся в надежности мер защиты.

10 мифов о BYOD и мобильной безопасности

Проблемы, рожденные приходом BYOD (использования личных устройств для работы), нельзя решить средствами одних лишь ИТ. Эксперты помогают развеять некоторые ложные воззрения в этой области. (Роберт Уэстервельт, CRN/США)

Организации стремятся ограничить доступ с личных устройств, чтобы защитить корпоративные данные, но главное, что требует внимания, это риск потери самого устройства и вероятность того, что, слишком ограничив свободу служащих, можно снизить продуктивность их работы. К таким выводам приводят результаты исследования «BYOD & Mobile Security 2013», проведенного Сообществом информационной безопасности (Information Security Community) на сайте LinkedIn по заказу фирмы Lumension Security Inc.

ИБ-компании, такие как стартап Bluebox, говорят, что организациям лучше взглянуть на новые методы защиты мобильных устройств, а не применять традиционные технологии в изменившихся условиях.

Рассмотрим некоторые мифы, касающиеся BYOD и мобильной безопасности, а также рекомендации экспертов в этой области: как не только лучше защитить устройства в организациях, но и обеспечить конфиденциальность самих служащих.


В конце 2013 года «Kaspersky (ранее Лаборатория Касперского)» совместно с аналитическим агентством B2B International провела исследование с целью выяснить отношение компаний к политике Bring Your Own Device (BYOD) — использованию личных устройств на работе. Исследование показывает, что почти две трети российских компаний приветствуют или не ограничивают использование сотрудниками мобильных устройств в рабочих целях.

Согласно полученным результатам, представители российских компаний реже своих зарубежных коллег видят угрозу для бизнеса в использовании личных устройств сотрудников в рамках корпоративной инфраструктуры. Немногим больше половины респондентов (57%) признали тенденцию BYOD угрожающей, в то время как во всем мире этот показатель составил 65%, рассказали CNews в компании.

На основании остальных данных эксперты «Лаборатории Касперского» пришли к выводу, что российские предприниматели на данный момент испытывают смешанные чувства насчет BYOD. С одной стороны, они понимают, что использование мобильных устройств сотрудниками во многих случаях повышает эффективность работы — 29% компаний всячески приветствуют эту тенденцию. С другой стороны, связанные с BYOD угрозы настораживают 32% предприятий, которые стараются всячески ограничить количество используемых личных устройств. Полный же запрет на смартфоны, планшеты и ноутбуки наложен в 6% компаний. В первую очередь, это основано на опасении потерять важные корпоративные данные — 42% опрошенных считают это главным риском, связанным с BYOD.

MDM угрожает приватности

Когда служащий узнаёт, что в организации действует система управления мобильными устройствами (MDM), требуя использовать PIN-код или функцию удаленного стирания, у него может возникнуть вопрос: до какой степени ИТ-персонал контролирует его устройство? По мнению Bluebox, правильное внедрение MDM не может переступать границы приватности: оно не должно отслеживать все действия на личном устройстве или считывать личные данные, и этот факт следует донести до всех служащих.

Самое опасное - это вредоносное ПО

Согласно исследованию на сайте LinkedIn, в котором приняли участие 1600 ИТ-администраторов, потеря данных - гораздо более опасная угроза для организаций (так считают 75% респондентов против 47% соответственно). Потеря или кража мобильного устройства неизменно выступает как главная угроза в большинстве исследований на эту тему. Исследования F-Secure, McAfee, Symantec и других, посвященные мобильному вредоносному ПО, показали, что главными его источниками являются Азия, Россия и Восточная Европа, и чаще всего оно выступает в форме троянских SMS-сообщений, которые взимают повышенную плату без предупреждения.

MDM исчерпывает задачи мобильной безопасности

MDM дает организациям больше контроля над личными устройствами служащих и их доступом к корпоративной сети. Но конечной целью мобильной безопасности должна стать всеобъемлющая защита данных, подчеркивает Bluebox, поскольку данные легко перемещаются с устройств через приложения в облако, оставляя на пути свои многочисленные копии. Эксперты указывают, что шифрование данных и более совершенные системы предоставления ресурсов смогут повысить уровень безопасности.

MDM широко используется

Gartner, Forrester Research и другие аналитические фирмы насчитали более двух десятков вендоров MDM, соперничающих за долю рынка. Однако эксперты говорят, что большинство из них предоставляют лишь базовые меры безопасности. С другой стороны, удаленное стирание и принудительное использование паролей можно обеспечить через сервис мобильной синхронизации ActiveSync, который предлагает Microsoft. Примерно 60% организаций не внедрили стратегию BYOD, как следует из ответов в опросе на LinkedIn, а четверть опрошенных говорят, что такие политики и процедуры только начинают у них разрабатываться.

Запрет BYOD гарантирует безопасность

ИТ-администраторы указали, что 28% всех корпоративных данных вызываются с мобильных устройств, и к этим данным могут обращаться свыше 50 тыс. офисных прикладных программ вне зависимости от того, предназначены ли они для мобильных устройств. Фирма Bluebox подчеркивает: организациям следует тщательно проанализировать возможные слабые места в их базовых информационных системах, к которым могут обращаться офисные приложения.

BYOD - это нечто новое

Учебные заведения, включая университеты, сталкиваются с явлением под названием «BYOD» уже многие годы и успели выработать ряд методов и политик, чтобы поставить границы. Исследование компании Bradford Networks, в котором приняли участие более 500 ИТ-специалистов из колледжей, университетов и школьных округов K-12 (в США), показало, что управление доступом к сети (NAC) является важной составной частью их стратегии безопасности мобильных устройств. Почти 90% опрошенных в сфере высшего образования разрешают использование личных устройств, а 56% говорят, что их политика в BYOD автоматизирована посредством NAC.

Организации создают витрины приложений

Некоторые платформы MDM позволяют организациям управлять корпоративными витринами, используя «белые списки» сторонних приложений и публикуя собственные бизнес-приложения для доступа к корпоративным ресурсам. И всё же, исследование на LinkedIn показало, что лишь 41% организаций создают мобильные приложения для своих служащих, и лишь 18% планируют делать это в будущем.

Внедрение контейнеров гарантирует защищенность

Дэниел Броди, исследователь в области ИБ из фирмы Lacoon Mobile Security, представил доклад на конференции BlackHat Europe, где показал, как можно обойти контейнеры, используя инструменты слежения, внедренные в устройство жертвы. Вредоносное ПО для ПК уже задействует приложения и компоненты браузера, использующие контейнеры или «песочницу», чтобы добраться до данных. К сожалению, вынуждена признать Bluebox, нет абсолютно надежного способа прочно запереть корпоративные данные.

Главное - больше контроля

Почти 60% пользователей «обходят» функции мобильной безопасности, потому что они снижают продуктивность их работы, как показал опрос на LinkedIn. Эксперты рекомендуют найти верный баланс в вопросе разрешений и запретов. В сегодняшнем мире, где начинает править пользователь, средства безопасности должны быть нацелены исключительно на корпоративные данные, подчеркивает Bluebox.

DLP защитит и мобильные устройства

Система предотвращения потери данных (DLP) предусматривает: либо все данные могут проходить только через фиксированный периметр, либо на терминальном устройстве запускается тяжеловесное ПО. Ни тот, ни другой подход не работает, когда корпоративные данные поступают откуда угодно и отправляются куда угодно, говорит Bluebox. В новой ситуации организациям следует рассмотреть новые подходы, а не слепо применять традиционные технологии защиты. Отдел ИБ должен рассматривать управление данными, где бы они ни находились, как первую линию обороны, подчеркивает Bluebox.

КПМГ: Мобильная безопасность: от риска к выручке

Широкое распространение мобильных сервисов наряду с достаточно частыми инцидентами в области информационной безопасности заставляют задуматься о том, какие риски угрожают конфиденциальности личной и корпоративной информации. Пользователи мобильных устройств хотят быть уверены в том, что их информация защищена. 62% потребителей товаров и услуг признались, что опасаются утечки персональных данных.

Ежегодные потери мировой экономики от кибератак на пользователей оцениваются в более чем 110 млрд долларов США; в России эта цифра превышает 1 млрд долларов США (столько же в Японии и Австралии, в Европе – 13 млрд, в США – 38 млрд). При этом именно в России больше всего жертв киберпреступлений – 85%, на втором месте Китай (77%), на третьем – ЮАР (73%) (Отчет компании Norton «Norton Cybercrime Report 2013»).

Помимо личной информации, такой как контакты, номера банковских карт, адреса электронной почты, фотографии и прочее, мобильные устройства, став частью ИТ-инфраструктуры организаций, содержат также важную корпоративную информацию, обеспечивают доступ к данным, циркулирующим внутри сетей компании. Все чаще организации разрешают сотрудникам использовать свои личные мобильные устройства для работы с корпоративными данными и программами (BYOD – Bring your own device). УAT&T Inc, например, в период с 2007 по 2012 год рост беспроводного трафика составил 20 000%, в первую очередь за счет универсального использования смартфонов.

В более чем 90% компаний, опрошенных Лабораторией Касперского (2 895 интервью, из них 356 – из России), в течение прошедших 12 месяцев как минимум один раз случались инциденты, связанные с проблемами информационной безопасности. 65% опрошенных видят основную причину именно в использовании личных мобильных устройств в корпоративных целях. Меньше всего среди тех, кто обеспокоен развитием BYOD, россиян – 57% (для сравнения, в Японии 93%) (Отчет Лаборатории Касперского «Global corporate IT security risks 2013»).

Бесконтрольно устанавливая мобильные приложения, соглашаясь с условиями лицензионных соглашений, при этом не читая их, переходя по ссылкам от неизвестных людей или в социальных сетях, считывание QR-кодов в лифтах, журналах, с сайтов и других источников, люди создают угрозу тем данным, к которым имеется удаленный доступ у данного устройства. Очевидно, что бизнесу необходимо решать вопросы, которые возникают из-за повсеместного распространения мобильных устройств. Организациям нужно разрабатывать и применять достаточно строгие политики, направленные на снижение вероятности реализации тех или иных рисков утечки корпоративных данных. Должны внедряться функции безопасности для мобильных устройств, в том числе их обязательная защита с помощью паролей и принудительного стирания информации в удаленном режиме, что позволит удалять конфиденциальную информацию в случае кражи или утери. По итогам 2012 года такими развернутыми политиками безопасного использования мобильных устройств внутри корпоративной сети обладают только 14% компаний. 20% российских респондентов сообщили, что в их компаниях вообще нет политик по информационной безопасности, у 46% не хватает времени и бюджетов на их детальную проработку, 34% считают, что их политики детально проработаны (Отчет Лаборатории Касперского «Global corporate IT security risks 2013»).

Многие пользователи даже не представляют, что в компании существуют правила использования мобильных устройств: так, 36% утверждают, что в их компании нет правил, касающихся применения персональных устройств в рабочих целях. 49% респондентов используют служебные устройства для отправки личных электронных писем, 24% пользователей хранят личные и служебные файлы на одном и том же аккаунте (Отчет компании Norton «Norton Cybercrime Report 2013»).

Спрос на сервисы в области информационной безопасности может создать «тепличные» условия для развития инновационных решений. Для выживания в долгосрочной перспективе телекоммуникационным операторам, помимо услуг по передаче того или иного вида трафика, необходимо предлагать также «умные сервисы». Это могут быть услуги по идентификации мошеннических транзакций с мобильного устройства, услуги по идентификации подозрительного вредоносного поведения мобильных приложений, в том числе отправление личных данных третьим лицам. Также это могут быть сервисы по управлению личными идентификационными данными, учетными записями, паролями. Операторы могут предлагать своим корпоративным клиентам услуги по анализу трафика, идентификации утечек данных, активности вредоносного программного обеспечения, компьютерных атак и угроз безопасности в нем. Кроме того, партнерства телекоммуникационных операторов и компаний сектора информационных технологий имеют возможность предлагать клиентам услуги по разработке решений по созданию безопасной ИТ-инфраструктуры, позволяющей осуществлять распределенную работу и передачу корпоративной информации, не беспокоясь о ее безопасности.

Согласно исследованию КПМГ, среди конкретных шагов, которые способны значительно снизить риски использования мобильных устройств в корпоративных целях руководители ИТ-подразделений американских и европейских компаний отметили: возможность удаленной блокировки и уничтожения данных в случае, если устройство потеряно или украдено (83%); возможность шифрования данных на устройстве (76%); шифрование почтовых сеансов, трафика для конкретных приложений, или мобильный VPN (71%).

Oracle: вопросы безопасности сдерживают развитие концепции BYOD в Европе

Корпорация Oracle опубликовала в марте 2014 года отчет Oracle European BYOD Index Report, раскрывающий текущее отношение представителей бизнеса в Европе к концепции BYOD.

В отчете приведены некоторые впечатляющие цифры:

  • 44% (около половины) европейских компаний в настоящее время не одобряют концепцию BYOD или допускают ее применение лишь в исключительных обстоятельствах
  • В 29% компаний устройства BYOD используются только руководителями
  • В 22% компаний категорически запрещено размещение данных или информации на устройствах BYOD, а в 20% компаний нет никаких правил
  • Более половины компаний не управляют смартфонами в рамках программы BYOD
  • Безопасность информации является самой серьезной заботой — респонденты обеспокоены защитой устройств (45%), приложений (53%) и данных (63%)

Результаты исследования также свидетельствуют о том, что многие из этих опасений связаны с недостаточной осведомленностью о возможностях современных решений для обеспечения безопасности:

  • 37% респондентов никогда не слышали о контейнеризации (разделении корпоративных и персональных данных)
  • Почти треть респондентов не используют технологии Mobile Device Management
  • 22% респондентов никогда не слышали о технологиях Mobile Application Management
  • Сторонники концепции BYOD имеют более широкие взгляды, используя планшетные компьютеры и смартфоны как устройства BYOD, они успешно справляются со многими проблемами обеспечения безопасности и готовы к к значительному развитию этой концепции в будущем

«По-видимому, проблема обеспечения безопасности заставляет многие организации в Европе отказываться от концепции BYOD и сопротивляться ее развитию, — отметил Сухас Улияр, вице-президент Oracle по направлению Mobile Strategy Product Management. — Однако, такие технологии, как контейнеризация, полное шифрование и управление устройствами и приложениями, интегрированное с единым корпоративным хранилищем идентификационной информации, уже сегодня доступны в портфолио мобильных технологий Oracle и развертываются крупнейшими организациями мира из списка Global Fortune 100. Такие технологии способны защитить среды BYOD и COPE (персональное использование сотрудниками устройств, принадлежащих компании, в том числе в личных целях). Необходимо, чтобы участники экосистемы BYOD разъясняли это своим компаниям. Это может привести к значительному росту количества европейских организаций, которые реализуют преимущества BYOD».

В рамках исследования Oracle European BYOD Index аналитическая фирма Quocirca по поручению Oracle провела опрос среди 700 европейских компаний в отношении концепции BYOD (Bring Your Own Device, использование сотрудниками собственных устройств для выполнения рабочих задач). Во многих регионах наблюдается сдерживание реализации этой концепции, вызванное главным образом обеспокоенностью вопросами защиты бизнес-данных и идентификационной информации пользователей на устройствах, а также безопасности приложений.

Организации, практикующие BYOD, имеют такие преимущества, как сокращение ИТ-затрат и повышение эффективности работы пользователей, в сравнении с организациями, которые отказываются от этой концепции. В настоящее время существуют решения, предлагающие передовые средства контроля безопасности для корпоративных и персональных устройств и упрощающие работу пользователей.

Организации могут гибко определять права доступа к корпоративной информации с пользовательских устройств и поддерживать более детальный контроль благодаря изоляции корпоративных и персональных данных, обеспечивая защищенный доступ к корпоративным приложениям и надежное управление данными.

Сторонники и противники

Среди респондентов можно выделить две группы — организации, которые используют устройства BYOD (сторонники), и организации, отказывающиеся их использовать (противники).

  • 83% сторонников управляют смартфонами и планшетными устройствами в рамках программы BYOD. 73% противников не включают смартфоны в свой подход BYOD
  • Две трети противников (и лишь 6% сторонников) выражают серьезное беспокойство в отношении безопасности. Если рассматривать конкретные аспекты обеспечения безопасности:
  • 86% противников (и лишь 21% сторонников) серьезно беспокоит защита данных и информации
  • 65% противников (и лишь 7% сторонников) либо не управляют защитой данных и информации, либо хранят их на устройствах незашифрованными
  • Сторонники осведомлены о доступных технологиях — например, около 80% сторонников (и лишь 12% противников) используют какие-либо средства управления мобильными приложениями
  • Сторонники готовятся к изменениям — более 2/3 из них либо признают необходимость внесения изменений в устройства или подходы BYOD, либо видят, что этот рынок становится более сложным, в то время как лишь 11% противников разделяют такие мнения.

«Концепция BYOD, реализуемая должным образом, действительно способна принести компаниям значительные выгоды, включая повышение продуктивности сотрудников, сокращение затрат на ИТ-оборудование и возможность более успешно привлекать лучших молодых специалистов, — отметил Клайв Лонгботтом, директор по исследованиям компании Quocirca. — Радует то, что некоторые организации по всей Европе применяют BYOD для получения таких преимуществ, однако, результаты исследования Oracle BYOD Index обнаружили реальное основание для беспокойства в нежелании многих других признавать развитие BYOD в самих компаниях и вокруг и проводить такие изменения в своих интересах».

Различия по странам и отраслям

Страны:

  • Страны Скандинавии и региона DCH (Германия/Швейцария) лидируют по общей зрелости подхода к проблеме BYOD, их значения индекса составили 5,65 и 5,32 соответственно.
  • Иберия (Испания и Португалия) и Италия сталкиваются с наибольшими сложностями в применении концепции BYOD, о чем свидетельствуют их индексы 3,87 и 4,05. В этих странах также наибольшая доля противников BYOD.

Отрасли:

  • В целом лидером является отрасль телекоммуникаций, имеющая значение индекса 6,98, за которой следует индустрия СМИ с показателем 6,43.
  • На другом конце этой шкалы находятся финансовые услуги с показателем 3,96, а также государственный сектор, получивший всего 3,31.
  • Что интересно, в индустрии СМИ наибольшая доля сторонников, а в отрасли финансовых услуг наименьшая; в государственном секторе наибольшая доля противников, а в отрасли телекоммуникаций наименьшая.

Читайте также