BYOD1
.docx|Снижение затрат на замену оборудования и обновление ПО
|-
|ИТ-поддержка
|Изменение процессов для поддержки нескольких устройств и платформ, обучение сотрудников
|Снижение стоимости техподдержки, продвижение собственной техподдержки
|}
Источник - [http://www.deloitte.com/assets/Dcom-Germany/Local%20Assets/Documents/12_TMT/2013/DE_TMT_Perspektive%20BYOD.pdf Perspektive BYOD. Private Hardware in Unternehmen].
===Интенсивное внедрение и использование виртуализации настольных систем===
Компании признают важность [[виртуализации ]] настольных систем. 98% респондентов осведомлены о технологии виртуализации настольных систем. 68% опрошенных согласны с тем, что большинство должностных обязанностей работников умственного труда могут быть выполнены эффективнее в случае виртуализации настольных систем, а 50% упомянули о том, что в их организациях осуществляется виртуализация настольных систем.
Виртуализация настольных систем дает преимущества в трех основных областях, обеспечивая: 1) непрерывность бизнес-процессов, что, в свою очередь, позволяет сотрудникам получать доступ к приложениям в различных точках и с различных устройств (например, даже в случае сбоя в работе сервера), 2) повышение производительности труда сотрудников и 3) сокращение ИТ-расходов.
Защита данных — задача номер один. Обеспечение доступа к конфиденциальным данным компаний и заказчиков только тем, кому нужно, является главным приоритетом.
==Облака и стратегия BYOD увеличивают необходимость автоматической [[IAM системы]]==
Традиционные концепты безопасности периметра и защиты предприятия от проникновения в результате распространения облаков и стратегии BYOD привели к необходимости контроля за доступом к приложениям. И вот здесь в игру вступают автоматические системы аутентификации, авторизации и управления доступом.
Популяризация [[облачных сервисов]] в комбинации со стратегией BOYD усложняет права доступа и приводит к необходимости распространить защитные системы за пределы периметра предприятия.
Согласно исследованию, проведенному компанией Symantec и Cloud Security Alliance, 90% организаций признают необходимости контролировать доступ к облачным приложениям, это станет самым главным во внедрении облачных сервисов. Это – самый сложный и дорогостоящий фактор.
Например, представьте, что компания использует [[Salesforce]] для своей [[CRM]] и предоставляет сотрудникам доступ к системе с их мобильных устройств. Если сотрудник уходит из компании, предприятие должно удалить его учетную запись. Но также необходимо закрыть право доступа к Salesforce, иначе бывший сотрудник сможет получать важную информацию о клиентах. Для большинства организаций это до сих пор является довольно длительным ручным процессом.
Чем больше данных переезжает в облака, тем больше их доступно для доступа с мобильных устройств. Традиционная концепция безопасности посредством защиты периметра становится несостоятельной. Периметр больше не является четко очерченным. И это приводит к необходимости внедрения системы управления аутентификацией и доступом (IAM), которые помогают следить за жизненным циклом учетных записей и контролем доступа.
===Ручное управление записями становится невозможным в больших организациях===
Чем больше организация, тем сложнее управление учетными записями. Одна финансовая организация, например, имеет 30 тысяч сотрудников и тысячу приложений. Если умножить количество сотрудников на количество учетных записей с правами доступа к этим приложениям, то получите миллионы различных вариантов доступа. За этим совершенно невозможно уследить в ручном режиме.
Предоставление доступа может оказаться достаточно трудоемким, не менее сложно и уничтожение доступа.
Ввод ново сотрудника может занимать пять-шесть дней, это потеря его рабочего времени. В сфере здравоохранения, например – в госпитале может появиться сотни новых резидентов в течении одной недели. Если они не могут создать необходимые учетные записи, что они делают? Врач дает им свой доступ, чтобы они могли работать.
===Сложности автоматизированной IAM===
В прошлом системы [[IAM]] были доступны только большим предприятиям. Совершенно понятно, почему – внедрение системы, которая автоматизирована и дает права доступа – не такая простая задача.
При внедрении были сложности с инфраструктурой, которая содержит множество приложений, систем и сетей. В каждой такой системе есть система безопасности, оптимизированная специально для нее. Внедрение в такую отлаженную систему требует большой и сложной работы, поскольку в каждом случае это затрагивает комбинацию систем в одном процессе. Простая процедура перевода денег требует интеграции четырех приложений, оптимизированных под специфические задачи.
Кроме того, почти каждое действие связано с тем, кто имеет доступ к каким ресурсам, и что он может с ними делать. Сегодня системы IAM также перемещаются в облака и могут быть частью [[SaaS]] услуг. И это позволяет даже самым небольшим предприятия пользоваться [[IAM системами]].
===* Поколение Y высказывается против корпоративной политики, запрещающей BYOD и использование облачных сервисов на рабочем месте===
[Fortinet] опубликовала осенью 2013 года результаты глобального исследования, показавшего, что больше половины молодых сотрудников (47% в России) от 21 до 32 лет, принявших участие в опросе, готовы использовать персональные мобильные устройства, облачные сервисы для хранения данных и новейшие технологии, такие как «умные часы», [[Google Glass]], подключенные к интернету автомобили в профессиональных целях вопреки запрещающей это корпоративной политике. В исследовании приняли участие 3200 человек из 20 стран в возрасте от 21 до 32. Опрос проводился в октябре 2013 года. Результаты исследования показали, что число сотрудников, нежелающих подчиняться корпоративным правилам по BYOD, выросло на 42 %, по сравнению с аналогичным опросом Fortinet 2012[1]. Новое исследование также показывает, в какой степени представители поколения Y стали жертвами киберпреступности, насколько молодые участники опроса грамотны в вопросах о современных интернет-угрозах, и как широко они используют личные облачные сервисы для хранения корпоративных данных.
<blockquote>Исследование Fortinet 2013 проводилось с 7 по 13 октября 2013 независимой компанией Vision Critical. В опросе приняли участие 3200 молодых сотрудников от 21 до 32, занятых на полную ставку и имеющих персональный смартфон, планшет или ноутбук. В опросе приняли участие 20 стран: Бразилия, Канада, Чили, Китай, Колумбия, Франция, Германия, Гонконг, Индия, Италия, Япония, Корея, Мексика, Нидерланды, Польша, Россия, Испания, Тайвань, Великобритания и США.</blockquote>
====Тенденция нарушения корпоративной политики====
Несмотря на то, что опрошенные в России довольно позитивно относятся к политике по BYOD, существующей на сегодняшний день в их компании: 51% участников опроса согласились с тем, что в целом политика по BYOD в их компании положительно влияет на их деятельность, всё же 47% заявили, что готовы использовать персональные мобильные устройства на рабочем месте, даже если работодатель запретит это. Эта тревожная склонность к игнорированию мер безопасности, распространяется и на другие области ИТ. Например, 36% опрошенных в мире, имеющих «личный кабинет» для хранения данных в облаке, и 28% в России заявили, что намерены нарушать любые правила, запрещающие им пользоваться этими услугами в профессиональных целях. Что касается новых технологий, таких как Google Glass и «умные часы», почти половина опрошенных в мире(48%) и 52 % в России ответили, что будут их использовать даже, если будут введены корпоративные правила, запрещающие это.
====Растущая популярность технологических аксессуаров====
На вопрос о том, как скоро технологические новинки, такие как «умные часы» и Google Glass начнут широко применятся на работе, 16 % опрошенных в мире и 12% в России сказали, что «сразу, как только появятся в продаже, а 33% (39% в России) считают, что это произойдёт, когда эти устройства станут более доступны по цене. Только 8% опрошенных в мире и 4% в России полагают, что эти технологии никогда не будут широко использоваться в профессиональных целях.
====Широкое использование «личных кабинетов» в облаке для хранения важных корпоративных данных====
89 % участников опроса в мире и 80% в России имеет «личный кабинет», по крайней мере, в одном облачном сервисе для хранения данных. Согласно исследованию, самым популярным сервисом в мире является DropBox (38 %). В России популярность DropBox оказалась намного меньше, только 15% участников заявили, что пользуются этим сервисом. В мире 70% опрошенных (62% в России), имеющих «личный кабинет» в облаке, использовали его для хранения профессиональных данных. 12 % из этой группы хранят в облаке пароли (только 9% в России), 16% - финансовую информацию (11% в России), 22% - критически важные документы такие, как контракты, бизнес-планы (14% в России). В тоже время, треть участников опроса в мире (33 %) и 52% в России хранят в облаке информацию о клиентах.
Почти треть пользователей облачных систем хранения данных в России и в мире (32%), принявших участие в опросе, заявили, что они полностью доверяют облаку. Только 6 % опрошенных в мире и 9% в России сказали, что не доверяют облачным сервисам и не использую их для хранения информации.
====Необходимость повышения уровня грамотности сотрудников в области безопасности ИТ====
По результатам опроса, больше всего от интернет-угроз страдают персональные ПК и лэптопы. Более 55% участников исследования стали жертвами атак на персональные компьютеры или ноутбуки. В 50% случаях атаки заканчивались хищением личных и корпоративных данных, а также оказывали отрицательное влияние на производительность. В России более 68% опрошенных пользователей признались, что на их персональные компьютеры и лэптопы осуществлялись нападения. Атаки были гораздо менее частыми на смартфоны (19% в мире и 30% в России). Похожий процент наблюдался для планшетов (19% в мире и 24% в России).
Согласно исследованию, 14% респондентов в мире и 24% в России заявили о том, что не станут сообщать работодателю о том, что они столкнулись со взломом и хищением корпоративных данных.
Исследование также показало большой разброс результатов в ответах, определяющих уровень знаний респондентов о современных интернет-угрозах. 27% опрошенных в мире и в России сказали, что знакомы с основными угрозами, но не очень углублялись в сюжет. До 52% опрошенных в мире и до 55% в России признались, что ничего не знают о APT, DDOS или ботнетах. Это показало необходимость инвестиций в обучение персонала в этой области.
==* Шесть этапов введения стратегии BYOD==
Компания [[Solutionary]], поставщик услуг управления безопасностью, указала основные этапы введения стратегии BYOD в своем отчете «Threat Report» 2013 г. Невыполнение этих правил неизбежно ослабит защиту всей корпоративной сети. Предложенная поэтапная схема начинается с выработки политики и включает обучение пользователей, соблюдения правил и внедрение мобильного антивируса в той или иной форме. Должна быть также введена политика, обеспечивающая шифрование данных и удаленное стирание, указывает Solutionary. SANS Institute, занимающийся изучением вопросов безопасности и обучением в этой области, предлагает шаблоны политик безопасности для мобильных устройств, которые могут быть взяты за основу. (Источник: Роберт Уэстервельт, CRN/США)
===Сначала анализ===
Организации не смогут выстроить эффективную защиту корпоративной сети, если не поймут, что именно нужно защитить, указывает Solutionary. Тщательный анализ поможет выявить все типы устройств, уже используемых служащими, и внутрикорпоративные системы и данные, к которым они обращаются. После того как получена ясная картина, можно формулировать политику, не забыв привлечь юрисконсульта. Поддержка со стороны руководства жизненно важна для успеха политики и ее эффективности, подчеркивают эксперты.
Перед разработкой стратегии потенциального внедрения и применения BYOD, необходимо провести детальный анализ преимуществ и недостатков решения.
Обычно общие Pro-аргументы сводятся к экономии времени, простоте в обращении, или доступу в любом месте. Под Contra-аргументами обычно выступают более высокие расходы на управление доступом к сети, комплексное соответствие правовым и корпоративным нормам, и на обеспечение безопасности, так как подобный подход требует не только единой стратегии, но и повышенной информационной безопасности, связанной с необходимостью разграничить на одном устройстве деловое и личное пространство сотрудника.
Данный анализ, ориентированный на процесс, должен быть дополнен анализом затрат и выгод и расчета возврата инвестиций (ROI). Который включает в себя затраты на время администрирования, стоимость лицензий программного обеспечения, возможные затраты на аппаратные средства. Поскольку в рамках проекта BYOD новые устройства, приложения и процессы всегда необходимо обновлять и адаптировать для использования под конкретную компанию. После чего следует разрешение правовых вопросов, особенно в отношении защиты данных сотрудников.
===Подготовьте пользователей===
Политику BYOD необходимо довести до сведения персонала. Это означает обучение, желательно систематическое, всестороннее описание характера угроз, которым подвержены данные на смартфонах и планшетах. Хотя основное внимание будет направлено на корпоративные данные, эксперты полагают, что такое обучение поможет защитить самих служащих, в том числе и дома, от киберпреступников, а значит, создать более сильную линию обороны в целом.
===Не забывайте про обновления===
Как только появится обновление микропрограммного обеспечения для ПЗУ или сервисный пакет для приложения или ОС, необходимо установить их как можно скорее. Установка патчей на мобильные устройства столь же важна, как и на персональные ПК и серверы, пишет Solutionary. Возможно даже, что организациям придется пойти на ограничение спектра поддерживаемых устройств, чтобы обеспечить своевременную установку всех обновлений.
===Запретите перепрошивку===
Перепрошитый смартфон или планшет позволит его владельцу установить нештатную ОС и программы, не прошедшие проверку у [[Apple]] или [[Google]]. Оценки экспертов варьируются, но большинство уверены, что небольшая часть пользователей делают перепрошивку своих устройств. Microsoft Exchange ActiveSync не располагает средствами обнаружения, но организации могут использовать тот или иной пакет MDM (администрирования мобильных устройств), если хотят защитить себя с этой стороны. Как минимум, такой запрет перепрошивки ограничивает использование сторонних приложений и доступ к сети и требует ввода PIN или пароля для разблокировки устройства, пишет Solutionary.
===Ограничьте доступ к сети===
Solutionary рекомендует организациям ввести контроль сетевого доступа (NAC), ограничив подключение устройств отдельными сегментами сети или виртуальной ЛВС (VLAN). Разрешайте только минимум требуемого доступа, чтобы максимально исключить потери конфиденциальных данных, пишет фирма.
===Удаленное стирание - необходимость===
Потерянный или украденный смартфон либо планшет становится угрозой безопасности намного более опасной, чем вредоносное ПО или утечка данных, пишет фирма. Возможность дистанционно стереть данные на устройстве - безусловный минимум мер безопасности. Для этой цели можно использовать функции, уже встроенные в Exchange ActiveSync (EAS). Кроме того, с их помощью можно потребовать от пользователей ввести PIN на устройстве и заставить регулярно его менять.
==Безопасность при использовании BYOD==
===Десять способов укрепления безопасности при использовании BYOD===
Если вы собираетесь позволить сотрудникам компании использовать для работы собственные устройства, необходимо предпринять некоторые шаги по обеспечению безопасности. В этом вам помогут следующие 10 советов.
# Наймите консультанта по безопасности с опытом работы в области мобильных технологий. 92 процента брешей в безопасности обнаруживается третьими лицами. Хороший консультант сможет не только укрепить вашу безопасность, но и поможет найти решения, о которых вы даже не подозревали.
# Установите MDM/MAM-ПО (mobile device management и mobile application management) для управления мобильными устройствами и их безопасностью. Это крайне мощное ПО, способное достаточно тонко управлять настройками безопасности. Такое ПО выпускают несколько вендоров, посоветуйтесь с представителями других компаний, выберите подходящее решение.
# Требуйте подключения через [[VPN]] для всех устройств. Это стандартная практика. Если у вас в компании она не применяется, пора приступать. Консультант по безопасности должен быть способен помочь вам подобрать необходимое аппаратное и программное обеспечение для обеспечения работы VPN.
# Требуйте блокировать устройства надежными паролями. Вы будете удивлены, когда узнаете, как много людей не защищает свои устройства даже простыми паролями.
# Требуйте осуществления шифрования данных на устройствах. Чтобы получить доступ к корпоративным данным со своих устройств, сотрудники должны предварительно настроить на них шифрование. Все данные скачиваемые на пользовательское устройство должны храниться на нем в зашифрованном виде.
# Требуйте установки антивирусного ПО. Вполне очевидная рекомендация. Нельзя использовать компьютеры без какой-либо защиты от вредоносного ПО. Вы можете требовать от сотрудников установки одобренного компанией антивирусного ПО.
# Внедряйте листы контроля доступа и брандмауэры. Это может показаться слишком сложным, но на самом деле тут все достаточно просто. Хороший консультант по безопасности поможет вам закрыть нежелательный доступ к важным данным и файлам.
# Контролируйте доступ к файлам. Любое обращение к ценным файлом должно быть зафиксировано и отмечено. Включая автоматические обращения со стороны сервисных процессов, таких как SFTP.
# Настройте оповещения о подозрительной деятельности. На основе логов доступа, о которых говорится в пункте 8, настройте оповещения неавторизованных попытках получения доступа и другой подозрительной активности. Часто при атаках хакеры стараются удалять логи, отсутствие лог-файлов также должно служить причиной для поднятия тревоги.
# Установите ограничение на скачивание и установку программ. Программы должны скачиваться и устанавливаться либо с одного проверенного ресурса, либо с собственного хранилища приложений компании. Многие сайты, распространяющие приложения не следят за наличием среди них вредоносного ПО. Сотрудники компании должны устанавливать приложения только из надежных источников. Лучший способ защиты в данном случае – собственное средство распространения ПО.
97% прорывов безопасности можно было бы избежать при условии обеспечения базовых (надежные пароли, антивирусное ПО) и более продвинутых (брандмауэры, VPN) мер.
===Использование сотрудниками собственных устройств сопряжено с некоторыми сложностями, такими как обеспечение безопасности и ИТ-поддержка===
Основными проблемами BYOD респонденты назвали обеспечение безопасности/конфиденциальности и необходимость ИТ-поддержки множества мобильных платформ.
Растущее число устройств требует новых политик и подхода, обеспечивающего контроль над уровнем расходов. По данным Cisco IBSG, только 14% затрат BYOD связаны с оборудованием. Консалтинговое подразделение Cisco отмечает также важность выбора верных моделей управления и технической поддержки для контроля над этими затратами.
78% руководителей высшего звена из Европы и США сообщают о том, что их сотрудники используют свои персональные устройства для работы, — таковы итоги исследования, проведенного летом 2012 года аналитиками [[Forrester]] Consulting по заказу [[Trend Micro]]. Эти результаты подкрепляются выводами другого исследования, выполненного специалистами Decisive Analytics при поддержке Trend Micro. Все собранные данные говорят о том, что консьюмеризация в той или иной мере затронула все компании, а риски, которые она несет для информационной безопасности, осознаются на самом высоком уровне бизнес-руководства.
Исследование, проведенное Forrester Consulting, показало, что программы в сфере консьюмеризации реализуются большинством (78%) компаний. При этом 60% респондентов сообщили о том, что основой их стратегии BYOD стали смартфоны, а 47% компаний развертывают среды BYOD на основе ноутбуков и планшетных ПК. В качестве причин внедрения программ BYOD 70% респондентов назвали возможность повысить эффективность работы сотрудников.
Вместе с тем, исследование Mobile Consumerization Trends & Perceptions показало, что подавляющие большинство (83%) компаний, реализующих программы BYOD, в качестве меры предосторожности требуют от сотрудников устанавливать на свои персональные устройства защитное ПО. Кроме того, согласно данным Trend Micro, 86% руководителей по ИТ из США, Великобритании и Германии считают защиту данных на смартфонах «проблемой номер один» в том, что касается консьюмеризации.
Все исследователи сходятся во мнении, что сегодня консьюмеризация является повседневной реальностью большинства крупных компаний. Авторы отчета Mobile Consumerization Trends & Perceptions приводят следующие цифры: в половине (47%) компаний, разрешающих сотрудникам подключать свои персональные устройства к корпоративной сети, имели место случаи утечки данных. Как правило, при обнаружении подобных проблем первой мерой защиты является изменение протоколов безопасности. В качестве корректирующих мер компании выбирают наложение ограничений доступа (45% респондентов) и установку защитного ПО (43% респондентов). 12% компаний после подобного инцидента приняли решение о сворачивании программы BYOD до тех пор, пока не убедятся в надежности мер защиты.
===10 мифов о BYOD и мобильной безопасности===
Проблемы, рожденные приходом BYOD (использования личных устройств для работы), нельзя решить средствами одних лишь ИТ. Эксперты помогают развеять некоторые ложные воззрения в этой области. (Роберт Уэстервельт, CRN/США)
Организации стремятся ограничить доступ с личных устройств, чтобы защитить корпоративные данные, но главное, что требует внимания, это риск потери самого устройства и вероятность того, что, слишком ограничив свободу служащих, можно снизить продуктивность их работы. К таким выводам приводят результаты исследования «BYOD & Mobile Security 2013», проведенного Сообществом информационной безопасности (Information Security Community) на сайте [[LinkedIn]] по заказу фирмы Lumension Security Inc.
ИБ-компании, такие как стартап Bluebox, говорят, что организациям лучше взглянуть на новые методы защиты мобильных устройств, а не применять традиционные технологии в изменившихся условиях.
Рассмотрим некоторые мифы, касающиеся BYOD и мобильной безопасности, а также рекомендации экспертов в этой области: как не только лучше защитить устройства в организациях, но и обеспечить конфиденциальность самих служащих.
В конце 2013 года «[[Лаборатория Касперского]]» совместно с аналитическим агентством B2B International провела исследование с целью выяснить отношение компаний к политике Bring Your Own Device (BYOD) — использованию личных устройств на работе. Исследование показывает, что почти две трети российских компаний приветствуют или не ограничивают использование сотрудниками мобильных устройств в рабочих целях.
Согласно полученным результатам, представители российских компаний реже своих зарубежных коллег видят угрозу для бизнеса в использовании личных устройств сотрудников в рамках корпоративной инфраструктуры. Немногим больше половины респондентов (57%) признали тенденцию BYOD угрожающей, в то время как во всем мире этот показатель составил 65%, рассказали [[CNews]] в компании.
На основании остальных данных эксперты «Лаборатории Касперского» пришли к выводу, что российские предприниматели на данный момент испытывают смешанные чувства насчет BYOD. С одной стороны, они понимают, что использование мобильных устройств сотрудниками во многих случаях повышает эффективность работы — 29% компаний всячески приветствуют эту тенденцию. С другой стороны, связанные с BYOD угрозы настораживают 32% предприятий, которые стараются всячески ограничить количество используемых личных устройств. Полный же запрет на смартфоны, планшеты и ноутбуки наложен в 6% компаний. В первую очередь, это основано на опасении потерять важные корпоративные данные — 42% опрошенных считают это главным риском, связанным с BYOD.
====MDM угрожает приватности====
Когда служащий узнаёт, что в организации действует система управления мобильными устройствами (MDM), требуя использовать PIN-код или функцию удаленного стирания, у него может возникнуть вопрос: до какой степени ИТ-персонал контролирует его устройство? По мнению Bluebox, правильное внедрение MDM не может переступать границы приватности: оно не должно отслеживать все действия на личном устройстве или считывать личные данные, и этот факт следует донести до всех служащих.
====Самое опасное - это вредоносное ПО====
Согласно исследованию на сайте LinkedIn, в котором приняли участие 1600 ИТ-администраторов, потеря данных - гораздо более опасная угроза для организаций (так считают 75% респондентов против 47% соответственно). Потеря или кража мобильного устройства неизменно выступает как главная угроза в большинстве исследований на эту тему. Исследования F-Secure, McAfee, Symantec и других, посвященные мобильному вредоносному ПО, показали, что главными его источниками являются Азия, Россия и Восточная Европа, и чаще всего оно выступает в форме троянских SMS-сообщений, которые взимают повышенную плату без предупреждения.
====MDM исчерпывает задачи мобильной безопасности====
MDM дает организациям больше контроля над личными устройствами служащих и их доступом к корпоративной сети. Но конечной целью мобильной безопасности должна стать всеобъемлющая защита данных, подчеркивает Bluebox, поскольку данные легко перемещаются с устройств через приложения в облако, оставляя на пути свои многочисленные копии. Эксперты указывают, что шифрование данных и более совершенные системы предоставления ресурсов смогут повысить уровень безопасности.