BYOD1
.docx
====MDM широко используется====
Gartner, Forrester Research и другие аналитические фирмы насчитали более двух десятков вендоров MDM, соперничающих за долю рынка. Однако эксперты говорят, что большинство из них предоставляют лишь базовые меры безопасности. С другой стороны, удаленное стирание и принудительное использование паролей можно обеспечить через сервис мобильной синхронизации ActiveSync, который предлагает Microsoft. Примерно 60% организаций не внедрили стратегию BYOD, как следует из ответов в опросе на LinkedIn, а четверть опрошенных говорят, что такие политики и процедуры только начинают у них разрабатываться.
====Запрет BYOD гарантирует безопасность====
ИТ-администраторы указали, что 28% всех корпоративных данных вызываются с мобильных устройств, и к этим данным могут обращаться свыше 50 тыс. офисных прикладных программ вне зависимости от того, предназначены ли они для мобильных устройств. Фирма Bluebox подчеркивает: организациям следует тщательно проанализировать возможные слабые места в их базовых информационных системах, к которым могут обращаться офисные приложения.
====BYOD - это нечто новое====
Учебные заведения, включая университеты, сталкиваются с явлением под названием «BYOD» уже многие годы и успели выработать ряд методов и политик, чтобы поставить границы. Исследование компании Bradford Networks, в котором приняли участие более 500 ИТ-специалистов из колледжей, университетов и школьных округов K-12 (в США), показало, что управление доступом к сети (NAC) является важной составной частью их стратегии безопасности мобильных устройств. Почти 90% опрошенных в сфере высшего образования разрешают использование личных устройств, а 56% говорят, что их политика в BYOD автоматизирована посредством NAC.
====Организации создают витрины приложений====
Некоторые платформы MDM позволяют организациям управлять корпоративными витринами, используя «белые списки» сторонних приложений и публикуя собственные бизнес-приложения для доступа к корпоративным ресурсам. И всё же, исследование на LinkedIn показало, что лишь 41% организаций создают мобильные приложения для своих служащих, и лишь 18% планируют делать это в будущем.
====Внедрение контейнеров гарантирует защищенность====
Дэниел Броди, исследователь в области ИБ из фирмы Lacoon Mobile Security, представил доклад на конференции BlackHat Europe, где показал, как можно обойти контейнеры, используя инструменты слежения, внедренные в устройство жертвы. Вредоносное ПО для ПК уже задействует приложения и компоненты браузера, использующие контейнеры или «песочницу», чтобы добраться до данных. К сожалению, вынуждена признать Bluebox, нет абсолютно надежного способа прочно запереть корпоративные данные.
====Главное - больше контроля====
Почти 60% пользователей «обходят» функции мобильной безопасности, потому что они снижают продуктивность их работы, как показал опрос на LinkedIn. Эксперты рекомендуют найти верный баланс в вопросе разрешений и запретов. В сегодняшнем мире, где начинает править пользователь, средства безопасности должны быть нацелены исключительно на корпоративные данные, подчеркивает Bluebox.
====DLP защитит и мобильные устройства====
Система предотвращения потери данных ([[DLP]]) предусматривает: либо все данные могут проходить только через фиксированный периметр, либо на терминальном устройстве запускается тяжеловесное ПО. Ни тот, ни другой подход не работает, когда корпоративные данные поступают откуда угодно и отправляются куда угодно, говорит Bluebox. В новой ситуации организациям следует рассмотреть новые подходы, а не слепо применять традиционные технологии защиты. Отдел ИБ должен рассматривать управление данными, где бы они ни находились, как первую линию обороны, подчеркивает Bluebox.
===КПМГ: Мобильная безопасность: от риска к выручке===
Широкое распространение мобильных сервисов наряду с достаточно частыми инцидентами в области информационной безопасности заставляют задуматься о том, какие риски угрожают конфиденциальности личной и корпоративной информации. Пользователи мобильных устройств хотят быть уверены в том, что их информация защищена. 62% потребителей товаров и услуг признались, что опасаются утечки персональных данных.
Ежегодные потери мировой экономики от кибератак на пользователей оцениваются в более чем 110 млрд долларов США; в России эта цифра превышает 1 млрд долларов США (столько же в Японии и Австралии, в Европе – 13 млрд, в США – 38 млрд). При этом именно в России больше всего жертв киберпреступлений – 85%, на втором месте Китай (77%), на третьем – ЮАР (73%) (Отчет компании Norton «Norton Cybercrime Report 2013»).
Помимо личной информации, такой как контакты, номера банковских карт, адреса электронной почты, фотографии и прочее, мобильные устройства, став частью ИТ-инфраструктуры организаций, содержат также важную корпоративную информацию, обеспечивают доступ к данным, циркулирующим внутри сетей компании. Все чаще организации разрешают сотрудникам использовать свои личные мобильные устройства для работы с корпоративными данными и программами (BYOD – Bring your own device). УAT&T Inc, например, в период с 2007 по 2012 год рост беспроводного трафика составил 20 000%, в первую очередь за счет универсального использования смартфонов.
В более чем 90% компаний, опрошенных Лабораторией Касперского (2 895 интервью, из них 356 – из России), в течение прошедших 12 месяцев как минимум один раз случались инциденты, связанные с проблемами информационной безопасности. 65% опрошенных видят основную причину именно в использовании личных мобильных устройств в корпоративных целях. Меньше всего среди тех, кто обеспокоен развитием BYOD, россиян – 57% (для сравнения, в Японии 93%) (Отчет Лаборатории Касперского «Global corporate IT security risks 2013»).
Бесконтрольно устанавливая мобильные приложения, соглашаясь с условиями лицензионных соглашений, при этом не читая их, переходя по ссылкам от неизвестных людей или в социальных сетях, считывание QR-кодов в лифтах, журналах, с сайтов и других источников, люди создают угрозу тем данным, к которым имеется удаленный доступ у данного устройства. Очевидно, что бизнесу необходимо решать вопросы, которые возникают из-за повсеместного распространения мобильных устройств. Организациям нужно разрабатывать и применять достаточно строгие политики, направленные на снижение вероятности реализации тех или иных рисков утечки корпоративных данных. Должны внедряться функции безопасности для мобильных устройств, в том числе их обязательная защита с помощью паролей и принудительного стирания информации в удаленном режиме, что позволит удалять конфиденциальную информацию в случае кражи или утери. По итогам 2012 года такими развернутыми политиками безопасного использования мобильных устройств внутри корпоративной сети обладают только 14% компаний. 20% российских респондентов сообщили, что в их компаниях вообще нет политик по информационной безопасности, у 46% не хватает времени и бюджетов на их детальную проработку, 34% считают, что их политики детально проработаны (Отчет Лаборатории Касперского «Global corporate IT security risks 2013»).
Многие пользователи даже не представляют, что в компании существуют правила использования мобильных устройств: так, 36% утверждают, что в их компании нет правил, касающихся применения персональных устройств в рабочих целях. 49% респондентов используют служебные устройства для отправки личных электронных писем, 24% пользователей хранят личные и служебные файлы на одном и том же аккаунте (Отчет компании Norton «Norton Cybercrime Report 2013»).
Спрос на сервисы в области информационной безопасности может создать «тепличные» условия для развития инновационных решений. Для выживания в долгосрочной перспективе телекоммуникационным операторам, помимо услуг по передаче того или иного вида трафика, необходимо предлагать также «умные сервисы». Это могут быть услуги по идентификации мошеннических транзакций с мобильного устройства, услуги по идентификации подозрительного вредоносного поведения мобильных приложений, в том числе отправление личных данных третьим лицам. Также это могут быть сервисы по управлению личными идентификационными данными, учетными записями, паролями. Операторы могут предлагать своим корпоративным клиентам услуги по анализу трафика, идентификации утечек данных, активности вредоносного программного обеспечения, компьютерных атак и угроз безопасности в нем. Кроме того, партнерства телекоммуникационных операторов и компаний сектора информационных технологий имеют возможность предлагать клиентам услуги по разработке решений по созданию безопасной ИТ-инфраструктуры, позволяющей осуществлять распределенную работу и передачу корпоративной информации, не беспокоясь о ее безопасности.
Согласно исследованию КПМГ, среди конкретных шагов, которые способны значительно снизить риски использования мобильных устройств в корпоративных целях руководители ИТ-подразделений американских и европейских компаний отметили: возможность удаленной блокировки и уничтожения данных в случае, если устройство потеряно или украдено (83%); возможность шифрования данных на устройстве (76%); шифрование почтовых сеансов, трафика для конкретных приложений, или мобильный [[VPN]] (71%).
===* Oracle: вопросы безопасности сдерживают развитие концепции BYOD в Европе===
Корпорация Oracle опубликовала в марте 2014 года отчет '''Oracle European BYOD Index Report''', раскрывающий текущее отношение представителей бизнеса в Европе к концепции BYOD.
В отчете приведены некоторые впечатляющие цифры:
- 44% (около половины) европейских компаний в настоящее время не одобряют концепцию BYOD или допускают ее применение лишь в исключительных обстоятельствах
- В 29% компаний устройства BYOD используются только руководителями
- В 22% компаний категорически запрещено размещение данных или информации на устройствах BYOD, а в 20% компаний нет никаких правил
- Более половины компаний не управляют смартфонами в рамках программы BYOD
- Безопасность информации является самой серьезной заботой — респонденты обеспокоены защитой устройств (45%), приложений (53%) и данных (63%)
Результаты исследования также свидетельствуют о том, что многие из этих опасений связаны с недостаточной осведомленностью о возможностях современных решений для обеспечения безопасности:
- 37% респондентов никогда не слышали о контейнеризации (разделении корпоративных и персональных данных)
- Почти треть респондентов не используют технологии Mobile Device Management
- 22% респондентов никогда не слышали о технологиях Mobile Application Management
- Сторонники концепции BYOD имеют более широкие взгляды, используя планшетные компьютеры и смартфоны как устройства BYOD, они успешно справляются со многими проблемами обеспечения безопасности и готовы к к значительному развитию этой концепции в будущем
<blockquote>«По-видимому, проблема обеспечения безопасности заставляет многие организации в Европе отказываться от концепции BYOD и сопротивляться ее развитию, — отметил Сухас Улияр, вице-президент Oracle по направлению Mobile Strategy Product Management. — Однако, такие технологии, как контейнеризация, полное шифрование и управление устройствами и приложениями, интегрированное с единым корпоративным хранилищем идентификационной информации, уже сегодня доступны в портфолио мобильных технологий Oracle и развертываются крупнейшими организациями мира из списка Global Fortune 100. Такие технологии способны защитить среды BYOD и COPE (персональное использование сотрудниками устройств, принадлежащих компании, в том числе в личных целях). Необходимо, чтобы участники экосистемы BYOD разъясняли это своим компаниям. Это может привести к значительному росту количества европейских организаций, которые реализуют преимущества BYOD».</blockquote>
В рамках исследования Oracle European BYOD Index аналитическая фирма Quocirca по поручению Oracle провела опрос среди 700 европейских компаний в отношении концепции BYOD (Bring Your Own Device, использование сотрудниками собственных устройств для выполнения рабочих задач). Во многих регионах наблюдается сдерживание реализации этой концепции, вызванное главным образом обеспокоенностью вопросами защиты бизнес-данных и идентификационной информации пользователей на устройствах, а также безопасности приложений.
Организации, практикующие BYOD, имеют такие преимущества, как сокращение ИТ-затрат и повышение эффективности работы пользователей, в сравнении с организациями, которые отказываются от этой концепции. В настоящее время существуют решения, предлагающие передовые средства контроля безопасности для корпоративных и персональных устройств и упрощающие работу пользователей.
Организации могут гибко определять права доступа к корпоративной информации с пользовательских устройств и поддерживать более детальный контроль благодаря изоляции корпоративных и персональных данных, обеспечивая защищенный доступ к корпоративным приложениям и надежное управление данными.
====Сторонники и противники====
Среди респондентов можно выделить две группы — организации, которые используют устройства BYOD (сторонники), и организации, отказывающиеся их использовать (противники).
- 83% сторонников управляют смартфонами и планшетными устройствами в рамках программы BYOD. 73% противников не включают смартфоны в свой подход BYOD
- Две трети противников (и лишь 6% сторонников) выражают серьезное беспокойство в отношении безопасности. Если рассматривать конкретные аспекты обеспечения безопасности:
- 86% противников (и лишь 21% сторонников) серьезно беспокоит защита данных и информации
- 65% противников (и лишь 7% сторонников) либо не управляют защитой данных и информации, либо хранят их на устройствах незашифрованными
- Сторонники осведомлены о доступных технологиях — например, около 80% сторонников (и лишь 12% противников) используют какие-либо средства управления мобильными приложениями
- Сторонники готовятся к изменениям — более 2/3 из них либо признают необходимость внесения изменений в устройства или подходы BYOD, либо видят, что этот рынок становится более сложным, в то время как лишь 11% противников разделяют такие мнения.
<blockquote>«Концепция BYOD, реализуемая должным образом, действительно способна принести компаниям значительные выгоды, включая повышение продуктивности сотрудников, сокращение затрат на ИТ-оборудование и возможность более успешно привлекать лучших молодых специалистов, — отметил Клайв Лонгботтом, директор по исследованиям компании Quocirca. — Радует то, что некоторые организации по всей Европе применяют BYOD для получения таких преимуществ, однако, результаты исследования Oracle BYOD Index обнаружили реальное основание для беспокойства в нежелании многих других признавать развитие BYOD в самих компаниях и вокруг и проводить такие изменения в своих интересах».</blockquote>
====Различия по странам и отраслям====
Страны:
- Страны Скандинавии и региона DCH (Германия/Швейцария) лидируют по общей зрелости подхода к проблеме BYOD, их значения индекса составили 5,65 и 5,32 соответственно.
- Иберия (Испания и Португалия) и Италия сталкиваются с наибольшими сложностями в применении концепции BYOD, о чем свидетельствуют их индексы 3,87 и 4,05. В этих странах также наибольшая доля противников BYOD.
Отрасли:
- В целом лидером является отрасль телекоммуникаций, имеющая значение индекса 6,98, за которой следует индустрия СМИ с показателем 6,43.
- На другом конце этой шкалы находятся финансовые услуги с показателем 3,96, а также государственный сектор, получивший всего 3,31.
- Что интересно, в индустрии СМИ наибольшая доля сторонников, а в отрасли финансовых услуг наименьшая; в государственном секторе наибольшая доля противников, а в отрасли телекоммуникаций наименьшая.