`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Нестор Комарницкий

BYOD или добро пожаловать потому что посторонним вход воспрещен

+35
голосов

Девиз BYOD - или, говоря по-русски, приносите свои собственные устройства - приходит в бизнес-среду. В одних компаниях он, пожалуй, уже очень давно, в других к нему только присматриваются.

Но лед, как говорил незабвенный Бендер, тронулся.

Насколько хорошо это бизнеса? Вроде, есть и безусловные плюсы - с ИТ-бюджета сваливается существенная часть капвложений в обеспечение работы персонала. Но есть и минусы для ИТ-службы - зоопарк устройств, лицензий и ожиданий пользователя.

Можно ли управлять этой ситуацией? Посмотрим более пристально.

Во-первых, однозначно нужна политика BYOD. Если вы отстроили OpenSource-среду, появление в ней Windows-ноутбука вряд ли будет упростит вам жизнь. И, если таки удастся заставить работать все бизнес-приложения, появление сверхнового или наоборот сверхстарого устройства, несовместимыми с каким-нибудь дорогим во всех смыслах слова Hyperion, будет сюрпризом малоприятным. Для создания такой политики целесообразно привлечь финансового директора компании.

Во-вторых, необходимо подумать о том, как обеспечить безопасность данных. Особенно, в свете того, что люди склонны менять работу и, как правило, забывают о том, что, хотя устройство-то их личное, но данные, с которыми оно работает, уж совсем не их собственность. Однозначно стоит тщательно оценивать все риски и продумывать подходы защиты совместно со службой безопасности предприятия.

В-третьих, нужны четкие правила игры. Кому, что и сколько. А именно - у каждого правила есть исключения. А значит, и у BYOD тоже таковые будут. Внедряя этот подход, лучше сразу определить возможные исключения, порядок их применения (в виде доплаты за устройство или покупки компанией конечного устройства) и размер бюджетов на эти исключения. Тут уж без дирекции по персоналу не обойтись.

Вроде ничего не забыл. А вы как считаете?

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

+35
голосов

Напечатать Отправить другу

Читайте также

Устройства становятся действительно персональными и с этим ничего не поделаешь...

В больших структурах этому еще сопротивляются. Но, похоже, класс техники под названием "корпоративный ПК" исчезает еще стремительнее, чем со сцены уходят старые добрые десктопы.

Но такой ли уж это кошмар для ИТ-директора консьюмеризация?

С ноутбуками все решается довольно просто:
1. Политика BYOD предусматривает минимальные требования к железу
2. Механизмов доставки и контроля целостности VM предостаточно.

Веселье начинается, когда подтягиваются смартфоны и планшеты:
1. Виртуализации нет. Сдвиги есть, а коммерческой реализации нет.
2. Единой системы управления конфигурацией нет.
3. Контроля целостности нет.
4. Безопасности нет.
5. Населена роботами ...эээ, все контролирует юзер.
= Контроля НЕТ.

Ад, нет?

Вопрос решаемый - ставится ферма терминальных серверов, все что внутри отгораживается брандмауэром - в общую сеть организации торчит только порт rdp, а в интернет vpn или web-шлюз. Доступ к рабочему месту или отдельным приложениям возможен с Windows, Linux, Mac, Android, iOs, etc - клиенты есть практически для всех платформ. Авторизация по смарт-карте(токену), там где это поддерживается клиентом. Вполне безопасно, контролируемо и платформенно-независимо.

Пост на правах скрытой рекламы.

Навскидку:
* Сколько операторам за трафик заплатите?
* Сотрудники всегда в зоне 3G покрытия?
* А если не всегда - скорости на EDGE хватает?
* Как терминальный клиент попадает на девайс сотрудника?
* Может ли юзер снести/перенастроить терминальный клиент?
* Как терминальный клиент возвращается на девайс сотрудника, если был снесен или переконфигурирован?
* Как реализована защита от Man In The Middle?
* Есть ли аутентификация сервера RDP на всех типах клиентов?
* Риски в случае утери девайса?
* Если юзер "не сделал работу, потому что опять RDP заглючил, айтишники дятлы не могут никак сделать, чтоюы все работало" - как будет расследоваться ситуация?

Думаю, на некоторые из этих вопросов у вас легко найдется ответ :) Суть в том, что универсальной затычки, которая снимет все проблемы BYOD пока что нет. То, что вы описали хорошо работает в пределах офиса/хоум-офиса и т.д. Но стоит выйти за порог..

Из "bring your own device" автоматически не следует необходимость удаленной работы. Но если мы говорим о терминальной системе, то все уже готово и это является вполне естественным шагом.

>Навскидку:
> Сколько операторам за трафик заплатите?

Платит пользователь. Rdp это не vnc, трафик не будет большим по сравнению с созданным пользователем в своих личных целях.

> Сотрудники всегда в зоне 3G покрытия?

Не обязательно.

> А если не всегда - скорости на EDGE хватает?

Да.

> Как терминальный клиент попадает на девайс сотрудника?

Уже есть в системе или устанавливается/покупается пользователем самостоятельно. Инструкция по настройке выдается вместе со смарт-токеном.

> Может ли юзер снести/перенастроить терминальный клиент?

Да.

> Как терминальный клиент возвращается на девайс сотрудника, если был снесен или переконфигурирован?

Сотрудник сам отвечает за исправность своего оборудования.

> Как реализована защита от Man In The Middle?

vpn или https, сам rdp трафик шифруется. Если допустить, что трафик записан и расшифрован, то взломщик не увидит больше, чем человек сидящий за спиной у пользователя в офисе.

> Есть ли аутентификация сервера RDP на всех типах клиентов?

Эту функцию можно возложить на vpn или https-шлюз. В случае успешной атаки с подменой rdp-сервера, хакер получит PIN-код токена. Но для успешного входа в систему, нужен еще сам токен.

> Риски в случае утери девайса?

Минимальные. Устройство не содержит данных. Чтобы подключиться к терминалу нужен PIN-код токена. После N попыток ввода, токен блокируется. По звонку сотрудника, его аккаунт блокируется.

> Если юзер "не сделал работу, потому что опять RDP заглючил, айтишники дятлы не могут никак сделать, чтоюы все работало" - как будет расследоваться ситуация?

Если 10 других в это время "сделали работу", то ... мы всегда рады предоставить рабочее место в офисе.

BYOD и удаленная работа подразумевает мотивацию сотрудника сделать работу вовремя "несмотря на", а не искать отговорки "почему не". Человек сам организует себе рабочее место, на котором ему будет удобно работать, и сам несет связанные с этим риски. Не сделал - плохо - не получил оплату, бонусы, не продлили контракт.

>Думаю, на некоторые из этих вопросов у вас легко найдется ответ :) Суть в том, что универсальной затычки, которая снимет все проблемы BYOD пока что нет. То, что вы описали хорошо работает в пределах офиса/хоум-офиса и т.д.

Хорошо то, что описанная система позволяет работать с имеющимися приложениями уже прямо сейчас и вдобавок получить целый ряд преимуществ. А вопросы решаются так или иначе, достаточно отвлечься от абстрактных проблем и сконцентрироваться на реальных задачах, стоящих перед бизнесом.

>Но стоит выйти за порог..

Я недавно проверял концепцию с десятка free wi-fi по всему Вьетнаму. Это достаточно далеко от родного порога? :)

Проглядел ответ...
Если честно - очень за вас рад! Очень похоже на толково спроектированное и грамотно внедренное решение на базе _очень правильной_ концепции ("несмотря на", а не "почему не").

Мой скептицизм, видимо связан с тем, что очень часто приходится работать с людьми второго типа :(

Какое количество пользователей работает по этой схеме (единицы/десятки/сотни)?

ИМХО BYOD подходит только компаниям использующим облака, кстати они имеют много общего, BYOD и облака ещё в диковинку многим компаниям + они неминуемо ждут всех в скором будущем. BYOD + VDI + RDP + WEB севисы = profit. Получается даже что контроля какбы и нет, а безопасность есть. Даже не так: контроля за девайсами нет, а контроль данных и их потоков, "кто, куда и зачем" must be. Вопрос в том готовы ли сами пользователи и админы? И что ещё интереснее - что контроль в совковых головах заканчивается на видеозаписи и прослушке.

А на чем этот контроль в них начинается, как считаете?

Для персональных рабочих мест - да. А, к примеру, для мобильных телефонов?

***
Чтение - это то, что делает человека человеком.

Навскидку - NAP, Radius

А вообще - начинается всё с planning and design guide, тобишь от отделения мух от котлет.

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT