Принципы создания политики BYOD
18 март, 2013 - 10:30Максим ГолубевРано или поздно многим организациям придется признать, что сотрудники имеют право приносить на работу собственные устройства, и в этот момент политика взаимодействия BYOD (Bring Your Own Device) с этим неконтролируемым железом должна быть уже разработана, кроме того, должны быть выработаны способы воплощения этого документа в жизнь.
Какие вопросы следует задать себе при разработке этой политики?
Безусловно, политика взаимодействия с личными устройствами будет специфична для каждой организации. Но большинство разновидностей подобных документов будет отвечать на одни и те же вопросы:
1) Каким образом можно использовать устройства во внутренней сети (как с точки зрения бизнеса, так и с позиции личной жизни)? Важно защитить организацию от пользователей, которые держат на своих устройствах нелегальную информацию или данные, принадлежащие другим фирмам, чтобы не получить за них незаслуженного наказания.
2) Какие устройства можно использовать во внутренней сети? Следует ли вводить ограничения? Сегодня, учитывая количество доступных моделей мобильных устройств, уже не разумно создавать список «разрешенных» девайсов. Но вполне можно ограничить доступ по платформенному принципу, если того требуют соображения безопасности.
3) Возмещать или не возмещать расходы? Многие сервисы, с которыми работают мобильные устройства, требуют прямой или косвенной оплаты от пользователей. Политика должна разъяснять, какие именно затраты будут возмещены пользователю со стороны компании. Понятно, что за расходами либо придется следить с помощью специального ПО сторонних разработчиков, либо разрабатывать максимально простую систему компенсаций (например, процент от ежемесячных расходов на связь).
4) Какие приложения запрещать и разрешать? Конфигурация мобильного устройства – это ключевая переменная в вопросе успешного и безопасного внедрения BYOD. Наиболее популярный ответ на этот вопрос – белый и черный список приложений, а также набор «обязательных» программ, отвечающих за безопасность. Но в этом случае в политике должно быть прописано, кто имеет право разрешать/запрещать использование того или иного приложения, и как это будет контролироваться.
5) Как управлять мобильными устройствами? Технологии управления мобильными устройствами (Mobile Device Management, MDM), позволяющие изменять настройки, защищать и контролировать личные девайсы, пока еще находятся на стадии развития. Говорят, им уже немного осталось до стандартизации, но уже сейчас они поддерживают широкий спектр инструментов. Вообще, MDM является частью более широкого набора средств, которые часто называют «корпоративным управлением мобильностью».
6) Как донести информацию об ответственности до пользователей? После введения политики разумно собрать подписи всех сотрудников, использующих собственные мобильные устройства, подтверждающие, что они были ознакомлены с разработанной политикой. Конечно, это все равно не помешает пользователям совершить злонамеренные действия, но заставит задуматься о серьезности использования мобильного устройства на работе тех, кто в обычных условиях не задумался бы. Естественно, для более легкого донесения информации до конечных пользователей, политику надо сформулировать так, чтобы она была максимально простой и понятной.
7) Личное использование vs использование для работы. Это тот самый спорный момент, который может испортить любую не достаточно обоснованную политику. Особенно в нашей стране, где пока в этой сфере все не очень хорошо с законодательством. Кто, например, виноват, если при удаленном стирании информации с мобильного устройства с помощью упомянутого выше MDM-инструментария, пострадали личные данные?
Так что одним из обязательных действия по отношению к политике принятия BYOD должен стать ее регулярный пересмотр, в том числе с учетом обновлений в законодательстве.