BYOD: в поисках компромиссов

Мы живем в эру мобильных устройств. Смартфон с доступом к Интернету и социальным сетям доступен почти каждому школьнику, не говоря уже о сотрудниках крупных компаний, которые всегда должны быть на связи. Но мобильные устройства помимо удобства порождают и дополнительные риски. Школьникам приходится справляться с этими рисками самостоятельно, а минимизацией рисков компаний, позволяющих своим сотрудникам использовать мобильные устройства для работы, вынуждены заниматься службы безопасности.

Специалистам по информационной защите в очередной раз приходится искать компромисс между удобством и безопасностью, устраивающий всех. И одним из вызовов, требующих поиска компромиссов, является маркетинговая концепция BYOD (Bring Your Own Device).

Только одно «но»

Вначале, по правилам хорошего тона, разберемся с терминологией. По сути, сокращение BYOD означает «приноси свое собственное устройство и используй его для работы». Давая такое разрешение, работодатель повышает уровень лояльности сотрудников и экономит на приобретении корпоративных девайсов. Сотрудники получают возможность отвечать на рабочую почту с тех же устройств, которыми они фотографируют робкие шаги своих первенцев, и это удобнее, чем держать для служебных целей отдельные устройства (которые, к слову, часто не соответствуют нашим представлениям о прекрасном). Получается, что рабочая почта не остается без ответа, сотрудники довольны, компания тоже. Есть только одно «но»: служебная информация оседает на личных устройствах.

В чем тут таится угроза для компании? В первую очередь, необходимо принимать во внимание юридические риски. По законодательству организация обязана предоставить сотруднику все оборудование, необходимое для выполнения его обязанностей. Тонкий момент заключается в том, что в при использовании BYOD-программ задействовать личное устройство для рабочих целей удобно, но не необходимо. Разрешая применять такое устройство, компания не хочет нести юридические риски, например компенсировать его амортизацию. Кроме того, юридически организация не имеет права доступа к личному устройству и не может, скажем, удалить с него информацию в случае компрометации учетных данных. А это, в свою очередь, создает проблемы, связанные с безопасностью информации. Не получив доступа к устройству, нельзя гарантировать требуемый уровень защиты.

Выбор есть всегда

«Яндекс» тоже столкнулся с проблемой поиска компромисса. Мы встали перед выбором: как именно организовать управление BYOD в компании, какие использовать решения и как это оформлять юридически? Возможности запретить использование сотрудниками собственных мобильных устройств у нас не было – нужно отвечать потребностям современного мира, хотим мы этого или нет. Собрав рабочую группу, состоящую из сетевых администраторов, специалистов по безопасности и юристов, мы приступили к делу.

Для снижения юридических рисков каждый сотрудник «Яндекса», который хочет использовать личное устройство для работы, подписывает Обязательство. Таким образом он дает «Яндексу» разрешение на получение доступа к его устройству и удаление с него данных (в том числе личных) при возникновении инцидента. Обязательство имеет юридическую силу и хранится в течение всего срока работы сотрудника.

С точки зрения ИБ-рисков «Яндекс» тоже отличается от других компаний. Многие внутренние инструменты написаны нами самостоятельно, и кроме необходимой функциональности в них предусмотрены инструменты защиты, такие как управление и контроль над доступом, ведение журналов регистрации событий и др. Узнать, кто получал доступ к каким ресурсам и в какое время, мы можем из журналов внутренних сервисов. Поэтому к системе управления мобильными устройствами (Mobile Device Management, MDM) у нас были самые простые требования.

Среди них – установка «в один клик» пользовательского профиля, включающего в себя сертификат на устройство, настройки почты, календаря, VPN. Кроме того, это возможности отслеживания, используется ли устройство (чтобы отозвать сертификат в случае неиспользования), блокировки доступа и удаления информации при инциденте – краже или потере устройства, компрометации учетных данных. Такие требования может выполнить почти любая MDM-система.

Давай дружить!

Однако сложности ожидали нас уже на следующем этапе. Имеется «бумажное» Обязательство, подписанное сотрудником, и MDM-система. Но как их «подружить»?

Визитная карточка интранета «Яндекса» – хитросплетение сложных инструментов, присущих любой крупной компании, и множества самописных решений, упрощающих жизнь сотрудника на каждом шагу. Если есть возможность что-то автоматизировать, мы это непременно сделаем. Самое сложное – обеспечить интеграцию разных систем, создать единое информационное поле, чтобы действительно упростить жизнь, а не запутать ее. С учетом уже имевшихся в «Яндексе» инструментов была придумана следующая схема:

  • сотрудник приносит распечатанное и подписанное Обязательство в отдел кадров;
  • сотрудник отдела кадров регистрирует Обязательство в системе учета (используется ERP-система). Фактически, это – еще один признак, который появляется у сотрудника в системе;
  • из ERP-системы этот признак передается с помощью дополнительного транспорта в MDM-систему;
  • сотрудник получает возможность скачать на устройство управляющий профиль, который настроит все необходимые приложения.

На первый взгляд, схема не очень сложна, но в процессе ее отладки подводные камни встречались буквально на каждом шагу. Сначала мы столкнулись с техническими трудностями. Данные передавались не так, как нужно, и не распознавались MDM-системой. Потребовалось устранить ошибки и дописать дополнительные инструменты мониторинга.

Кроме того, выяснилось, что в разных странах (а BYOD хотят использовать наши сотрудники во всех странах) процессы несколько различаются юридически и технически. Например, в турецком законодательстве очень жестко прописан доступ к личной информации сотрудника, а при получении доступа к мобильному устройству мы так или иначе получаем доступ к личным данным. Из-за подобных различий в законодательстве были разработаны несколько версий Согласия для разных стран. Технически процессы тоже различаются, но причиной этого является уже внутрикорпоративная кухня: исторически сложилось так, что в разных странах процесс оформления сотрудников имеет свои нюансы.

Технические ошибки, как водится, – не чета организационным. Нужно было так организовать процесс, чтобы все работало очень четко. Первое время мы тратили много времени на выявление ошибок, поскольку искали их на стороне технологий (кропотливо разбирались в том, почему нужный признак не попадает в MDM-систему). Но потом выяснялось: или сотрудник не понял, что Обязательство нужно не просто прочитать и принять к сведению, а отнести в отдел кадров, или сотрудники отдела кадров ошиблись при заполнении формы в системе учета.

В процессе отладки в систему поиска ошибок пришлось включить контрольные точки организационных моментов. Например, в отделе кадров проставлением «нашего» признака занимаются два специально обученных человека. Пока они не закроют задачу (тикет) добавления признака в систему учета, мы считаем, что признак не поставлен, и разбираемся с сотрудником и отделом кадров. Если признак введен, мы выясняем, корректно ли система учета передает данные транспорту и корректно ли транспорт доставляет их до MDM.

На каждом этапе есть ответственные люди (или службы поддержки), которые контролируют процесс и отвечают на вопросы, связанные с их зонами ответственности. После того, как мы продумали и организовали столь всесторонний процесс контроля, ошибки стали выявляться и устраняться гораздо быстрее. Процесс закрутился и начал работать так, как задумано.

Большая красная кнопка

Тем, что на устройстве сотрудника появились рабочая почта и VPN, процесс не заканчивается – скорее, он только начинается. Следующий этап состоит в том, чтобы удалить все возможности доступа и рабочую информацию, если устройство перестанет использоваться в результате его кражи, утери, продажи или компрометации учетных данных. В таких случаях сотрудник не меньше нас заинтересован в том, чтобы удалить все данные (ведь скомпрометирована не только рабочая, но и личная информация). Он любым удобным способом информирует об инциденте службу безопасности или службу поддержки пользователей, и все сведения удаляются.

Если же сотрудник меняет телефон (т.е. старый телефон перестает использоваться, но возможность доступа остается), мы отслеживаем, применяется ли устройство. Выяснив, что оно не действует более трех месяцев, мы отзываем доступы.

Таким образом, BYOD-процесс включает в себя весь цикл жизни устройства – от рождения до смерти. Мы постарались, чтобы использование личного устройства было удобным и безопасным, а процесс установки управляющего профиля – максимально автоматизированным и незаметным для сотрудника. Надеемся, что у нас это получилось. Но мир не стоит на месте, технологии развиваются, и нужно бежать очень быстро, чтобы оставаться современными и актуальными.


Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.