BYOD, czyli własne urządzenie mobilne w pracy

W związku z upowszechnieniem się urządzeń mobilnych coraz powszechniejsza staje się tendencja  nazywana konsumeryzacją lub BYOD (Bring Your Own Device – przynieś swoje własne urządzenie). Polega to na  tym, że pracownicy używają prywatnych smartfonów, tabletów i laptopów w pracy.

Korzystanie z BYOD jest ciekawą alternatywą, ale też  sztuką kompromisu. Możliwość używania  ulubionego urządzenia wiąże się z tym, że pracownik musi godzić się na pewne ustępstwa wymuszone polityką bezpieczeństwa w miejscu zatrudnienia. Pracodawcy  zaś powinni rozważyć wszystkie za i przeciw, biorąc pod uwagę z jednej strony koszty, z drugiej – potrzeby pracowników, wymagania biznesowe i bezpieczeństwo.

Z badania przeprowadzonego na zlecenie firmy Fortinet wynika, że BYOD rozprzestrzenia się szybko. 74 proc. respondentów na świecie i 69 proc. w Polsce zadeklarowało, że bardzo często wykorzystuje prywatne urządzenia mobilne w celach służbowych.

W badaniu Horizons Study, wykonanym  przez dział internetowych rozwiązań biznesowych Cisco, aż 95 proc. respondentów stwierdziło, że ich przedsiębiorstwa zezwalają pracownikom na korzystanie z własnych urządzeń w miejscu pracy. Firma analityczna Forrester przewiduje, że w ciągu trzech lat zjawisko BYOD w większości organizacji stanie się standardem.

Pomysł dobry, lecz ryzykowny

Korzyści z BYOD są niewątpliwe. Pracodawcy nie płacą za nowoczesne urządzenia. Nie ponoszą też dodatkowych kosztów związanych z inwentaryzacją, serwisem, rozliczeniami księgowymi, amortyzacją itd. Z kolei pracownicy są  zadowoleni i bardziej produktywni, gdyż uzyskują optymalne warunki pracy i lepiej wykorzystują czas. A to przyspiesza realizację różnych procesów biznesowych i przekłada się na niższe koszty funkcjonowania przedsiębiorstwa.

BYOD jest także sporym impulsem do wprowadzenia w przedsiębiorstwie rozwiązań zunifikowanej komunikacji na urządzeniach przenośnych. Dział Cisco Internet Business Solutions Group  szacuje, że roczna wartość korzyści wynikających z tego zjawiska wynosi od 300 do 1300 dolarów na jednego pracownika, zależnie od stanowiska zajmowanego przez daną osobę.

Widać to na przykładzie firmy Citrix w USA, gdzie program Bring Your Own Device (BYOD) jest wykorzystywany od ponad trzech lat i do tej pory pozwolił ograniczyć koszty już o ponad 20 proc. Było to możliwe dzięki ograniczeniu przez pracowników liczby zgłoszeń do działu wsparcia.

Jednak należy pamiętać, że  zdalny dostęp do aplikacji, serwerów i baz danych stwarza bardzo poważne ryzyko dla każdej organizacji. Pojawiają się obawy  na przykład o fizyczne bezpieczeństwo urządzeń (tablety poza miejscem pracy są narażone na kradzież). Istnieje też ryzyko utraty danych.

Specyfika urządzeń mobilnych umożliwia pracownikom dostęp do sieci korporacyjnej i do biznesowych aplikacji z dowolnego miejsca. W ten sposób duża ilość poufnych informacji firmowych jest przechowywana na prywatnych urządzeniach. Również praca działów informatycznych staje się trudniejsza, gdyż muszą one zapewniać pomoc techniczną wielu platformom mobilnym.

Według Trend Micro niebezpieczeństwo związane z BYOD będzie stawać się coraz większe wraz ze wzrostem ilości udostępnianych danych.

Prywatne urządzenia nie zawsze są też dobrze chronione. Administratorzy nie mają nad nimi pełnej kontroli, a użytkownicy niekiedy nie grzeszą roztropnością (np. ściągają aplikacje z niepewnych źródeł).

W marcu 2012 roku opublikowano IT Executives and CEO Survey Final Report, który powstał na podstawie rozmów z dyrektorami najwyższych szczebli z ponad 850 firm z Niemiec, Stanów Zjednoczonych i Wielkiej Brytanii. Wynika z niego, że już 78 proc. firm pozwala pracownikom na używanie prywatnych urządzeń w celach związanych z pracą. Niestety okazało się również, że spośród badanych firm połowa odnotowała przypadki kradzieży danych lub naruszenia bezpieczeństwa. 100 proc. tych przypadków  można powiązać z dostępem pracownika do firmowej sieci za pośrednictwem prywatnego urządzenia.

Sposoby na minimalizację ryzyka

BYOD nie jest dobrym rozwiązaniem dla każdej firmy. Sprawdza się tam, gdzie pracownicy mają częsty kontakt z klientem, potrzebują szybkiej komunikacji, a jednocześnie wykonują często swoje obowiązki poza stałym stanowiskiem pracy. W niektórych branżach, gdzie standardy w dziedzinie ochrony informacji są bardzo wysokie, potencjalne ryzyko utraty urządzenia mobilnego jest za duże, aby w ogóle rozpatrywać wdrożenie tego modelu. W takich sektorach jak obronność czy finanse, gdzie bezpieczeństwo danych ma szczególne znaczenie, firmy nie pozwalają pracownikom na korzystanie z własnych tabletów lub smartfonów.

Każda organizacja decydując się na podłączenie do sieci obcych urządzeń powinna najpierw zatroszczyć się o racjonalną politykę bezpieczeństwa. Polityka taka musi obejmować przynajmniej takie zagadnienia jak: posiadanie listy urządzeń korzystających z firmowej sieci wraz z przypisanymi użytkownikami oraz ich uprawnieniami dostępu do danych; procedury postępowania w przypadku kradzieży lub rozwiązania umowy o pracę.

Wyzwaniem dla firmowego działu IT jest duża rotacja sprzętu mobilnego, bo pracownicy mogą go przecież wymieniać. Pracodawca powinien wiedzieć o próbie podłączenia nowego urządzenia do swojej sieci lub tak zorganizować prawa dostępu, by pracownik musiał go poinformować o wymianie urządzenia, z którego korzysta w pracy.

– Wysokiej klasy rozwiązania potrafią rozróżniać urządzenia służbowe od prywatnych i zastosować odpowiednią politykę bezpieczeństwa – mówi Rafał Kruschewski z firmy Novell.

System zabezpieczeń w modelu BYOD rozpoznaje, kim jest użytkownik, czy jest uwierzytelniony, z jakiego urządzenia korzysta i skąd się łączy. W zależności od tych parametrów może ograniczyć niektóre uprawnienia na podstawie zdefiniowanych reguł.  Na przykład jeśli użytkownik łączy się z tabletu w pracy, będzie mógł korzystać z większości aplikacji oprócz tych, które dają dostęp do szczególnie chronionych informacji, normalnie dostępnych z poziomu komputera służbowego.

78  proc.

badanych firm pozwala pracownikom używać własnych urządzeń mobilnych

- Jeżeli firma zgadza się na funkcjonowanie modelu BYOD, a pracownik chce korzystać z prywatnego sprzętu, to obie strony powinny liczyć się z tym, że urządzenie będzie wymagało specjalnych zabezpieczeń. Na rynku dostępne są rozwiązania, które umożliwiają blokowanie urządzenia lub selektywne wymazywanie danych, a także ich szyfrowanie. Dzięki temu dane są chronione przed niepożądanym dostępem na przykład w przypadku zgubienia telefonu przez pracownika – mówi Filip Demianiuk z Trend Micro.

Zmiany są nieuchronne

Nie tylko kradzież danych i urządzeń jest problemem, gdy stosuje się BYOD. Jest nim także polityka licencyjna. Licencje umożliwiają instalację oprogramowania na urządzeniach licencjobiorcy, a więc wyłącznie na sprzęcie należącym do firmy. Instalacja aplikacji kupionych przez firmę na urządzeniach należących do pracowników może być uznana za łamanie warunków umowy licencyjnej. Rozwiązaniem jest wirtualizacja aplikacji.

Kolejną rzeczą jest uregulowanie spraw związanych z rozliczeniami kosztów transmisji danych oraz połączeń telefonicznych. Pracodawca może wspierać się rozwiązaniami kontrolującymi billingi. Należy jednak pamiętać, że każde z nich stanowi dodatkowy koszt.

Ze względu na różnorodność systemów oraz ochronę prywatności pracowników zarządzanie ich urządzeniami jest czasem niezwykle trudne. Problemem jest nawet system operacyjny w laptopach. Urządzenia domowe nie mają biznesowych edycji systemu Windows. Zarządzanie nimi bez oprogramowania firm trzecich jest niemożliwe. Różnorodne oprogramowanie stosowane w urządzeniach prywatnych może wymagać od pracodawcy posiadania narzędzi do monitorowania urządzeń  (Systemy Mobile Device Management), co stanowi kolejny koszt.

– Pojawia się  pytanie, czy lepiej jest otworzyć się na konsumeryzację, czy też po prostu w obliczu potencjalnych zagrożeń, broniąc bezpieczeństwa systemu, nie dopuszczać takiej możliwości. Nie wykluczam, że niektóre firmy czy działy IT opowiedzą się za drugim rozwiązaniem. Jednak doradzamy klientom, żeby myśleli raczej o tym, jak najlepiej przygotować się na nieuchronne zmiany – twierdzi Paweł Jakubik, dyrektor sektora finansowego w polskim oddziale Microsoft.

Opinie

Filip Demianiuk | Trend Micro

W Polsce wiele firm nie podjęło jeszcze działań związanych z bezpieczeństwem konsumeryzacji i modelu BYOD. Tymczasem model ten stwarza nowe zagrożenia. Dane mogą dostać się w niepowołane ręce nie tylko w wyniku kradzieży urządzenia mobilnego. Cyberprzestępcy potrafią skłonić ofiarę do tego, by sama pobrała złośliwe oprogramowanie na urządzenie. Zainfekowany telefon może dostarczyć wielu cennych informacji, a także wysyłać niewidoczne dla użytkownika drogie wiadomości tekstowe. Tego rodzaju atak może mieć bardzo poważne konsekwencje finansowe, a także poważnie zaszkodzić reputacji firmy.

Jolanta Malak | Symantec Poland

Pierwszym krokiem w zabezpieczaniu firmowych danych jest przeprowadzenie wewnętrznego audytu i określenie, w którym miejscu znajdują się ważne informacje, kto ma do nich dostęp, w jaki sposób zapewnia się ich ochronę. W drugim etapie przedsiębiorstwo powinno ustalić, jakie aplikacje mogą być instalowane na prywatnych urządzeniach pracowników. Programy te zostaną następnie udostępnione w ramach korporacyjnego app store'a. Urządzenia mobilne są wyjątkowo narażone na kradzież lub zgubienie. Dlatego rozwiązania mobilne powinny umożliwić działom IT oraz użytkownikom zdalne blokowanie oraz wyczyszczenie zawartości urządzenia.

Roman Sadowski | Alcatel-Lucent Polska

Koszty wprowadzenia BYOD są związane z wdrożeniem rozwiązania teleinformatycznego, które w takim modelu potrafi zapewnić bezpieczeństwo oraz zarządzać siecią. Do tego dochodzą koszty związane z eksploatacją. Są to różnorodne wydatki, które mogą być elementem negocjacji na linii pracownik-pracodawca. Typowym przykładem jest ustalenie, kto pokrywa koszty transmisji danych, jeśli tablet czy smarfon nie zawsze będą się łączyć za pośrednictwem firmowej sieci bezprzewodowej WiFi, a także przez 3G.

Wiesław Paluszyński | prezes Trusted Information Consulting

Dla małych firm, które nie dysponują dużym kapitałem, na początku działalności model BYOD może być ciekawy. Dla dużych firm istotniejsze mogą być koszty inwestycji i amortyzacja niż koszty operacyjne, z którymi mamy do czynienia przy korzystaniu ze sprzętu pracownika. Firmowe dane nie powinny być w ogóle  gromadzone w urządzeniu mobilnym. W szczególnym przypadku mogą być one w nim buforowane, ale bez możliwości ich kopiowania. Podstawową zasadą korzystania z sieci firmowej jest zarządzanie tożsamością osób mających do niej dostęp. Jeśli takie mechanizmy są wdrożone, ryzyko się zmniejsza.