Консьюмеризация и BYOD. Все неоднозначно

Относительно ситуации с развитием консьюмеризации и применения принципа BYOD  западных компаниях, ниже приведены данные, полученные в результате двух исследований. В частности, в рамках исследования компании Forrester Consulting, проводившегося при поддержке Trend Micro, были опрошены более 200 профессионалов в сфере ИТ. Все респонденты представляли компании из США, Великобритании, Германии и Франции, которые имеют в штате 500 или более сотрудников и в настоящий момент реализуют программы BYOD. В другом исследовании, проводившемся Trend Micro и Decisive Analytics, приняли участие более 400 специалистов в сфере ИТ. Все они представляли компании из США, Великобритании и Германии, которые имеют в штате 500 или более сотрудников и в настоящий момент реализуют программы BYOD.

Исследование, проведенное Forrester Consulting, показало, что сегодня программы в сфере консьюмеризации реализуются большинством (78%) компаний. При этом 60% респондентов сообщили о том, что основой их стратегии BYOD стали смартфоны, а 47% компаний развертывают среды BYOD на основе ноутбуков и планшетных ПК. В качестве причин внедрения программ BYOD 70% респондентов назвали возможность повысить эффективность работы сотрудников.

Вместе с тем, исследование Decisive Analytics показало, что подавляющие большинство (83%) компаний, реализующих программы BYOD, в качестве меры предосторожности требуют от сотрудников устанавливать на свои персональные устройства защитное ПО. Кроме того, согласно данным Trend Micro, 86% руководителей по ИТ из США, Великобритании и Германии считают защиту данных на смартфонах «проблемой номер один» в том, что касается консьюмеризации.

Эксперты сходятся во мнении, что сегодня консьюмеризация является повседневной реальностью большинства крупных компаний. «Очевидно, что при использовании разумных мер предосторожности консьюмеризация способна обеспечить бизнесу целый ряд преимуществ. Она помогает ускорить инновационные процессы в компании, полнее раскрыть потенциал сотрудников и снизить уровень расходов», - отмечает вице-президент направления безопасности мобильных устройств компании Trend Micro Чезаре Гарлати (Cesare Garlati).

Однако эксперты единодушны и в еще одном мнении, которое заключается в том, что прежде чем разрешать сотрудникам использовать свои персональные устройства для доступа к корпоративным сетям и приложениям, необходимо внедрить надежные политики и процедуры защиты.

Говоря о рисках, в частности, в отчете Decisive Analytics приводятся следующие цифры: в половине (47%) компаний, разрешающих сотрудникам подключать свои персональные устройства к корпоративной сети, имели место случаи утечки данных. Как правило, при обнаружении подобных проблем первой мерой защиты является изменение протоколов безопасности. В качестве корректирующих мер компании выбирают наложение ограничений доступа (45% респондентов) и установку защитного ПО (43% респондентов). 12% компаний после подобного инцидента приняли решение о сворачивании программы BYOD до тех пор, пока не убедятся в надежности мер защиты.

В России, в свою очередь, по данным экспертов, консьюмеризация и принцип BYOD также развиваются и находят применение в различных бизнес-процессах компаний. К примеру, отечественные разработчики программных продуктов по автоматизации процессов управления корпоративным контентом дают следующую оценку этим трендам: «Конечно, процесс консьюмеризации идет в России достаточно активно. Сейчас без клиентоориентированного подхода нельзя создавать ПО и требования пользователей только растут. Относительно принципа BYOD, хочу подчеркнуть, что с точки зрения информационной безопасности применение собственных мобильных устройств совместно с корпоративными системами резко снижает уровень защищенности компании в целом. Применение принципа BYOD, особенно в части работы с корпоративными системами управления документами и контентом, теоретически возможно, но несет в себе немалые угрозы, так как непонятно, какое еще ПО установлено у того или иного сотрудника на его мобильном устройстве, и как оно может повлиять на работу корпоративной СЭД или ECM-системы. Поэтому я бы не торопилась с оценкой такого тренда как положительного и необходимого для применения в России. Конечно, многое зависит и от операционной системы, в которой работает то или иное устройство и мы как разработчики обращаем на это большое внимание, поскольку большую часть безопасности берут на себя именно сами устройства и ОС на которой они работают. Но опять же, если говорить про широту применения принципа BYOD в России, то многое зависит и от компетенции сотрудников, и от точки зрения на этот вопрос руководства, и от политики безопасности», - говорит начальник отдела маркетинга компании «Электронные Офисные Системы» (ЭОС) Елена Иванова.  

В свою очередь, эксперты в области информационной безопасности говорят о том, что  в России в части применения принципа BYOD можно наблюдать как сходства с западными рынками, так и отличия. Директор по маркетингу «Лаборатории Касперского» Александр Ерофеев среди прочего говорит следующее: «Фундаментальное отличие связанно с историей развития мобильной связи в России, которая имеет ряд характерных особенностей. До недавнего времени российские операторы мобильной связи не продавали тарифные планы вместе с устройствами. Вследствие этого многие компании не предоставляли своим сотрудникам корпоративные телефоны, либо вводили строгую политику и ограничения. Вторая историческая причина заключается в том, что очень долго на российском рынке не было BlackBerry, который по сути и сформировал политику единого мобильного устройства для многих компаний в Западной Европе и США. Таким образом, в России сформировались многолетние традиции BYOD для мобильных устройств, которые сильны до сих пор. Без острой необходимости компании предпочитают не закупать мобильные устройства, ведь они знают, что большинство сотрудников сами готовы это сделать. Вместе с тем, сейчас ситуация начинает меняться. Отчасти это связано с тем, что операторы начали продажу мобильных устройств вместе с тарифными планами. Но, главное, компании начали понимать, что иметь «зоопарк» мобильных устройств, особенно, смартфонов, на которых установлена корпоративная почта и хранятся важные для бизнеса данные, небезопасно. Поэтому количество организаций, которые систематизируют и унифицируют свои мобильные устройства, начинает расти».

В части применения принципа BYOD  в России в отношении компьютеров, по словам Александра Ерофеева, наблюдается обратная ситуация. «Компьютеры компании традиционно выдавали своим сотрудникам, и очень долго попытки принести собственное устройство всячески пресекались. На Западе тоже так было до определенного времени, но там раньше произошла индивидуализация работы сотрудников. Например, сотрудники многих компаний имеют возможность работать вне офиса, у них по-другому устроен рабочий день. В России пока мы видим некоторый перекос – гораздо больше BYOD среди мобильных устройств, чем в сегменте лэптопов, и тем более десктопов», - отмечает эксперт «Лаборатории Касперского».

Как и западные аналитики, отечественные эксперты сходятся во мнении, что политика BYOD может принести пользу компании, но только при условии внедрения единых правил использования персональных устройств с точки зрения безопасности, а также эффективных решений для контроля и защиты всех устройств, как закупаемых компаниями, так и личных.

Аналитик компании «Доктор Веб» Вячеслав Медведев отмечает следующее: «Еще совсем недавно мобильные устройства с полноценными операционными системами были редкостью. Пришествие Android и iOS произошло практически молниеносно — за несколько лет мощные мобильные компьютеры появились у 60% сотрудников офисов компаний. И большая часть логично стала использовать их для работы вместо положенных им по штату компьютеров. Еще пару лет назад основной угрозой, исходящей от мобильных, считалось наличие встроенных фотоаппаратов и диктофонов, а сегодня с точки зрения возможностей для криминальных структур (а хакеры-одиночки уже давно сошли со сцены) мобильные устройства превосходят обычные компьютеры. И все это произошло внезапно. Ответственные за безопасность компаний в большинстве случаев еще не успели осознать факт столь резкой компрометации своих систем безопасности. Выстраиваемые годами системы, охраняющие периметр сети, в один момент стали бесполезны. Проникнув на незащищенное устройство, преступник легко их обходит, пользуясь беспечно помещенными на устройство паролями доступа. Но даже осознав, руководство компаний оказалось в патовой ситуации — бюджеты расписаны на год вперед, и требование защиты всех мобильных автоматически требует отказа от проектов, важных для бизнеса. Исходя из вышесказанного, идея включения устройств сотрудников в состав корпоративной инфраструктуры осознается достаточно четко, но средства, выделяемые на эту цель, пока крайне малы . И в этой области Россия не сильно отличается от всего мира».

Александр Ерофеев в свою очередь приводит следующую статистику: «Согласно результатам исследования «Лаборатории Касперского» 34% российских компаний видят в целом в мобильных устройствах серьезную угрозу бизнесу, а 55% признались, что гораздо больше думают о безопасности корпоративных смартфонов и планшетов по сравнению с прошлым годом. И это неудивительно, учитывая, что 10% российских компаний за прошедший год сталкивались с утечкой важной информации из-за кражи или утери мобильного устройства».

По словам эксперта, защитные решения для мобильных устройств должны, в первую очередь, защищать не сами гаджеты, а хранящиеся на них данные, утечка которых может сильно ударить по бизнесу. Мобильное устройство легче похитить или потерять, вместе с устройством теряются данные, в том числе, корпоративные. В этой ситуации для ИТ-подразделений важно не только иметь видимость активов предприятия, включая мобильные устройства, но и иметь возможность удаленного контроля над данными, например, удаленно заблокировать устройство в случае его утери или удалить с украденного устройства рабочие документы и почту.

На еще один немаловажный аспект указывает Вячеслав Медведев: «На данный момент в России отсутствует ресурс по безопасности, доступный и понятный всему бизнес-сообществу. Отдельные разрозненные статьи, к сожалению, не делают погоды. С учетом достаточно недавнего превращения мобильных устройств в главную угрозу безопасности степень осознания этой проблемы можно считать низкой». Тем не менее, по словам эксперта компании «Доктор Веб», процесс в части осознания рисков ИБ при работе по принципу BYOD идет. Это можно наблюдать хотя бы по росту предложений специализированных решений и росту их функционала.