BYOD (Bring your own device) to wykorzystanie w środowisku pracy prywatnych urządzeń pracowników. BYOD dynamicznie się rozwija i, jak każda moda, ma swoje zalety i wady. Pentacomp przedstawia za i przeciw popularyzacji urządzeń prywatnych w pracy, jak również zwraca uwagę przedsiębiorców na obszary ryzyka związanego z BYOD.
Z ankiety CheckPoint przeprowadzonej w grupie około 770 menedżerów IT z USA, Wielkiej Brytanii, Kanady, Niemiec i Japonii wynika, że 2/3 firm pozwala swoim pracownikom wykorzystywać przy wykonywaniu obowiązków służbowych prywatne urządzenia mobilne. Wynik jest o kilka procent wyższy niż w ubiegłym roku, co oznacza, że grono zwolenników BYOD ciągle rośnie. Inaczej na sprawę patrzą pracodawcy, inaczej pracownicy, stąd często te dwie perspektywy stoją ze sobą w sprzeczności.
Obszary ryzyka okiem Pentacompu
Zabezpieczenie urządzeń prywatnych pracowników, którzy korzystają z firmowej sieci i pobierają z niej dane wrażliwe
BYOD cechuje szeroka gama urządzeń i technologii, a więc także stosowanego oprogramowania. Firma, która dba o bezpieczeństwo danych może mieć duży problem w zapewnieniu spójnego i szczelnego systemu bezpieczeństwa. Inną kwestią jest opracowanie polityki bezpieczeństwa i rzeczywiste jej wdrożenie – w grę wchodzą tu takie wyzwania, jak kontrola przypadków wykorzystania sprzętu osobistego oraz przeciwdziałanie wyciekom danych wrażliwych w ewentualnych wrogich przypadkach podejmowanych przez pracowników.
Rozstrzyganie kwestii licencjonowania użytkowanego oprogramowania
Kupowane przez firmę licencje na oprogramowanie umożliwiają jego instalację na urządzeniach licencjobiorcy, a więc wyłącznie na sprzęcie należącym do firmy. Instalacje oprogramowania kupionego przez firmę na urządzeniach należących do jej pracowników mogą być uznane za łamanie warunków umowy licencyjnej.
Zarządzanie prywatnymi urządzeniami mobilnymi pracowników
Zarządzanie urządzeniami typu smartfon wymaga inwestycji po stronie pracodawcy (rozwiązania mobile device management). Ze względu na różnorodność stosowanego w smartfonach oprogramowania, ale też konieczność ochrony prywatności pracowników zarządzanie urządzeniami prywatnymi – bez ustępstw ze strony pracowników – może być wręcz niemożliwe.
Koszt systemów bezpieczeństwa kontra oszczędności na BYOD
Raport 2011 TMT Global Security Study przedstawiony przez firmę Deloitte wskazuje, że połowa spółek z branży TMT (technologie, media, telekomunikacja) ponosi zbyt niskie wydatki na bezpieczeństwo IT, biorąc pod uwagę, że 40% pracowników wykorzystuje do pracy prywatne urządzenie. Wzrastająca liczba urządzeń osobistych w środowisku firmy obciąża działy IT. Firma musi więc świadomie skalkulować, na ile BYOD może się opłacać.
Najważniejsze wyzwanie – bezpieczeństwo danych firmy
Z perspektywy pracodawcy sprawą kluczową w BYOD jest bezpieczeństwo danych. Każda organizacja, decydując się na podłączenie do sieci „obcych urządzeń”, powinna najpierw zatroszczyć się o racjonalną i działającą w praktyce politykę bezpieczeństwa. Dokument ten powinien obejmować przynajmniej takie zagadnienia, jak:
konieczność posiadania listy urządzeń korzystających z firmowej sieci wraz z przypisanymi użytkownikami oraz ich uprawnieniami dostępu do danych;
zasady przechowywania danych oraz określenie ich typu w zakresie możliwości ich pobierania na urządzenia mobilne i tym samym wynoszenie poza środowisko firmy;
procedury postępowania w przypadku kradzieży/ rozwiązania umowy o pracę, które umożliwią wyczyszczenie lub zabezpieczenie danych;
określenie scenariusza aktualizacji systemu operacyjnego,
określenie wymagań co do stosowanych haseł i polityki ich stosowania.
Grzegorz Misztalewski, główny projektant w firmie Pentacomp, zwraca uwagę na trudności w egzekwowaniu od pracowników przestrzegania ustalonej polityki bezpieczeństwa, np. w zakresie instalacji na urządzeniach prywatnych oprogramowania antywirusowego i zapory sieciowej oraz szyfrowania danych. Dodatkowym wyzwaniem jest duża rotacja urządzeń, które pracownicy mogą wymieniać bez informowania o tym pracodawcy. Pracodawca powinien wiedzieć o przypadkach próby podłączenia nowego urządzenia do swojej sieci lub tak zorganizować prawa dostępu, by pracownik musiał go poinformować o wymianie urządzenia, z którego korzysta w pracy. W zależności od skali BYOD urządzenia prywatne mogą stworzyć luki w firmowym systemie bezpieczeństwa. W przeciwieństwie do urządzeń służbowych, nad którymi pracodawca ma pełną kontrolę, sprzęt należący do pracowników może wymykać się nadzorowi. Dlatego pracodawcy trudno ustrzec się przed wyciekiem danych firmowych. Pewnym wyjściem może być wdrożenie restrykcyjnej polityki dostępu do danych i aplikacji, z zastosowaniem np. narzędzi i oprogramowania do monitorowania aktywności użytkowników.
Perspektywa pracownika
Dla pracowników BYOD to przede wszystkim wygoda i większe możliwości pracy mobilnej. Większość ludzi preferuje korzystanie z nowocześniejszych urządzeń od tych, które zapewnia pracodawca. Prywatne urządzenia dają większe możliwości dostosowania ich do indywidualnych potrzeb użytkownika, co ma pozytywne przełożenie na jego produktywność. Dodatkowo, korzystanie z jednego urządzenia do celów służbowych i prywatnych daje pracownikom większą swobodę, która – jak wynika z badań Cisco – jest szczególnie istotna dla pracowników młodszych generacji (pokolenie Y).
Niekorzystne dla pracownika (choć wygodne dla pracodawcy) jest ponoszenie przez niego pełnej odpowiedzialności za sprzęt, również w zakresie serwisowania, a także przypadki kradzieży, zgubienia lub zniszczenia urządzenia. W BYOD kradzież prywatnego laptopa będzie równoważna z utratą sprzętu służbowego, w więc ryzykiem nieuprawnionego dostępu do firmowych danych.
Perspektywa pracodawcy
Dla właściciela biznesu BYOD to z jednej strony oszczędności, z drugiej pewien obszar ryzyka, o który trzeba się bezwzględnie zatroszczyć. Pracodawcy nie płacą za nowoczesne urządzenia; nie ponoszą też dodatkowych kosztów związanych z inwentaryzacją, serwisem, rozliczeń księgowych amortyzacji itd. Poza tym, na rynku pracy istotny udział ma pokolenie Y – młodych pracowników, ceniących wolność i swobodny dostęp do sieci i technologii. Kolejną zaletą może być realne zwiększenie produktywności pracowników, wynikające z wygody dostępu do firmowej sieci oraz mobilności. Nie bez powodu telefon komórkowy w wielu kręgach określa się mianem „elektronicznej smyczy” – BYOD w dużej mierze może skutkować angażowaniem ludzi w sprawy służbowe poza sztywnymi godzinami pracy. Dla obu stron ma to swoje wady i zalety.
Ryzyko? Zdalny dostęp do aplikacji, serwerów i danych stwarza poważne ryzyko dla każdej organizacji. Jego zaniedbanie może grozić poważnymi konsekwencjami.
Przed BYOD nie ma ucieczki
Marcowy raport IT Executives and CEO Survey Final Report, który powstał na podstawie rozmów z dyrektorami najwyższych szczebli z ponad 850 firm z Niemiec, Stanów Zjednoczonych i Wielkiej Brytanii wskazuje, że już 78% firm pozwala pracownikom na używanie prywatnych urządzeń w celach związanych z pracą. Spośród badanych firm prawie połowa odnotowała przypadki kradzieży danych lub naruszenia bezpieczeństwa. Co jednak najbardziej szokujące, 100% przypadków kradzieży danych, o których mowa, można powiązać z dostępem do sieci firmy prywatnego urządzenia pracownika.
Słowa kluczowe: BYOD, dane firmy, Grzegorz Misztalewski, mobilny pracownik, oprogramowanie, Perspektywa pracownika, systemy bezpieczeństwa