Информационная безопасность диктует свои правила во многих серьезных компаниях: приходить на работу с собственными накопителями данных, лэптопами или фотокамерами – значит нарушать внутренний распорядок. Впрочем, времена меняются: мало кого из сотрудников можно убедить расставаться на работе с персональным смартфоном – а чем он безопаснее той же флэшки или фотоаппарата? А по какой статье проходит, например, планшетный компьютер? Наиболее прозорливые руководители уже начали использовать любовь сотрудников к различным гэджетам на благо компании – в рамках так называемого принципа BYOD (который так и тянет перевести на русский язык аббревиатурой «КПСС» – «Каждый Приносит С Собой»). Сегодня мы предлагаем вам обсудить статью из Computerworld Singapore (согласитесь, сложно представить себе сингапурца-айтишника без мешка гэджетов), в которой рассматриваются различные подходы к этому принципу.
По мере того, как в сфере ИТ продолжает развиваться консьюмеризация, изменяется и отношение директоров по информационным технологиям к тенденции BYOD (Возьми На Работу Свое Устройство). Во многих компаниях по-прежнему запрещается пользоваться на рабочем месте любыми некорпоративными устройствами, но кое-где к ним уже относятся снисходительно. Тем не менее, философия BYOD применительно к «айпадам», другим планшетам и «макбукам» остается камнем преткновения для большинства директоров, обеспокоенных ослаблением контроля над цифровой безопасностью в компании.
Но победоносный марш ИТ-консьюмеризации уже не остановить – а значит, мы достигли точки, в которой проблему BYOD приходится решать безотлагательно. Чтобы выйти победителем из этой щекотливой ситуации, следует внедрять BYOD так, чтобы обезопасить работу с техникой для персонала, посетителей и самой организации.
Любой руководитель, которому приходилось задумываться над проблемой BYOD, понимает, что при организации доступа в сеть компания должна контролировать, какие пользователи подключаются к сети с каких устройств, где это происходит и когда. К сожалению, из-за излишних перестраховок слишком часто упускаются из виду наиболее тонкие нюансы, не позволяющие найти золотую середину между безопасностью и гибкостью. Кроме того, любые перегибы в этой области чреваты нежелательными последствиями. Чтобы было проще их избежать, мы рассмотрим несколько типичных проблем, связанных с доступом в сеть. Именно на них следует в первую очередь обратить внимание, выстраивая в организации политику BYOD – если только вы не внедрите собственное, ультрасовременное решение.
Итак, начнем с главного.
Не забудьте о гостях. Как правило, говоря о BYOD, мы подразумеваем, что именно сотрудники компании приходят на работу с собственными устройствами. Но если клиент, подрядчик или партнер приходит в другую компанию, он вполне может принести с собой как свое личное устройство, так и корпоративное устройство своей компании. Эти гаджеты – также часть проблемы BYOD: ведь это неконтролируемые вами устройства, которым нужно обеспечить контролируемый доступ к ресурсам вашей сети. Поэтому у вас должна быть возможность предоставить эффективный гостевой доступ, не требующий постоянного участия ваших ИТ-специалистов. Необходимо учесть не только очевидные риски в области безопасности, но и дополнительные расходы – в частности, на предоставление гостевых аккаунтов, управление ими и их поддержку. Удобный и вежливый способ решения этой задачи – послать гостю SMS или электронное письмо, в котором вы сообщите информацию, необходимую для доступа. Таким образом, гость получит нужный ему доступ, а вы – информацию о госте, необходимую для контроля над этим доступом. Такая самостоятельная регистрация, вместе с возможностью автоматической классификации и регистрации устройства (fingerprinting), значительно упрощает администрирование BYOD.
И никаких «яблочных» войн! Сетевая инфраструктура компании редко бывает выстроена из компонентов, предоставляемых единственным производителем. Поэтому любое решение, связанное с доступом в сеть, ни в коем случае не должно быть завязано на продукции конкретного производителя, а должно основываться на открытых стандартах. Это необходимо, чтобы не связывать себе руки проприетарными протоколами и функциями. Со временем вы обязательно будете изменять и дополнять инфраструктуру сети. И значит, жесткой зависимости между управлением сетевым доступом и конфигурацией самой сети быть не должно.
Применяя многоканальную коммутацию, вы обеспечиваете унифицированный и в то же время гибкий гостевой доступ, не раскрывая при этом каких-либо фрагментов вашей конвергентной инфраструктуры. В то же время для любого решения в области безопасности исключительно важно по-настоящему унифицировать контроль доступа как в стационарных, так и в мобильных сетях. Это важно как с точки зрения удобства пользователя, так и с точки зрения ИТ-отдела, сотрудники которого заинтересованы в применении одной и той же политики обеспечения безопасности во всех возможных случаях. В конце концов, не исключена ситуация, в которой пользователь может довольно долго работать с беспроводным соединением, а потом вдруг войти в свой аккаунт через стационарную сеть – и такой переход также должен протекать совершенно гладко.
Оперативная доступность. Еще один важный фактор – обеспечение доступности по мере необходимости. Управление сетевым доступом – одна из важнейших ваших задач, поэтому такой доступ должен быть исключительно надежен и работать круглосуточно. Если его не удается обеспечивать автоматически, то тогда придется нагрузить работой ваших ИТ-специалистов, поскольку качественное обслуживание удаленных офисов и специалистов, работающих в разных часовых поясах, непредставимо без круглосуточного доступа к информации.
Разборчивость. Следует отдельно рассмотреть детализацию политики доступа – этот аспект позволяет организациям определять его порядок. Можно регламентировать, какой доступ к данным предоставляется пользователю, в зависимости от того, с каким устройством он работает, откуда выходит в сеть, в какое время суток, в зависимости от его поста в организации и от других известных характеристик пользовательского устройства. Например, если пользователь идентифицирован как менеджер по кадрам, который пытается подключиться к корпоративному устройству по стационарной сети, вы можете предоставить ему полный корпоративный доступ. Но если тот же HR-специалист подключается по беспроводному каналу с собственного айпада, используя те же рабочие учетные данные, вы можете предоставить ему лишь ограниченный доступ к корпоративной информации.
Корпоративные директории. Важно обеспечить интеграцию с корпоративными директориями. Внедряемое решение должно предоставлять пользователю, работающему с устройством, возможность поиска информации в различных каталогах, предоставляемых различными поставщиками – причем одновременно. Только так вы сможете и сохранить простоту доступа к информации для конечного пользователя, и не потерять контроль над ИТ-инфраструктурой.
Если в вашей организации применяются приватные облака, обеспечивающие пользователям корпоративной сети возможность работы с различной информацией и приложениями, которые недоступны извне, то можно объединить BYOD-доступ для сотрудников и посетителей. В таком случае, ИТ-отдел, в сущности, предоставит сквозной доступ до самого датацентра не только с настольного компьютера, но и с мобильных устройств. В то же время компания сохранит контроль над настольными приложениями и программными лицензиями.
При этом остаются и другие насущные вопросы, не связанные непосредственно с технологиями, в частности:
Кто этим займется? На работу, связанную с обеспечением BYOD, уходит немало времени. Как правило, у ИТ-отдела и без того всегда очень много дел, и раньше программистам нечасто требовалось специально заниматься обеспечением гостевого доступа и его отслеживанием. Некоторые решения позволяют передать работу по обеспечению такого доступа нетехническому персоналу, например, секретарю или службе безопасности. Эти сотрудники могли бы предоставлять гостевой доступ при помощи специального настраиваемого веб-интерфейса.
Пользовательское соглашение. Несомненно, любые пользователи – в том числе наши гости – должны придерживаться установленных правил, но ИТ-отдел не обязан следить за тем, чтобы эти правила выполнялись. Лучше делегировать такую работу кадровому отделу и юристам.
Независимо от того, как вы организуете работу в корпоративной сети с учетом BYOD, с учетом вышеупомянутых нюансов вы сможете продумать гибкие варианты реализации, обустроить аккуратный дифференцированный доступ, а также полную видимость в реальном времени всех устройств, подключенных к сети. Разумеется, вы будете полностью контролировать и глубину доступа, предоставляемого пользователям этих устройств. Если подойти к проблеме именно с таких позиций, то вы сможете организовать в компании BYOD на выгодных вам условиях.
Источник
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.