При внедрении BYOD проблема безопасности данных встает особенно остро. Повышенная уязвимость и сложность контроля характерна для всех без исключения мобильных устройств, личных или корпоративных. Данные с них передаются по открытым сетям; устройства используются в публичных местах, где они более уязвимы для утери или кражи. «Главная сложность – отсутствие контроля над использованием гаджетов, – комментирует директор департамента информационных технологий группы «АльфаСтрахование» Андрей Педоренко. – Вследствие этого может быть нанесен вред как самим информационным системам, так и конфиденциальной информации, которой в страховой компании очень много».

В случае внедрения BYOD принадлежность устройства сотруднику, а не организации налагает дополнительные сложности, т.к. подразумевает размещение на устройствах личной информации и использование их как в служебных, так и в личных целях. При этом контроль за гаджетом, не являющимся собственностью компании, еще более усложняется, а в случае увольнения сотрудника устройство остается в его собственности. «Внедрение технологий BYOD способствует увеличению количества неразрешенных приложений, которые сотрудники устанавливают на свои мобильные устройства. С одной стороны, это естественно — сотрудник хочет сам решать, с каким сервисом ему удобнее работать, быстрее выполнять поставленные задачи. Но с другой стороны, растет и количество угроз (вирусы, вредоносные ПО и несанкционированные вторжения в сеть), которым подвергаются информационные активы компании», — подчеркивает директор департамента информационной безопасности группы «Астерос» Сергей Коношенко. С ним соглашается Александр Балабанов, управляющий директор компании «Май-Tech»: «По сути, BYOD является идеальной платформой для инсайдерства и промышленного шпионажа. Поэтому на первый план выходит вопрос адекватной целям информационной безопасности – как говорится, без фанатизма, – иначе сам смысл BYOD и мобилизации бизнеса может быть загублен».

Вышеописанные факторы ставят вопрос о необходимости мер по контролю как над пользовательскими мобильными устройствами, так и над контентом, размещенным на них. В частности, при вводе BYOD организации необходимо внедрение достаточно сложных инструментальных средств, например MDM (Mobile Device Management) или MSM (Mobile Security Management). Данные решения позволяют, как минимум, выполнять такие функции, как разделение пользовательского устройства на личную и корпоративную зоны (выделение двух виртуальных машин на одном физическом устройстве); отслеживание местоположения мобильного устройства в разрешенных законом рамках; анализ трафика данных с мобильного устройства; дистанционное стирание информации из корпоративной логической зоны мобильного устройства при его утере / краже или увольнении сотрудника. «Внедрение новых систем защиты вносит коррективы не только в бюджет компании и изменение ИТ-ландшафта, но заставляет пересматривать политику информационной безопасности и, в соответствии с ней, перестраивать существующие процессы по обеспечению безопасности в компании», отмечает Сергей Коношенко.

Следует также упомянуть ряд неудобств для сотрудников, к которым они должны привыкнуть при внедрении BYOD. Среди них – необходимость ввода дополнительных (сложных) паролей; корпоративные ограничения на загрузку ряда приложений; контроль применения устройств и т.д. «При этом, если компания поддерживает концепцию BYOD, то она стремится к ужесточению дисциплины и повышению ответственности за возможные последствия утечки конфиденциальных данных, произошедшей по вине конкретного сотрудника», — комментирует Сергей Коношенко. Также не следует забывать о нетехнических способах борьбы с несанкционированным распространением информации. Ведь, несмотря на все технические ухищрения, в конечном итоге ничто не может помешать сотруднику использовать служебную информацию в неправомерных целях.

По мнению Сергея Члека, технического директора Siemens Enterprise Communications в России и СНГ, «при BYOD предотвратить «вынос» сотрудником конфиденциальных данных за периметр организации практически невозможно, и поэтому нужно подписать с ним соответствующие документы об ответственности». Антон Ступин, технический директор компании «Арбайт Компьютерс», конкретизирует: «Для сохранения статус-кво в юридическом аспекте, в первую очередь важно проработать такие вопросы, как защита при обработке/хранении персональных и конфиденциальных данных, а также механизмы создания как защищённой, так и функционально замкнутой среды на устройствах, подключаемых в рамках BYOD».

Синдром «короткого поводка»

Постоянная подключенность сотрудников организации – основа основ концепции BYOD. Однако, помимо технических и финансовых сложностей, а также вопросов безопасности существует еще один важный аспект, который может стать серьезным препятствием к внедрению BYOD в организации. Проблема эта не техническая, а социально – психологическая. Речь идет о психологическом неприятии этой концепции рядом сотрудников. Процесс «BYODизации» зачастую является весьма сложным и болезненным для сотрудников предприятия, ведь по сути речь идет о создании нового класса рабочих мест – нетбуков, планшетов и смартфонов, постоянно находящихся при сотруднике. Не все из них приходят в восторг от идеи постоянного присутствия корпоративной составляющей. Прежде всего, это может привести к тому, что рабочий день сотрудника станет ненормированным и будет затягиваться далеко за рамки привычного рабочего времени.

Игорь Ковалев имеет свое мнение по этому поводу: «В зависимости от политики компании сотрудников могут официально или неофициально обязать отвечать во внерабочее время. Лично мне это не создает проблем, я и без BYOD все время это делал. Но я уверен, что есть сотрудники, придерживающиеся другой точки зрения». Многие «мобилизованные» сотрудники тоскуют по привычному режиму работы в офисе 9-18, и это не обязательно плохие работники – принятие или отрицание перемен зависит от психофизиологических характеристик, пола, возраста. «Для работников творческого труда и «полевых» сотрудников вопрос работы за рамками установленного графика не составляет беспокойства, — рассуждает Дмитрий Кучеров, CIO компании «Автолокатор». – В то же время, специалисты, проводящие большую часть рабочего времени в офисе, скорее всего, будут недовольны нововведениями, потому что привыкли работать по четко установленному графику, за рамки которого выходить не желают».

Частная собственность

Если опасения в отношении ненормированного рабочего дня характерны для любой корпоративной мобилизации, в том числе и с использованием оборудования организации, то следующий негативный момент специфичен именно для BYOD. Речь идет о нежелании сотрудника использовать свой личный гаджет для рабочих целей, или, говоря образно, «платить за рабочий инструмент». «В то время как менеджмент компании, а также часть сотрудников заинтересованы в использовании собственных устройств для работы, другие рядовые сотрудники зачастую не испытывают такого желания», — замечает Кирилл Богданов, заместитель генерального директора по ИТ в «Аэрофлот». С мнением этого эксперта согласен и Игорь Ковалев, директор по ИТ-проектам совместного предприятия Ford Motor Company & Sollers. «Неудобство для сотрудников в том, что компания перекладывает на сотрудника приобретении устройства», — утверждает он. Ко второму фактору относятся и неизбежные ограничения (невозможность приобретения прав суперюзера, недоступность ряда программ для установки), накладываемые на мобильное устройство, если владелец собирается использовать его в рамках BYOD.

Наконец, третий негативный момент связан с психологическим дискомфортом от предоставления корпорации доступа к личному устройству. Это выражается в опасениях поставить под угрозу личную жизнь, «оказаться под колпаком», пожертвовать сохранностью персональных данных. «Один из факторов постоянного недовольства и беспокойства сотрудника при использовании собственного устройства – это эффект постоянного контроля, — комментирует Кирилл Богданов. — По крайней мере, существует мнение, что в компании постоянно известно, где находится сотрудник или, по крайней мере, его устройство». Заметим, что эти опасения в полной мере укладываются в рамки последовательно (и небезосновательно) проводимой в СМИ и художественных произведениях идеи усиления тенденции вторжения общественного в частную жизнь, особенно остро спровоцированной в последнее десятилетие в связи с взрывным ростом мобильной связи, интернета и соцсетей.

Однако Кирилл Богданов опровергает эти опасения: «Сразу скажу, что эти страхи беспочвенны — системы MDM, поставляемые лидерами рынка в этой области, очень строго относятся к вопросам privacy. Доступа к личным данным эти системы не имеют, а опция отслеживания геолокационных данных в случае BYOD отключается». Мнения других экспертов созвучны точке зрения CIO «Аэрофлота». Так, Александр Балабанов считает, что «компания обязана юридически и технологически гарантировать сотруднику неприкосновенность частной жизни, а также – через систему MDM – запретить доступ корпоративных приложений или системных администраторов к информации, относящейся к частной жизни». Игорь Ковалев вообще не рассматривает данный фактор в качестве источника проблем. «Лично я не считаю, что BYOD критично изменяет ситуацию в области защиты персональных данных, - отмечает он. – Вопрос существует (либо не существует) вне связи с BYOD».

Каково бы ни было мнение экспертов, факт состоит в том, что все три аспекта существуют и являются источником беспокойства сотрудников. Это наглядный пример того, как сугубо техническая поначалу проблема перешла в плоскость HR и переросла в проблему взаимоотношений «администрация – персонал». Решение данной проблемы требует чутких и продуманных действий со стороны администрации предприятия. Если массовое недовольство «мобилизацией» среди работников действительно имеет место, и при этом руководство организации не желает вести полномасштабную войну против своих сотрудников, необходимо продумать действенные меры по дополнительной мотивации «мобилизуемых» категорий персонала.