Służbowo, ale z własnym smartfonem

Jakie są przyczyny coraz większej popularności BYOD (używanie prywatnych urządzeń mobilnych w celach służbowych) wśród pracowników i firm?

Popularność BYOD (Bring Your Own Device) wynika z kilku powodów. Analitycy podkreślają najczęściej dwa fakty: rozpowszechnienie smartfonów i tabletów oraz wygaśnięcie w 2014 r. wsparcia producenta dla systemu Windows XP. Te dwa powody skłaniają wielu szefów działów IT do zrewidowania strategii w zakresie desktopów i urządzeń wykorzystywanych do pracy w firmie. Przy okazji firmy zauważają, że pojęcie tradycyjnego miejsca pracy zmienia się w wielu przypadkach z fizycznego miejsca w przestrzeń danych i aplikacji oraz narzędzi komunikacyjnych, za pomocą których wykonuje się czynności służbowe. Miejsce fizyczne, w którym się pracuje, gdzie są komputery, telefony i internet (sieć firmowa) przestaje mieć znaczenie. Liczy się tylko prostota i szybkość dostępu do danych, aplikacji i narzędzi komunikacyjnych (e-mail, firmowy czat, firmowe grupy dyskusyjne itd.)

Pracownicy oczekują, że w miejscu pracy będą mieli - za pomocą ich prywatnych urządzeń - wydajny dostęp do internetu, do sieci firmowej, do wewnętrznych zasobów firmy i będą mogli korzystać nie tylko z firmowych aplikacji mobilnych, lecz także z całej masy prywatnych programów.

Jak z korzyścią dla firmy umożliwić pracownikom korzystanie w pracy z ich prywatnych urządzeń?

Życie prywatne większości z nas przenika się z życiem służbowym. Zarówno pracownicy, jak i pracodawcy godzą się na ten kompromis. Pracownikowi daje to korzyść w postaci elastycznych godzin pracy, możliwości pogodzenia życia rodzinnego z pracą. Dla pracodawcy to szansa na zadowolenie, lojalność i wydajność pracowników, a w wielu przypadkach dodatkowe bezpłatne nadgodziny. Mówiąc krótko, żyjemy w czasach, w których inaczej funkcjonować się nie da. W większości firm, które chcą być konkurencyjne, innowacyjne i zatrudniać zadowolonych pracowników, nie ma ucieczki od BYOD. Jako dostawca rozwiązań Cisco koncentruje się na dostarczeniu narzędzi umożliwiających okiełznanie tego zjawiska i umożliwienie pracownikom używanie ich własnych urządzeń mobilnych w sieci firmowej w sposób bezpieczny i wydajny.

BYOD to także możliwość dostępu do zasobów sieciowych firmy dla gości i kontrahentów. Z technicznego punktu widzenia ich urządzenia są prywatne, obce w stosunku do sieci firmowej. W wielu firmach problem ten dotyczy naprawdę dużej liczby obcych urządzeń pracujących w sieci.

Czy BYOD jest szansą, czy zagrożeniem dla firm?

Jest to niewątpliwie szansa na ograniczenie wydatków na sprzęt komputerowy, dostosowanie stanowisk pracy do wymagań współczesnego świata i poprawę efektywności działania pracowników, szczególnie tych działających w terenie. Badania pokazują, że obecnie 56 proc. pracowników biurowych pracuje poza biurem, a 75 proc. pracowników używa do pracy więcej niż jednego urządzenia mobilnego. Nie ma zatem odwrotu od BYOD. Trzeba raczej się zastanowić jak to robić bezpiecznie i bez nadmiernego obciążania działu IT. BYOD niesie wyzwania i zagrożenia, których trzeba być świadomym.

Bezpieczeństwo danych jest stawiane na czele wyzwań, jakie generuje BYOD. Chodzi głównie o dane służbowe, przechowywane na urządzeniach pracowników w aplikacjach mobilnych, które są ściągane z serwerów firmy do pamięci urządzenia mobilnego. Nawet jeśli te dane nie są przechowywane na urządzeniu mobilnym, to dostęp do nich w trakcie ich wyświetlania na ekranie urządzenia również generuje pewne zagrożenia, np. utrata urządzenia z otwartym raportem lub wrażliwymi danymi finansowymi przedsiębiorstwa. Inna bardzo realna kategoria zagrożeń związana jest z webowym kodem złośliwym, którego źródłem może być oprogramowanie na urządzeniu pracownika podłączonym do sieci korporacyjnej, np. drogą bezprzewodową. W ostatnim rocznym raporcie bezpieczeństwa firmy Cisco największy wzrost dostępności kodu złośliwego (web malware) zanotowany został dla platformy Android. W 2012 r. udokumentowano istnienie pierwszego botneta dla tej platformy.

Gdy w firmowej sieci pojawia się duża liczba prywatnych urządzeń, ich kontrolowanie jest trudne. Bez narzędzi identyfikacji, uwierzytelniania i kontroli dostępu do sieci skutkuje to zwykle powstaniem wielu niezabezpieczonych dziur w dostępie do sieci.

Jak zatem wprowadzić BYOD i zapewnić bezpieczeństwo firmowym danym, sieciom, zasobom?

Kluczową sprawą jest znalezienie swoistego kompromisu pomiędzy pracodawcą, który ponosi pewne ryzyka związane z dołączeniem prywatnego urządzenia pracownika, a pracownikiem, który będzie mógł korzystać z najlepszego z jego perspektywy narzędzia pracy. Pracownik musi być gotowy na oddanie części kontroli nad swoim prywatnym urządzeniem, jeżeli będzie chciał korzystać z zasobów sieci wewnętrznej firmy.

Bezpieczeństwo rozwiązania BYOD powinno bazować na dwóch fundamentach. Po pierwsze, zabezpieczenie samego urządzenia poprzez włączenie go do firmowego systemu MDM (Mobile Device Management). Oznacza to poddanie urządzenia, bez względu na to, czy jest ono służbowe, czy prywatne, rygorom polityki bezpieczeństwa firmy. Liczba zabezpieczeń w tym obszarze jest ogromna. Chodzi m.in. o wymuszenie zabezpieczenia urządzenia kodem, usunięcie z niego niedozwolonego oprogramowania, zainstalowanie na nim wymaganego oprogramowania, zablokowanie lub uruchomienie konkretnych funkcji (np. funkcji lokalizacyjnych), wprowadzenie możliwości zdalnego usuwania danych z urządzenia itd. Zabezpieczenie urządzenia mobilnego profilem bezpieczeństwa to jedna sprawa. Drugą jest zapewnienie mu kontrolowanego dostępu do internetu lub do wydzielonych zasobów sieci firmowej za pośrednictwem sieci wewnętrznej przedsiębiorstwa.

Jakie zastosowanie mają rozwiązania klasyczne: identyfikacja tożsamości użytkownika, uwierzytelnienie oraz autoryzacja na podstawie tej tożsamości?

Sama informacja o tożsamości użytkownika jest zbyt mało granularna, aby tylko na jej podstawie budować skomplikowane polityki dostępu odzwierciedlające potrzeby biznesowe współczesnych firm. Użytkownicy mogą używać do pracy różnych urządzeń, mogą łączyć się z siecią z różnych miejsc i za pomocą różnych mediów oraz w różnych porach doby. Tutaj z pomocą przychodzi bezpieczeństwo mające za podstawę kontekst i realizacja dostępu na podstawie wielu atrybutów, które są związane z osobą i urządzeniem. Polityka na bazie kontekstów jest podstawą działania i siłą systemu kontroli dostępu do sieci Cisco ISE (Identity Control Engine).

Jakich zabezpieczeń i restrykcji nie może zabraknąć w polityce bezpieczeństwa firmy, która wdraża BYOD?

Każda firma ma swoje wymagania, które należy przełożyć na politykę dostępu do sieci, a inteligentna sieć powinna umieć taki zróżnicowany dostęp zrealizować. Oczywiste jest, że polityki te będą zróżnicowane w zależności od sektora rynkowego, w jakim działają firmy. Wspólnym ich elementem powinno być to, że cały proces realizowania usługi dostępu z urządzeń prywatnych powinien być bezpieczny, intuicyjny i przerzucony na użytkownika, aby nie wprowadzał dodatkowego obciążenia dla administratorów. Niezbędne jest zatem udostępnienie podstawowych narzędzi użytkownikom, np. zarządzania listą swoich urządzeń, a także wprowadzenie mechanizmów automatyzacji dla dodawania i usuwania urządzeń pracowniczych. Znów narzędziem wspomagającym wdrożenie i wymuszenie polityki bezpieczeństwa na urządzeniach mobilnych jest system MDM. Przykładem takiego rozwiązania komercyjnego jest system Cisco ISE (Identity Services Engine), który umożliwia wymuszenie na urządzeniach prywatnych poddania się rygorom polityki bezpieczeństwa bez względu na to, czy użytkownik łączy się z siecią firmową drogą przewodową, bezprzewodową, czy za pomocą tunelu VPN (Virtual private Network).

Generalnie polityka zbyt restrykcyjna i przesadnie ograniczająca swobodę pracownika nie będzie się sprawdzać w większości niedużych firm. Może spowodować, że firma nie uzyska korzyści z wdrożenia BYOD - pracownicy nie będą zadowoleni i bardziej efektywni lub będą nagminnie łamać politykę bezpieczeństwa i znajdować luki w zabezpieczeniach. W kontekście bezpieczeństwa taki scenariusz jest najgorszy.

Jakie są tendencje w zabezpieczeniu BYOD?

Coraz częściej BYOD zabezpieczany jest systemami dostarczanymi z chmury, np. system MDM o nazwie Systems Manager firmy Meraki, który zapewnia centralne zarządzanie, monitorowanie i diagnostykę urządzeń mobilnych pracowników z chmury. Firma nie musi tu nic instalować, gdyż rozwiązanie to umożliwia zarządzanie rozproszoną siecią urządzeń przenośnych działających na platformach iOS, Android i na komputerach Mac i PC. Urządzenia w bezpieczny sposób łączą się tu z chmurą firmy Meraki, a ich użytkownicy mogą łatwo zlokalizować urządzenia, zdalnie zainstalować na nich aplikacje, załadować wybrane treści, wymusić zasady bezpieczeństwa i nadzorować urządzenia przenośne firmy za pośrednictwem wydajnego, intuicyjnego pulpitu w sieci Web. Wszystko odbywa się w modelu chmury, czyli firma nie inwestuje w aplikacje i zasoby sprzętowe tylko wykupuje abonament. W przypadku rozwiązania Cisco Meraki usługa MDM jest obecnie dostępna bez opłat - każdy może ją przetestować i rozpocząć używanie bez dodatkowych kosztów.

Udostępnianie usług wspierających BYOD z chmury jest nowym trendem...

Niemniej pojawiają się już usługi, które wspierają BYOD dla określonych rynków wertykalnych, np. System Manager Meraki wyposażony jest w funkcję plecaka, która dla urządzeń wyposażonych w system Android umożliwia wypychanie do urządzeń końcowych określonych dokumentów. Taka funkcja doskonale sprawdzi się w środowisku edukacyjnym, kiedy to nauczyciel, wykładowca będzie mógł za pomocą centralnego pulpitu, umieścić w elektronicznym tornistrze swoich uczniów wybrane dokumenty, np. zadanie do wykonania, wykład do przeczytania, materiały dodatkowe itd. Istotną tendencją jest pojawianie się rozwiązań wspierających BYOD dla określonych rynków wertykalnych, np. dla sprzedaży detalicznej, edukacji, marketingu itd.

Nie obejdzie się tu bez współpracy z zewnętrznym dostawcą?

To nie jest konieczność. Świadczy o tym trend powstawania firmowych lub korporacyjnych magazynów aplikacyjnych, które udostępniają pracownikom aplikacje mobilne. Dzięki nim pracownik może nie tylko zainstalować na swoim urządzeniu przenośnym wybraną aplikację, lecz także bezpiecznie dotrzeć do wybranych danych firmy. Dobrym przykładem jest firma Cisco. Jej pracownicy mają dostęp do wewnętrznej usługi o nazwie AppFridge czyli lodówki aplikacyjnej. Po otwarciu lodówki każdy pracownik może znaleźć coś, co usprawni i uatrakcyjni jego pracę, np. menedżerowie mają dostęp do narzędzia umożliwiającego im wydawanie zgód wynikających z ich pozycji w strukturze firmy. Skraca to czas różnych procedur - może to być urlop, ale też aprobata wydatku lub specjalnych warunków sprzedażowych. Osoby, których praca wymaga częstego demonstrowania działania systemów mają dostęp do aplikacji demonstracyjnych. Z kolei pracownicy, którzy muszą śledzić na bieżąco informacje pojawiające się na rynku mają dostęp do aplikacji, która codziennie dostarcza im prasówkę na interesujący ich temat.

Innym trendem jest szybki przyrost aplikacji mobilnych, pisanych na zamówienie. Dzięki nim firma może w sposób bezpieczny, selektywny i atrakcyjny dostarczyć pracownikowi te dane, których on potrzebuje do pracy, na jego prywatne urządzenie, np. tablet.

@RY1@i02/2013/118/i02.2013.118.05200040i.803.jpg@RY2@

Maciej Flak, menedżer ds. sprzedaży rozwiązań Enterprise Networking & Security w Cisco Systems Polska

Rozmawiał Krzysztof Polak

@RY1@i02/2013/118/i02.2013.118.05200040i.804.jpg@RY2@