BYOD перестаёт быть ИТ-вопросом и становится управленческим

Несколько лет назад типичная компания знала, с каких устройств сотрудники работают. Это были корпоративные ноутбуки и стационарные машины, которые ИТ-отдел настраивал, контролировал и обслуживал. Периметр был понятен.

Сегодня картина другая. Сотрудники проверяют почту с личного iPhone, редактируют документы на домашнем ноутбуке, подключаются к корпоративным сервисам через планшет. Это происходит не потому, что кто-то разрешил - это происходит потому, что стало удобно, а запрещать никто не спешил.

Проблема не в устройствах. Проблема в том, что граница корпоративного контура доступа теперь проходит через личное имущество сотрудников, и никто не принял сознательного решения о том, что с этим делать.

Что на самом деле происходит

BYOD - "принеси своё устройство" - это не тренд и не ИТ-концепция. Это описание реальности, которая сложилась в большинстве компаний стихийно. Вопрос уже не в том, разрешать или нет. Вопрос в том, управлять этим осознанно или делать вид, что проблемы нет.

Когда сотрудник с личного телефона заходит в корпоративную почту или CRM, происходит несколько вещей одновременно. Корпоративные данные оказываются на устройстве, которое компания не контролирует. Если телефон потеряют или продадут - данные уходят вместе с ним. Если на устройстве стоит вредоносное ПО - оно получает доступ к тому же, к чему имеет доступ сотрудник. Та же логика работает с подрядчиками - удалённые подрядчики образуют второй периметр риска, о котором компании часто вообще не думают.

ИТ-служба может поставить технические меры. Но принципиальные решения - какой уровень доступа допустим с личных устройств, что происходит при увольнении сотрудника, кто несёт ответственность при инциденте - это не технические вопросы. Это управленческие.

Три вопроса, которые нужно задать себе

Первый: что именно сотрудники делают с личных устройств? Не что разрешено политикой, а что реально происходит. Часто выясняется, что через личные устройства идёт доступ к данным, которые руководство считало защищёнными.

Второй: что происходит с этим доступом, когда сотрудник уходит? В компаниях, где BYOD сложился стихийно, ответ на этот вопрос часто неизвестен. Увольняющийся сотрудник уносит устройство, а вместе с ним - историю переписки, кэш документов, сохранённые пароли.

Третий: кто отвечает, если что-то пойдёт не так? Если ответ "ИТ-отдел" - это уход от вопроса. ИТ-отдел отвечает за технические меры. За решение о том, какой риск приемлем, отвечает менеджмент.

Что не работает

Запрет на бумаге без технического контроля не работает. Если политика говорит "использовать только корпоративные устройства", а корпоративный ноутбук тяжёлый и медленный, а личный телефон всегда под рукой - сотрудники будут использовать телефон. Политика без механизма исполнения - это иллюзия безопасности.

Полная свобода без ограничений - другая крайность. Давать доступ ко всем корпоративным системам с любого личного устройства без условий - значит переложить корпоративный риск на частных людей и их привычки в области безопасности.

Технические решения в обход управленческих - тоже не выход. MDM-системы, корпоративные контейнеры, удалённое стирание данных - всё это инструменты. Но инструмент без политики, которая определяет, что именно мы защищаем и почему, решает задачу вслепую.

Как выглядит осознанный подход

Осознанный подход начинается не с выбора технологии, а с ответа на простой вопрос: к каким данным и системам мы готовы давать доступ с личных устройств, а к каким - нет?

Ответ зависит от бизнеса. Для одной компании допустимо читать почту с телефона, но недопустимо открывать финансовые документы. Для другой - весь доступ только с корпоративных машин в офисе. Для третьей - гибридная модель с разделением по ролям. Не существует универсального правила.

Когда это решение принято, ИТ-служба получает конкретную задачу: реализовать это технически. До этого момента любая техническая мера - это просто чья-то инициатива без бизнес-контекста.

Короткий тест

Если вы хотите понять, насколько тема управляется в вашей компании, задайте три вопроса:

1. Можете ли вы сейчас закрыть доступ уволенного сотрудника ко всем корпоративным данным - в том числе с его личного телефона?
2. Знаете ли вы, с каких устройств ваши ключевые сотрудники работают с чувствительными данными?
3. Есть ли у вас документированное решение о том, какой доступ с личных устройств допустим?

Если на какой-то из этих вопросов ответ "не знаю" - тема требует управленческого внимания, не только технического.