Как выработать политику MDM BYOD, которой будут следовать ваши сотрудники

Как выработать политику MDM BYOD, которой будут следовать ваши сотрудники

В центре безопасности любой корпорации стоит человек. Поэтому любая политика будет выполняться только в том случае, если она понятна и близка вашим пользователям. Особенно сложно это в том случае если ваша организация следует политике BYOD.

Блокировка корпоративных данных и приложений на устройствах сотрудников может быть непростой задачей, особенно когда самым большим камнем преткновения являются сами работники.

Тенденция «принеси свое устройство» (BYOD) давно перешла из нормы в большинство компаний и сотрудников. Но со всеми этими устройствами приходит множество потенциальных проблем безопасности. Мошеннические приложения, вредоносные программы, взломы данных иногда выполняются одним щелчком мыши.

Даже с учетом этой реальности разработка политик для устройств сотрудников и руководителей остается сложной задачей, поскольку большинство людей сопротивляются вмешательству в наиболее важные устройства, которыми они владеют, — их смартфоны, планшеты и ноутбуки. Проблема не в технических возможностях; больше о том, как применять уже имеющиеся решения для управления мобильными устройствами (MDM) и эффективно передавать корпоративные рекомендации и правила пользователям.

Как можно решить проблему заблудших пользователей и игнорирования корпоративных политик.

Коммуникация и прозрачность являются обязательными

Давайте начнем с самого важного вопроса: общение.

Общение — это не та область, в которой ИТ-отделы обычно преуспевают. Большинство сообщений от ИТ к пользователям является односторонним, не хватает деталей, и, вероятно, в лучшем случае на них можно будут обращать внимание, прежде чем они будут отброшены или удалены. (Неважно, является ли это срочным электронным письмом или соглашением, которое сотрудники просматривают, не читая.) Это создает пару проблем, первая из которых заключается в том, чтобы привлечь внимание сотрудников и удерживать их достаточно долго, чтобы работники могли понять сообщение.

Как правило, пользователи получают указание зарегистрировать свои смартфоны или другие персональные устройства во время процесса регистрации. Это позволяет специалистам по персоналу говорить о текущих политиках BYOD и ИТ и предполагать, что этот вопрос уже решен. Но большинство сотрудников отдела кадров не разбираются в проблемах BYOD, и им уже поручено предоставлять так много информации новым сотрудникам; ИТ-правила, вероятно, будут потеряны в случайном порядке, даже если они будут эффективно переданы.

Заявление о политике BYOD является более важным, чем другие описания политики, потому что ИТ-специалистам приходится иметь дело с тем, как основное устройство индивидуума будет просматриваться, контролироваться и управляться. В большинстве случаев это воспринимается — довольно точно — как вторжение ИТ в личное пространство.

Конфиденциальность часто является наиболее важной проблемой пользователей, связанной с BYOD, и по уважительной причине. Наши смартфоны и связанные с ними устройства теперь содержат некоторые самые личные данные, начиная от информации о здоровье и заканчивая данными о местонахождении, воспоминаниями о семье и даже банковской и юридической информацией.

Вот почему важно сообщать заранее, что конфиденциальность является священной (и убедитесь, что это так), и многократно усиливать послание с помощью различных механизмов. Политика и заявление о конфиденциальности должны охватывать пользователей в любой форме, в которой они могут переварить сообщение. Это означает письменные правила, электронные письма с напоминанием, личные встречи и любые другие необходимые формы общения.

Очевидное время для передачи политик MDM — это процесс регистрации устройств, который теперь поддерживается всеми основными решениями EMM. Все еще есть хороший шанс, что пользователи просто согласятся, не прочитав или не усвоив увиденное. Приветственное письмо — еще один хороший способ, но оно также может быть прочитано или не прочитано. Когда кто-то явно говорит о корпоративных политиках (ИТ-персонал, персонал, менеджеры, даже коллеги по работе), это еще лучший вариант, даже если это простое ознакомительное видео. Также важно повторять политики с течением времени и важно сообщать об изменениях по мере их возникновения.

Так что именно нужно сообщить? Политика конфиденциальности, которая дает понять, что ИТ-отдел может отслеживать, записывать, управлять или удалять на устройстве пользователя. Каждый элемент политики должен подробно описывать причины его включения и реальные ситуации, когда его можно использовать — удаленную блокировку устройства и выборочную очистку корпоративных данных в случае их утери или кражи; отслеживание местоположения потерянного устройства; настройка доступа к электронной почте и различным облачным сервисам; и информация о том, какие данные будут удалены, когда сотрудник покинет компанию. (Это примеры; специфика будет отличаться от компании к компании.

Управление с хирургической точностью

Десять лет назад, когда устройства и инструменты управления устройствами за пределами BlackBerry были зарождающейся частью ИТ-стека, управление устройствами обычно было жестким — и почти абсолютным. Поговорка о том, что «если единственный инструмент, который у вас есть, это молоток, каждая проблема выглядит как гвоздь», была отличной аналогией для управления мобильными устройствами, когда Apple впервые подчеркнула его рядом с оригинальным iPad и iPhone 4.

Времена изменились.

Современные комплекты управления мобильностью предприятия (EMM) выходят далеко за рамки политики «все или ничего». Наиболее важно то, что они разграничивают грань между пользовательскими и бизнес-приложениями, и контентом. Кроме того, теперь политики можно применять избирательно к устройству в целом, ко всем управляемым приложениям, к конкретным приложениям и даже к определенным функциям приложений при определенных условиях.

Этот подход, известный как условный доступ, переносит управление с общего устройства на отдельные приложения. Лучшим примером является Office 365, который поддерживает предоставление привилегий на основе ряда критериев — конкретного устройства, учетной записи пользователя и членства в группах, определенного времени суток, местоположения (как в сети, так и по всему миру), версии приложения и данных конфигурации. По сути, это расширение условных прав, которыми можно управлять для ПК, переведенных в мобильный мир.

Не все приложения имеют встроенные возможности условного доступа. Но этот уровень управления все еще возможен, устанавливая ограничения для учетной записи пользователя и / или для сетевых и облачных ресурсов, к которым они подключаются. Это позволяет действительно управлять приложениями и данными независимо от устройства или типа устройства.

Управление на уровне приложений также важно в том смысле, что определенные приложения и их данные могут быть установлены или ограничены пакетом EMM с корпоративным магазином приложений или без него. Во многих случаях конкретные конфигурации приложений также могут применяться либо с помощью возможностей, встроенных в сами приложения, либо путем создания данных конфигурации, которые могут быть реализованы с помощью приложения.

Если управление на уровне приложений недоступно или ненадежно, то лучшим вариантом будет создание контейнеров бизнес-приложений. Это обеспечивает безопасность и настройку для ряда приложений, не затрагивая личные приложения, учетные записи или данные пользователя.

Вы заметите, что в заметке не упомянуты такие вещи, как политики для всего устройства (например, отключение камеры смартфона). Это потому, что цель хорошего управления в целом — и BYOD в частности — должна быть как можно более сдержанной. Вы должны полагаться на ограничения на уровне устройства, только если менее ограничительное решение не является техническим или реалистичным вариантом. Цель состоит в том, чтобы управление устройствами было как можно более плавным и прозрачным. В идеале, пользователь не должен даже знать об управлении в повседневном использовании. Это помогает гарантировать, что пользователи не станут мошенниками.

Также важно отметить, что пакеты EMM поддерживают использование корпоративных пользователей и групповых данных для применения политик. Лучше избегать монолитных политик, которые содержат конфигурацию и данные доступа для нескольких приложений и функций устройства. Каждая учетная запись пользователя или членство в группе — это способ применения определенной политики, так же как права доступа к файлам могут быть строго ограничены для настольных компьютеров. Совершенно целесообразно объединить большое количество определенных политик для управления индивидуальным доступом и возможностями. На самом деле это более уместно, чем ограниченное количество политик, включающих десятки правил и ограничений. (Политики EMM часто можно создавать вокруг существующих групп доступа в корпоративной системе каталогов.)

Пользователь – центр внимания!

Как я уже отмечал, реальная проблема для эффективного управления BYOD не столько проблема политики. Программное обеспечение и политики управления, необходимые для блокировки устройств и данных, легко доступны. Именно пользователь должен быть в центре внимания IT MDM. Обеспечение прозрачности для пользователей, чтобы они понимали, что происходит, имеет решающее значение, так как делает политики максимально легкими и детальными. Это применимо независимо от платформы или решения EMM.

Это обсуждение относится конкретно к устройствам BYOD. Если вы обнаружите, что вам нужен более значительный контроль над устройствами, чем тот, который может быть применен таким образом, вам нужно будет подумать, стоит ли вместо этого инвестировать в корпоративные устройства. Помимо более широких политик и ограничений, более приемлемых для пользователей, iOS и Android предлагают более строгий набор элементов управления для устройств, принадлежащих компании и приобретенных у некоторых поставщиков. Если вы выбираете вариант, принадлежащий компании, вы можете рассмотреть модель CYOD (выберите себе корпоративное устройство), при этом пользователи выбирают из набора устройств и им предлагается использовать их как в личных, так и в деловых целях.

Оригинал

Alt text

Владимир Безмалый

О безопасности и не только