dodany: 21.03.2013 | tagi: , ,

Autor:

Prywatne urządzenia w firmie

4
BYOD

Praca biurowa oznacza dziś używanie komputera, telefonu, faxu i innych urządzeń, które pomagają albo wręcz umożliwiają jej wykonywanie. Stanowisko pracy składa się z biurka i kilku innych koniecznych elementów, które wiążą się z kosztami zakupu, ale też utrzymania ich w sprawności – tyczy to się szczególnie sprzętu elektronicznego i telekomunikacyjnego. Uruchomienie jednego takiego stanowiska generuje koszty, a podążanie za postępem technologicznym nie zawsze jest łatwe, szczególnie w działach IT lub u dostawców usług informatycznych, gdzie potrzebne są aktualne wersje oprogramowania i komponenty będące w stanie je udźwignąć i zapewnić odpowiednią wydajność. W większych firmach potrzebny jest także dział wsparcia technicznego zajmujący się serwisowaniem sprzętu i rozwiązujący bieżące problemy, a dział bezpieczeństwa pilnuje zgodności z odpowiednimi procedurami organizacji. Ogólne koszty takiej infrastruktury mogą być spore, tym większe im bardziej rozbudowana i różnorodna jest firma.

Businessman mobile

Jednym ze sposobów uporządkowania takiej sytuacji i uniknięcia chaosu i zbyt dużej różnorodności urządzeń (co wprost oznacza zwielokrotnione koszty utrzymania i eliminowania problemów przez dział IT) jest standaryzacja i wdrożenie niewielu modeli sprzętu wykorzystywanych przez pracowników (np. zasada, że konkretne stanowisko wiąże się z instalacją modelu X komputera marki Y). Łatwiej się tym zarządza, a np. aktualizacje systemu operacyjnego są dużo prostsze i mogą być zautomatyzowane. Pracownicy w takich firmach nie zawsze są jednak zadowoleni z takiego podejścia – a to nie lubią Windowsa, a to mają alergię na Mac OS X, albo też zamiast telefonu z Androidem wolą BlackBerry. Wszystko to kwestia gustu, ale zmuszenie pracownika do używania np. przestarzałej wersji systemu operacyjnego (uzasadniając, że najnowsza wersja musi być przetestowana, wdrożona, nie jest bezpieczna itp.) może mocno zdemotywować i spowodować frustrację – a to nie jest dobre.

Niektórzy pracownicy sami proponują, że sprzęt firmowy im nie odpowiada, a woleliby używać własnego, prywatnego komputera czy telefonu, do których są przyzwyczajeni, dzięki którym mogą szybciej i wydajniej pracować, a dodatkowo są lepiej dostępni – w końcu mają je zawsze przy sobie, nawet po wyjściu z pracy. Nie zawsze jest to możliwe, a restrykcyjne polityki bezpieczeństwa ukracają takie praktyki, bo bez specjalizowanego oprogramowania umożliwiającego dostęp do sieci firmy, czy też telefonu z wykupioną odpowiednią usługą i licencjami, nie da się podłączyć i nie da się korzystać z zasobów firmy.

Z drugiej strony „barykady” są firmy, które działają w zgodzie z ideą BYOD (Bring Your Own Device) i umożliwiają pracownikom wykorzystanie prywatnych urządzeń do pracy, a nawet ich do tego zachęcają. Co prawda wcześniej tematyka ta była już poruszana tu na portalu (Artykuł „Prywatne smartfony w pracy zagrożeniem dla bezpieczeństwa firmy” oraz „Sophos wzmacnia bezpieczeństwo prywatnego sprzętu IT w firmach„), jednak skupiły się one na samych zagrożeniach. Dlaczego jednak firmy się na to decydują? Co je skłania do wejścia w ten trend pomimo świadomości, że nie jest to rozwiązanie doskonałe i może powodować rozmaite zagrożenia?

Zarządy firm podejmują takie decyzje starając się zmierzyć korzyści z wdrożenia zmian i skonfrontować je z rzeczywistymi lub potencjalnymi stratami – jeżeli wprowadzane rozwiązanie może w jakimś horyzoncie czasowym przynieść wiele dobrego i poprawić wyniki firmy, to same zagrożenia czy ryzyka naruszenia bezpieczeństwa nie są barierą, której nie da się przekroczyć. Koszt zabezpieczenia wszelkich urządzeń może się okazać dużo niższy, niż oszczędności związane z brakiem konieczności zakupów setek czy tysięcy laptopów raz na kilka lat i wymiany oprogramowania, zakupów nowych licencji itd.

Mobile business

Pozwolenie pracownikom korzystać z własnych telefonów, laptopów i tabletów w pracy pozwala przede wszystkim uszanować przyzwyczajenia danej osoby, co wprost przekłada się na wydajność pracy i zadowolenie – dużo lepiej takiej osobie się działa, jeżeli środowisko pracy jest wygodne, ładne, funkcjonalne, są zainstalowane wszystkie niezbędne programy. Dodatkowo każdy z nas ma swoje sposoby radzenia sobie z codziennymi zadaniami – jedna osoba musi mieć aplikację wspierającą GTD (Getting Things Done), innej wystarczy notes i długopis. Skorzystanie z prywatnych narzędzi umożliwia odciążenie w firmie osób odpowiedzialnych za zakup licencji i zarządzanie dziesiątkami różnych drobnych aplikacji – tu każdy kupuje sam to, co pomaga mu działać wydajnie.

Są co prawda osoby, które nie chcą używać w ten sposób swojego sprzętu i traktują wręczony pierwszego dnia pracy w danej firmie laptop jako bonus i dodatek do wynagrodzenia, ale zdarza się też często, że komputer służbowy jest okrojony z aplikacji, odebrane są prawa administracyjne w Windows (a co za tym idzie niemożliwe jest zainstalowanie większości programów), zawiera nieładną tapetę, ma Windowsa XP zamiast wersji 8 systemu itp. Dzięki tym ograniczeniom możliwe jest utrzymanie jednorodnej infrastruktury, co daje np. łatwe identyfikowanie problemów, szkolenie pracowników, ale też zatrudnienie mniejszej liczby personelu IT. Jest to na pewno też bezpieczniejsze – mniejsze są możliwości ingerencji i instalacji potencjalnie złośliwego oprogramowania, starsza wersja systemu operacyjnego ma już też teoretycznie lepiej rozpoznane dziury i podatności i jest pewnie po 2-3 service packach. Dla niektórych nie jest to niestety powód do dumy i powoduje negatywny odbiór np. na spotkaniach z przedstawicielami konkurencyjnych firm lub klientów, którzy mogą to potraktować jako swego rodzaju zacofanie technologiczne.

Może się wydawać, że pracownik nie będzie chciał inwestować samemu w nowy telefon, laptopa, tablet, oprogramowanie, szczególnie, że w Polsce rynek tych urządzeń nadal się rozwija, a najczęściej wybierane telefony to te „za złotówkę”, do których nie trzeba dopłacać kilkuset złotych. Jest jednak sporo osób, które i tak posiadają dobre smartfony czy wydajne laptopy i które chętnie by z nich skorzystały w pracy. Zwłaszcza jest to popularne w organizacjach, które współpracują z wieloma freelancerami, którzy mają swój sprzęt i muszą być dopuszczeni do zasobów wewnętrznych firmy. Pozostaje zastosowanie samych rozwiązań technicznych, które z jednej strony zaoferują ten dostęp, a z drugiej odpowiednio go zabezpieczą.

Wydaje się w tym miejscu, że korzystanie z prywatnych urządzeń do celów służbowych jest mniej bezpieczne niż w przypadku sprzętu firmowego – w końcu teoretycznie mamy je częściej przy sobie 24 godziny na dobę 7 dni w tygodniu – ale przecież sporo osób posiada tylko telefon służbowy lub zabiera laptopa po pracy do domu – zagrożenia i poziom ryzyka są moim zdaniem zbliżone, a im nowocześniejszy sprzęt, tym lepsze możliwości uniknięcia problemów mamy. Każde w miarę nowe urządzenie przenośne można dobrze zabezpieczyć (o czym już pisałem w artykule o danych w urządzeniach mobilnych). Same zabezpieczenia prywatnego sprzętu to jedna strona medalu – trzeba pamiętać, że przynosząc ze sobą prywatne dane (które przecież muszą tu być zapisane) możemy je przypadkowo udostępnić firmie, w której pracujemy, a dodatkowo możemy narazić ją i siebie na kłopoty, jeżeli mamy nielegalne oprogramowanie, muzykę czy filmy, o co dziś nietrudno i sporo użytkowników nieświadomie może pobierać takie materiały. Dotyczy to także służbowego sprzętu, ale tu jest pewnego rodzaju bariera psychiczna przed przechowywaniem nielegalnej treści. Kwestia jest tylko odpowiednio (i nie za bardzo) restrykcyjnych regulaminów, polityk i zobowiązań, z którymi muszą się zgodzić pracownicy korzystający z prywatnych urządzeń.

Oczywiście działy IT firm muszą się liczyć z tym, że jeżeli każdy z pracowników teoretycznie może się posługiwać np. innym modelem telefonu, to personel IT musi mieć możliwości i narzędzia zapewnienia ich obsługi i akceptowalnego poziomu bezpieczeństwa. Muszą być wdrożone solidne rozwiązania, jak np. Good for Enterprise albo Exchange ActiveSync, dzięki którym można udostępniać korporacyjną pocztę i kalendarze w sposób bardzo bezpieczny i utrudniający dostęp dla niepowołanych osób (poprzez: blokowanie aplikacji i urządzenia hasłem, szyfrowanie zawartości urządzenia, wymuszanie zdalnego wyczyszczenia telefonu itd.). Może się okazać, że dane urządzenie jest na tyle nietypowe, że nie będzie można skorzystać ze wszystkich zasobów – ale wtedy użytkownicy liczą się z tym i świadomie decydują się na dany wybór.

Mobile security

Tego typu zabezpieczenia są uciążliwe i prywatnie mało kto się na nie decyduje (może poza blokadą wyświetlacza hasłem lub gestami), ale są potrzebne w modelu BYOD – dane, które stracimy razem z urządzeniem mogą być setki razy cenniejsze od samej wartości urządzenia – możemy kupić drugi telefon, a skradzione dane mogą spowodować ciężkie straty finansowe firmy. Dlatego za rozwiązaniami technicznymi muszą podążać dokumenty i obostrzenia, które z jednej strony budują świadomość bezpieczeństwa, a z drugiej dostarczają możliwości wyciągnięcia konsekwencji w przypadku niedbalstwa pracownika i świadomego naruszania regulaminów.

Model BYOD z jednej strony niesie za sobą wiele ryzyka, a z drugiej pozwala firmie kreować się na innowacyjną, wspierającą pracowników i czerpiącą w pełni z dążenia ludzi do posiadania jak najnowszego sprzętu. Oszczędności na inwestycjach, większa wydajność i mobilność pracowników – to są korzyści, których nie da się osiągnąć standaryzacją i wymuszaniem jednolitego środowiska. Szczególnie, że obecnie stajemy się coraz bardziej mobilni, a podręczne urządzenia oferują ogrom funkcji wspierających różne dziedziny życia (kiedyś poradzilibyśmy sobie w obcym mieście zasięgając języka u tubylców – teraz uruchamiamy mapę i sami sprawdzamy gdzie iść). Na pewno telefony i tablety są noszone coraz częściej i naturalnym jest, że łatwiej nam mieć ze sobą jedno urządzenie zamiast kilku – to może spowodować, że wkrótce i tak coraz więcej firm będzie się decydować na model BYOD.

avatar

M S

4 odpowiedzi na “Prywatne urządzenia w firmie”

  1. avatar DMati napisał(a):

    To pierwsze zdjęcie mega! :)

  2. avatar X napisał(a):

    Całkiem niedawno w mojej organizacji rozgorzała dyskusja czy pozwolić na użytkowanie prywatnych urządzeń czy nie. Dyskusja na TAK bo ludzie zadowoleni kontra NIE bo to niebezpieczne jest stanowcza spłycona. Od razu zaznaczam, jestem „szefem” IT więc opowiadam się po stronie NIE ale nie tylko dlatego, że to niebezpieczne, ale głównie bo firma nie jest na to przygotowana. Kocham szeroko pojęte bezpieczeństwo. Trudno pogodzić mi się z faktem, że ktoś przetwarza informacje poza systemami nad którymi mamy jakąkolwiek kontrolę. Trudno pogodzić mi się z faktem, że firma tak na prawdę nie wie czy konkretna informacja może być przetwarzana poza wyznaczonymi systemami… W tym punkcie wszystko sprowadza się do najważniejszego mojego argumentu. Czy firma posiada klasyfikację treści? To miejsce od którego należy zacząć dyskusję czy BYOD jest OK czy nie. Jest OK pod warunkiem, że utrata danych które udostępniamy nie spowoduje katastrofy.

    Pierwszy argument jaki napotkałem od jednego z dyrektorów to: przestań, nie produkujemy czołgów! No nie… czołgów nie. To czy zatem możemy konkurencji ujawnić ceny? Hm… Oni i tak je znają! Aha… A skoro naszym Klientom sprzedajemy te same dobra w różnych cenach to czy oni wzajemnie mogą je poznać? NIE! TO BYŁA BY KATASTROFA odparł. No była… raz ktoś prze pomyłkę wysłał fakturę firmy X do firmy Y… Przez ten mały błąd Firma Y oszczędziła od tego czasu tyle pieniędzy.. wszak trzeba było jej ceny obniżyć. Pomijając już rynek, to skoro obowiązuje nas formalna tajemnica wynagrodzenia (sic!) to gdyby takie dane przez przypadek wyszły to? NIE, TO TEŻ KATASTROFA powiedział (w końcu moi ulubieńcy zarabiają znacznie więcej niż inni – pomyślał)! Ok, klasyfikacja jest potrzebna, miałeś rację.

    Gdybym już miał klasyfikację dokumentów… to jak je chronić? Tak wiem… to słaby argument, bo z komputerów firmowych też można je ukraść… ale takie komputery mogę chociaż zabezpieczać i monitorować. Tak czy inaczej RMS by się też przydał.

    Jak wyobrażacie sobie BYOD? Technicznie… Czy pracownik przyniesie swój laptop wepnie do gniazdka LANu i od razu uruchomi swoje aplikacje? Mam pozwolić narażać sieć na ewentualne infekcje? Jaką mam pewność, że jego komputer jest dla mnie bezpieczny? O… a może mam go skanować? Tylko… czy ja mogę skanować komputer do mnie notabene nie należący? To czyjaś prywatna własność więc ingerencja firmy byłaby krokiem za daleko.

    Ok, znajdziemy rozwiązanie i na ten problem. Zbudujemy sobie NAP, niby nie będziemy skanować, a komputery same zgłoszą czy są w dobrym „stanie”. Tak czy inaczej nie ingerujemy w nie…

    Mamy już komputer w sieci… jak tylko odpalić na nim nasze aplikacje? Tak po prostu zainstalować? Kto ma to zrobić? A jak użytkownik popsuje, to kto ma naprawić? Przecież on może na swoim komputerze wszystko? A może mam dać klucz do programu i nośnik użytkownikowi i niech sam to zrobi? Nonsens.

    Pojawił się temat wsparcia… Mieliśmy ograniczać koszty więc nie zatrudnialiśmy nowych pracowników. W sumie OK, chłopaki się wyrabiają bo nikt z użytkowników nie ma praw lokalnego admina więc wiele nie zepsuje. Skoro nie zepsuje to nie ma przerw w jego pracy.

    No dobra… a gdyby tak ograniczyć ten jego BYOD w zasadzie do sprzętu i jego OS, a do firmowych zadać wykorzystać wirtualne desktopy? Dobra myśl. Podłączy się do niego i z domu i z biura, będzie mieć swój ulubiony komputer… my zachowany kontrolę nad danymi… ale już widzę ten rachunek dla firmy…

    Podsumujmy więc. BYOD to moda. Kosztowna moda. Jeżeli przeciwstawimy argument zadowolenia przeciwko wszystkim innym (a tak naprawdę kosztom) to można zmotywować ludzi zupełnie inaczej i taniej. BYOD bez większego przygotowania można stosować w bardzo małych firmach, gdzie szef zna wszystko i może autorytatywnie stwierdzić co ważne. W każdym innym przypadku należy szacować ryzyko, klasyfikować dane i gdy już bardzo chcemy BYODa stworzyć PLAN działania. Powiedzieć „hej Nowak, od jutra możesz pracować na swoim komputerze” jest szaleństwem.

    • avatar X napisał(a):

      Panie Marcinie.

      Myślę, że znajdziemy wspólny język. Od IT wymaga się obniżania kosztów. Standaryzacja jest jedną z dróg i nie widzę od niej odwrotu.

      Polityka bezpieczeństwa musi przynajmniej w 51% opowiadać się za ochroną. 49% można wydać na komfort pracy. Proporcje jednak nie mogą stać się nigdy odwrotne bo straci to zupełnie swój sens.

      Oprócz kosztów innym problemem jest złe zarządzanie działami IT. To problem, który Pan poruszył pisząc, o długim okresie oczekiwania na wsparcie.

      Stare wersje oprogramowania nierzadko są koniecznością zapewniającą kompatybilność wewnątrz zespołów czy pomiędzy oddziałami grupy. Należy też dopasować, czy konieczne jest wydawanie środków z budżetu, aby tylko zapewnić firmie najnowsze oprogramowanie, co jak wiemy nie zawsze jest celowe.

      Uprawnienia administratora lokalnego… oj tutaj pragnę się z Panem sowicie nie zgodzić. Na około 2000 użytkowników tylko 6% tego rzeczywiście potrzebuje (dot. mojej organizacji). Zwykle to osoby pracujące ze starszym i bardzo specyficznym oprogramowaniem.

      Własne komputery w firmie to jeszcze jeden problem bardzo rzadko poruszany. Nasze prawo podatkowe jest niezmiernie głupie. Konsultowaliśmy ten problem wewnętrznie i z jedną firmą doradczą i wyszło na to… że jeżeli pozwolimy pracownikowi pracować na swoim sprzęcie odniesiemy korzyść bo nie wydamy pieniędzy na jego stanowisko pracy, a tym samym fiskusowi należy się podatek. Nonsens jakich mało.

      Jest jeszcze inny problem występujący w bardzo wielu organizacjach (w tym i mojej). IT traktuje biznes jako wroga, a biznes podobnie traktuje IT. Niestety polityka bezpieczeństwa to kość niezgody. Staramy się uczyć użytkowników co bezpieczne, a co nie (nie robiąc tego w trakcie oficjalnych szkoleń bo to strata czasu). Przynosi to bardzo powili rezultaty, ale pracy do wykonania jeszcze bardzo wiele. Jestem bardzo młody… sam mam wiele do nauki. Niemniej jednak należy pracować na styku IT Biznes, aby obie strony od siebie się uczyły bo wiele do nauczenia mają. Biznes bez IT nie istnieje, IT bez biznesu również. Dobre IT to świetna (już nie tylko) baza ale punkt budowanie przewagi konkurencyjnej.

      Urządzenia mobilne całkowicie pominąłem… bo aż tyle pisać mi się nie chciało 

      Panie Marcinie, w żadnym razie proszę nie traktować mojej wcześniejszej wypowiedzi jako krytykę Pana poglądów. W wielu punktach się z nimi zgadzam (w kilku zupełnie nie) lecz pragnę to uzupełnić i wesprzeć argumentami o bezpieczeństwie, które ważne jest i zawsze o nim trzeba pamiętać. BYOD to obszerny temat i każde zdanie jest cenne.

  3. avatar Kanclerz napisał(a):

    Panowie, a co z BYOD i wynoszeniem z firmy kluczowych danych? Jak monitorować pracę pracowników na własnych urządzeniach? Jak zapewnieć zarząd, że pracownik na prywatnym sprzęcie nie wyniesie do domu/konkurencji istotnych firmowych danych? To są żarty z bezpieczeństwa. BYOD to moda, moda i do tego ma ładny skrót, proste do wymówienia, trend, chwilowy, szaleństwo dobre dla gimnazjalstów. Z bezpieczeństwem to nie ma nic wspólnego i jest to dla działów IT (to plus ignorancja zarządów) najgorszym koszmarem. Jak zgodnie z prawem monitorować pracę pracownika na jego prywatnym urządzeniu? Co w przypadku, jesli pracownik wykorzystuje prywatny sprzęt do służbowych zadań, co wtedy się dzieje z licencjami na oprogramowanie w tym prywatnym sprzęcie, które zabrania wykorzystywania do komercyjnego użytku? Przecież prywatny sprzęt wykorzystywany w firmie to użytek komercyjny. Zatem mamy do czynienia z łamaniem postanowień licencji – kto za to odpowie? Pracownik? Czy zarząd, który lekkomyślnie zezwolił na używanie prywatnych urządzeń? Kto ma zapanować nad tymi np. licencjami w prywatnym sprzęcie? A to przecież wierzchołek góry lodowej. Ok, odłóżmy na chwilę bezpieczeństwo – kto zapłaci działom IT za to, że będą musiały serwisować dodatkowe 100% urządzeń prywatnych i naprawiać prywatne komputery pracowników, gdyż coś im się popsuło, a oni przecież lubia na prywatnym sprzęcie pracowac, bo to przeciez jest oznaka postępowości, nowoczesności i podążania za trendami, modą. BYOD to fanaberia może i dobra dla startupów, ale w żadnym wypadku dla powaznych firm, budowanych od wielu, wielu lat.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *