Принципы BYOD в группе компаний Blesk InCare. Журнал CNews

25.12.2014

Круглый стол: BYOD потребует новых политик ИБ

Использование собственных смартфонов и планшетов сотрудниками в корпоративных целях не только повышает мобильность и эффективность сотрудников, но и, вместе с тем, приносит новые риски. Принципы BYOD («Bring Your Own Device», – «Принести ваше собственное устройство») в корне расходятся с традиционными политиками информационной безопасности. Организациям, приветствующим BYOD, сейчас приходится вводить новые политики и выделять дополнительные средства на обеспечение сохранности данных. Возможно, в скором времени в бюджетах на информационную безопасность будут отдельным пунктом выделены расходы на проекты и средства защиты для BYOD.

О своем опыте использования BYOD рассказали в рамках круглого стола CNews Юрий Соловкин, начальник управления организации проектов банка «Интеркоммерц»; Лариса Борисевич, начальник отдела информационной защиты департамента экономической и информационной защиты бизнеса компании «Россгострах»; Андрей Суворов, ИТ-директор Вlesk InCareАртем Кроликов, начальник отдела информационной безопасности компании «АльфаСтрахование»; Станислав Павлунин, вице-президент по безопасности ТКС Банка.

CNews: Как в вашей компании регламентируется использование собственных мобильных устройств сотрудниками в корпоративных целях?

Лариса Борисевич («Россгострах»): BYOD приносит новые риски безопасности, требует выделения дополнительных финансовых средств для снижения этих рисков, а также четкой политики компании в отношении организации мобильного рабочего места. Как правило, внедрение BYOD включает три условные «стадии»: корпоративная почта; корпоративные порталы и веб-сервисы; корпоративные мобильные приложения. Можно сказать, что мы в начале второй стадии. В настоящее время в «Росгосстрахе» ограничено нормативными документами использование личных мобильных устройств работников для доступа к информационным ресурсам компании. В данных документах определены категории работников, перечень ресурсов, к которым работник имеет право получить доступ, с указанием срока действия и метода подключения. Гостевой доступ для гостей и партеров предоставляется только к ресурсам интернет. Артем Кроликов («АльфаСтрахование»): Мы стараемся быть технологичной компанией и в целом приветствуем новые технологии, если они показывают свою эффективность. Однако окончательно позиция компании в отношении принципов BYOD/BYOT не сформирована. Мы не можем быть вне технологического контекста окружающего нас мира, в компании использование принципа BYOD допускается ограниченно и только для топ-менеджеров. Им это очень удобно. Наши специалисты вместе с руководителями ищут ответ на вопрос: «Приносит компании этот принцип больше проблем или предоставляет дополнительные преимущества?» Для этого анализируются способы организации обслуживания таких устройств, стоимость и удобство технических средств управления, генерируемый трафик и аномальные активности, подконтрольность и обеспечение конфиденциальности информации на устройствах и т.д. Станислав Павлунин (ТКС Банк): Мы уделяем вопросам безопасности большое внимание, поскольку являемся одним из самых инновационных российских онлайн-банков. По сути мы ИТ-компания с банковской лицензией: все операции происходят удаленно. Сейчас мобильными устройствами (смартфонами, планшетами) пользуются практически все люди. Мобильное устройство эффективно и удобно в использовании не только в личных целях, но и для решения повседневных служебных задач. Мы активно развиваем концепцию BYOD, поскольку она предусматривает контроль над мобильными пользователями. Например, одно из главных преимуществ BYOD: рост производительности сотрудников банка. Сотрудникам предоставлена возможность переключаться с личных дел на рабочие в любое время. Это значительно повысило как эффективность общения по рабочим делам между коллегами, так и получения итоговых результатов. CNews: Какие мобильные сервисы, мобильные версии бизнес-приложений необходимы топ-менеджменту вашей компании? Какими из них вы пользуетесь чаще всего? Станислав Павлунин (ТКС Банк): Самое используемое мобильное корпоративное решение для менеджмента банка – это Good for Enterprise, поскольку данное решение обеспечивает безопасность использования корпоративной информации и предоставляет мобильный доступ к рабочей почте, календарю, документам и внутренним интранет-ресурсам ТКС Банка на личных мобильных устройствах сотрудников. Многие сотрудники банка хотят читать почту, отвечать на сообщения, быть мобильными и эффективными вне офиса. Решение Good for Enterprise не допускает утечку конфиденциальной информации, поскольку все корпоративные данные расположены в особом зашифрованном контейнере Good на мобильном устройстве, эти данные надежно защищены от злоумышленных посягательств и вредоносных приложении, а передача почты с сервера банка на конечное устройство осуществляется по защищенному каналу. Андрей Суворов (Вlesk InCare): Большой популярностью у нашего топ-менеджмента пользуются, конечно же, самые распространенные мобильные сервисы: это и почтовые клиенты, и офисные приложения, работающие с облачными сервисами хранения документации, интернет-банкинг. Для руководителей компании особо важно всегда быть на связи, держа под контролем происходящие бизнес-процессы в режиме online, будучи при этом мобильными и не привязанными к определенному рабочему месту. CNews: Какие инструменты информационной безопасности вы используете, чтобы защитить корпоративную информацию в рамках BYOD? Андрей Суворов (Вlesk InCare): На данный момент, как правило, мы используем стандартные средства шифрования информации, поставляющиеся производителем ПО. Исключение составляет строго конфиденциальная информация, шифрующаяся индивидуальными ключами шифрования. Обязательным условием использования технологии BYOD является непосредственно паролирование самого устройства, хорошая антивирусная защита, актуальное ПО. Для оптимального использования персональных мобильных устройств сотрудники нашего ИТ-департамента производят настройку оборудования у специалистов компании и детальное инструктирование последних по использованию этого оборудования с целью достижения максимального уровня конфиденциальности и безопасности информационных ресурсов компании. Лариса Борисевич («Россгострах»): Чтобы защитить корпоративную информацию в рамках BYOD, мы, где это применимо, обязательно используем антивирусное программное обеспечение, доступ по сертификатам и настройки безопасности.

Юрий Соловкин («Интеркоммерц»): Нашему банку приходится работать с персональными данными. Поэтому, в целях минимизации рисков, существует запрет на использование собственных устройств в корпоративных целях. На мой взгляд, чтобы защитить корпоративную информацию в рамках BYOD, должны присутствовать несколько инструментов. Во-первых, строгая аутентификация, которая является ключевой и первоочередной задачей для обеспечения безопасности в рамках концепции BYOD. В этом случае двухфакторная аутентификация считается оптимальным вариантом. Во-вторых, криптография – так как шифрование данных при их использовании, передаче и хранении обеспечивает максимальную защиту данных и безопасное функционирование всей системы. В-третьих, MDM-системы, представляющие собой серверный компонент, который отвечает за команды управления мобильными устройствами, и клиентский компонент на устройстве, который принимает и выполняет команды сервера.

CNews: Одним из самых эффективных методов защиты информации является контейнеризация. Используете ли вы способы защиты данных на уровне устройства? Андрей Суворов (Вlesk InCare): Безусловно, мы стараемся сделать работу на устройстве как можно безопаснее для компании и как можно комфортнее для сотрудника. Для этого используются проверенные технологии и приложения, позволяющие достичь максимальных результатов. В частности, та же контейнеризация позволяет сотруднику получить доступ к важной и конфиденциальной информации в любой точке мира, не боясь, что сведения попадут в чужие руки и будут использованы во вред компании. Следует понимать, что только комплексное использование средств защиты и шифрования позволяют достичь наилучшего результата. Защита данных на уровне устройства – в частности, MDM системами (управление мобильными устройствами), позволяющими удаленно обновлять, конфигурировать и очищать устройства – является неотъемлемой частью этого самого комплекса. В последнее время набирает популярность метод дактилоскопической авторизации на самом устройстве, что исключает «подсматривание» вводимого пароля третьими лицами и использование его в своих целях. CNews: Какие меры вы планируете предпринять в ближайшие два-три года, чтобы повысить качество информационной безопасности в рамках BYOD? Лариса Борисевич («Россгострах»): Принципы BYOD в корне расходятся с традиционными политиками корпоративной информационной безопасности. Но поскольку движение вперед остановить нельзя, то в ближайшие два-три года наша компания должна, в первую очередь, определить необходимость движения в сторону BYOD, оценить эффективность и готовность инвестировать в данное направление. Как специалисты по информационной безопасности мы будем обязаны приступить в разработке стратегии развития мобильного рабочего места с использованием принципиально новых технологий защиты информации.

Андрей Суворов (Вlesk InCare): Уже некоторое время назад стало очевидным фактом то, что руководители компаний все больше и больше склоняются к BYOD, как к одному из эффективных инструментов развития и продвижения компаний. Но благие намерения упираются в тонкую грань между прибылью и информационными потерями. В наши планы входит постоянное повышение уровня защиты информации и предоставление сотрудникам максимально комфортных условий работы с корпоративными инструментами, посредством своих гаджетов. Достичь этого можно только комплексными мерами, причем не всегда стандартными, такими как антивирус и обычное шифрование данных, использование VPN и виртуальных удаленных рабочих столов. Мы намерены сделать акцент на создание защищенной корпоративной оболочки, облачного сервиса, призванных сделать труд работников удобным, и в то же время – безопасным для компании.

Артем Кроликов («АльфаСтрахование»): Специалисты нашего подразделения активно изучают рынок решений, связанных с управлением мобильными технологиями, например, MDM. Не все из них нам подходят. Так, помимо необходимого функционала, система должна органично войти в нашу инфраструктуру, в наш программный ландшафт. Только тогда мы сможем ее эффективно использовать и не загружать ИТ-специалистов и специалистов по информационной безопасности инцидентами.

Юрий Соловкин («Интеркоммерц»): Мы и дальше будем пристально следить за развитием принципа BYOD в финансовом секторе. Расширять границы использования собственных устройств в корпоративных целях или глубину их вхождения в бизнес-процессы банка пока не планируем. Вопрос целостности персональных данных для нас выходит на первое место.

Виталий Мосеев