Bring Your Own Device (BYOD) чрезвычайно распространен на современных рабочих местах. С гибридной работой, становящейся стандартом, сотрудники ожидают доступа к корпоративным системам с личных ноутбуков, телефонов и планшетов.
Однако, хотя BYOD развивается как стандарт, политики, касающиеся его безопасной реализации, продолжают отставать, и обычно это не из-за плохого дизайна безопасности. Сотрудники просто не следуют требуемым от них рекомендациям, и команды кибербезопасности остаются в неведении.
Итак, как организации могут разработать политику BYOD, которой сотрудники действительно будут следовать, не идя на компромисс в безопасности?
Сделайте безопасность невидимой (или по крайней мере близкой к невидимой)
Чтобы политика BYOD работала на практике, безопасность должна естественно вписываться в то, как сотрудники уже работают. Чем больше она прерывает повседневные рабочие процессы, тем больше вероятность того, что пользователи будут искать способы обойти ее.
Трудности со входом в систему являются одним из самых больших факторов, препятствующих внедрению. Требование повторных входов, сложных шагов аутентификации или постоянной повторной проверки может быстро привести к разочарованию. Но это не обязательно должно быть так.
С такими технологиями, как Single Sign On (SSO) и простые методы MFA (такие как push-уведомления или биометрия), организации могут поддерживать надежную безопасность, не замедляя пользователей.
Разрешение более длительного сохранения сеанса также является способом уменьшить разочарование с минимальным ущербом для безопасности. Цель состоит в том, чтобы не заставлять пользователей предпринимать дополнительные шаги для базовых задач. Если доступ к электронной почте, документам или внутренним инструментам становится затруднительным, сотрудники естественным образом будут искать короткие пути.
Разрабатывайте политики BYOD с учетом поведения пользователей
Политика BYOD должна отражать то, как сотрудники на самом деле работают, а не то, как организации думают, что они должны работать. В реальности сотрудники переключаются между устройствами, подключаются из разных мест и перемещаются по сетям в течение дня. Политики, игнорирующие это, естественным образом приведут к несоблюдению.
Вместо разработки для идеальных сценариев, создавайте политики на основе реального поведения. Например, хорошей практикой является требование нескольких шагов аутентификации каждый раз, когда пользователь пытается войти с нового
устройства. Однако требование того же уровня аутентификации при каждом входе будет раздражать людей.
Гибкость обязательна в средах BYOD. Поэтому политики должны быть сосредоточены в основном на защите данных и доступа, а не на контроле каждого устройства или местоположения.
Также стоит рассмотреть отказ от универсальных правил. Разработчик, торговый представитель и сотрудник финансового отдела взаимодействуют с системами по-разному и, вероятно, используют совершенно разные инструменты. Корректировка строгости правил на основе роли, уровня доступа и конфиденциальности задействованных данных приведет к лучшему внедрению.
Открыто решайте вопросы конфиденциальности
Естественно, что сотрудники относятся скептически к политикам BYOD, даже если они мягкие, просто потому, что они подразумевают уровень доступа работодателя или контроля над устройством, которым они владеют.
Вот почему организации должны строго сосредоточиться на контроле доступа к корпоративным данным и системам и объяснить это сотрудникам, чтобы они были уверены, что все остальное, что они делают на своем устройстве, остается конфиденциальным.
Четкое разделение является ключевым. Организациям не нужна видимость личных приложений, файлов или активности для эффективного управления рисками BYOD. Все корпоративные данные должны находиться в облачных приложениях и управляемых рабочих пространствах, а не на самом устройстве. Так могут существовать меры безопасности, не распространяясь на личную среду пользователя.
Работодатели также получают выгоду от этого подхода. Если устройство потеряно, скомпрометировано или сотрудник покидает компанию, организации могут удалить доступ или стереть корпоративные данные, не затрагивая личный контент.
Обеспечьте практическое, постоянное обучение
Сотрудники гораздо более склонны следовать политике BYOD, если они понимают, почему она существует. Когда безопасность кажется абстрактной или неактуальной, ее легко игнорировать. Но когда пользователи осведомлены о реальных рисках, таких как фишинг, захват аккаунтов или незащищенный публичный Wi-Fi, они гораздо более склонны серьезно относиться к политикам.
Обучение должно быть практичным и релевантным тому, как сотрудники фактически используют свои устройства. Вместо общих сессий повышения осведомленности сосредоточьтесь на реальных сценариях, с которыми они сталкиваются ежедневно. Для сред BYOD это включает распознавание попыток фишинга, избегание подозрительных ссылок, понимание рисков публичных сетей и знание как безопасно получить доступ к корпоративным системам с личных устройств.
Также важно не рассматривать обучение как разовое упражнение. Угрозы постоянно развиваются, и осведомленность сотрудников должна развиваться так же. Короткие регулярные обновления или напоминания гораздо более эффективны, чем редкие длинные учебные сессии, которые быстро забываются.
Цель состоит не в том, чтобы превратить сотрудников в экспертов по безопасности, а в том, чтобы дать им достаточную осведомленность для принятия лучших решений в повседневных ситуациях.
Заключение
BYOD - это реальность того, как выполняется современная работа. Проблема в большинстве случаев заключается не в том, разрешать ли это, а в том, как внедрить политику BYOD, которой сотрудники действительно будут следовать. Наиболее эффективные политики - это не самые строгие, а те, которые позволяют сотрудникам легко следовать им, не внося ненужных рисков.
В конце концов, максимизация принятия политики BYOD сводится к поиску баланса между безопасностью и удобством использования. Организации, которые правильно достигают этого баланса, не только улучшат безопасность, но и создадут более гладкую и продуктивную рабочую среду.
