BYOD в России

Дэйв Эванс, главный футуролог компании Cisco и главный технолог консалтингового подразделения Cisco IBSG @DaveTheFuturist

Миллионы людей (многие из них — сотрудники различных  организаций) приобретают мобильные устройства вроде смартфонов и планшетных компьютеров, и в дальнейшем используют их на работе. Этот феномен быстро набирает популярность и получил название BYOD (от Bring Your Own Device, «принеси на работу свое устройство»).

Чтобы лучше понять, насколько BYOD укоренился в глобальной корпоративной среде, консалтинговое подразделение Cisco IBSG опросило около 4 900 ответственных руководителей ИТ-отделов крупных (со штатом не менее одной тысячи сотрудников) и средних (500—999 работников) компаний в четырех регионах: США, Латинская Америка, Азия и Европа (в том числе Россия). Результаты исследования могут многое рассказать о том, как в российских компаниях управляют вычислительными сетями, мобильными устройствами и даже сотрудниками, для которых изменилось само понимание того, что значит «быть на работе».

Исследование показало, что BYOD распространяется не только в США и не только в крупных компаниях. На глобальном уровне BYOD в той или иной форме поддерживают 89 процентов руководителей ИТ-подразделений крупных и средних предприятий, а 69 процентов относятся к этому феномену «весьма» либо «очень» положительно. Потрясающие показатели, свидетельствующие о том, что компании в разных частях света принимают BYOD!

Европейские ИТ-руководители, пусть и в разной степени, менее всех других расположены поддерживать стремление сотрудников своих компаний пользоваться личными устройствами на работе и смотрят на это косо. Вследствие этого они реже разрешают сотрудникам приносить на работу свои устройства и пользоваться несанкционированными приложениями.

В России мобильными устройствами на работе пользуются 55 процентов работников умственного труда. Для сравнения: в Германии этот показатель составляет 50 процентов, во Франции — 52 процента. Вместе с тем Россия отстает от таких быстроразвивающихся стран, как Бразилия (57 процентов) и Индия (69 процентов), а также от США (67 процентов).

Среди этих 55 процентов российских работников, снабженных некоторым мобильным устройством (ноутбуком, смартфоном или планшетным компьютером), лишь менее трети используют собственный, а не принадлежащий компании прибор. В Индии, где модель BYOD наиболее популярна, более половины рабочих ноутбуков и смартфонов принадлежит самим сотрудникам.

При всем этом российские ИТ-руководители не ожидают особого увеличения доли личных мобильных устройств. Рост их числа прогнозируют представители менее половины компаний (43 процента); 32 процента не ожидают никаких изменений, а 20 процентов считают, что их доля и вовсе снизится.

Любопытно, что не ожидая существенного роста числа личных мобильных устройств на рабочих местах и выделяя на развитие мобильности лишь малую долю бюджетов, 59 процентов российских ИТ-руководителей относятся к BYOD позитивно. Для сравнения: в Великобритании и Германии такую позицию занимают 52 процента ИТ-руководителей, а во Франции и того меньше — 40 процентов.

Эти и другие результаты нашего исследования показывают, что BYOD сулит существенные преимущества и компаниям, и сотрудникам. Но воспользоваться этими преимуществами руководители бизнеса и информационно-технологических подразделений смогут, только если перестанут сводить дело к борьбе со связываемыми с BYOD угрозами для информационной безопасности и сохранности данных и займут активную позицию по внедрению BYOD. Для этого необходимы прописание правил применения устройств мобильного доступа, организация соответствующей ИТ-поддержки и создание условий для использования некорпоративных приложений. В таком виде BYOD может принести неоценимую пользу как самой компании, так и ее сотрудникам.

Более подробно об исследовании тенденции BYOD, проведенном Cisco IBSG, можно узнать из следующих материалов:

Реклама

Практика применения BYOD

BYOD/Bring Your Own Device

Консьюмеризация вместе с ростом мощных и удобных персональных устройств наступает по всему миру. Смартфоны, планшетные компьютеры уже широко распространены и, что наиболее важно, доступно огромное количество платных и бесплатных приложений практически под любые задачи. Это создает огромные перспективы для различных аспектов бизнеса компаний всех типов, но возникают и риски. Компании это уже не просто ощущают, а понимают необходимость поиска адекватного и полноценного решения такой проблемы, как эффективное и безопасное управление подключением мобильных устройств сотрудников к корпоративной сети. И решение здесь – BYOD.
BYOD, фактически, это системный подход, выраженный в разработке подходящих правил использования на сети персональных мобильных устройств совместно с устройствами, выданными компанией, а также в реализации политик управления и безопасности с помощью соответствующего оборудования.

Но это – в развитых странах, а у нас?

Пока нередко приходится слышать: «нам это не интересно», «у нас лишь горстка высших руководителей имеет право использовать айпады, и им мы обеспечиваем безопасный сервис, а остальным запрещаем», «нам все равно»…

Но «все равно» может быть кому угодно, но только не владельцу бизнеса. С одной стороны, BYOD существенно увеличивает лояльность сотрудников к компании. Ведь только представьте: человек долго выбирал себе смартфон, потом перепробовал не один десяток приложений, подобрал то, что ему удобно, и теперь совершенно доволен. ИТ-службе ни за что не обеспечить такой уровень удовлетворенности сотрудника: она просто физически не может тратить на каждого столько же времени, сколько сотрудник тратит сам на себя в нерабочее время. С другой стороны, существуют многочисленные исследования, показывающие, что пользователи (корпоративные сотрудники), которым разрешили использовать свои собственные мобильные устройства, работают более продуктивно. Это происходит за счет использования некоторого количества дополнительного времени, которое обычно тратится вхолостую (перекуры, всевозможные перерывы, обеденное время и т.п.). При наличии удобного персонального мобильного устройства, повсеместного качественного Wi-Fi покрытия в офисах компании и законченного решения, обеспечивающего безопасное и управляемое использование таких устройств мы и получим значительные бизнес-преимущества в контролируемой среде. И при этом не надо оплачивать большой труд по выбору и настройке конечных устройств. Хотя, справедливости ради, надо сказать, что многие западные компании дотируют сотрудников в большей или меньшей степени на мобильные устройства и, естественно, на связь.

Давайте также рассмотрим еще несколько примеров того, как могут эффективно использоваться персональные мобильные устройства в корпоративной среде для создания реальных преимуществ в ежедневной деятельности:

  1. Устанавливаем голосовое приложение Cisco Jabber на iPhone, iPad или андроид-устройства, разворачиваем центральную часть коммуникационной инфраструктуры в штабквартире. Делаем персонализированные конфигурации, например, с одним корпоративным номером, как единой точкой доступа к сотруднику. Не забываем про корпоративную сеть Wi-Fi со сплошным покрытием и дизайном под маломощные мобильные устройства. И тогда сотрудник всегда доступен через такой единый номер. При этом в офисе, дома или в любых местах с Wi-Fi связь может осуществляться по сети доступа Wi-Fi. В офисе отпадает необходимость в настольных или любых других телефонах, кроме единственного смартфона. А если еще начать использовать видео на том же приложении?
  2. То же касается возможностей совместной работы над документами и конференций с большим количеством участников. Здесь отличным вариантом является использование приложения Cisco Webex, которое также может быть использовано на устройствах с iOS или Android. В данном случае где бы не оказался сотрудник со своим мобильным устройством он может принять полноценное участие в конференции (хотя в офисе, конечно, удобнее). Потребности в Wi-Fi те же.

Рассмотрим некоторые важные составляющие BYOD решения

Прежде всего необходимо описать сценарии использования различных корпоративных ресурсов различными группами пользователей (обычные сотрудники, сотрудники с высоким уровнем допуска, гости) с учетом их местоположения (внутри офиса или удаленный доступ). Важно четко понимать, что политики должны быть всеобъемлющими и однозначно включать в себя пользователей со смартфонами, планшетными компьютерам, а не только с ноутбуками. Естественно, что политки не должны быть статичными. Наоборот это должно постоянно отслеживаться, корректироваться, а изменения доводиться до сотрудников.

Естественно, что персональное устройство сотрудника нельзя считать полноценным корпоративным мобильным устройством (полностью контролируемым ИТ-службой компании), поэтому продуманная архитектура безопасности является краеугольным камнем любого BYOD решения. Для обеспечения безопасности необходимо ввести механизм доступа, основанный на степени доверия не только к пользователю, но и к устройству, с помощью которого он получает доступ к корпоративной сети и информации в этой сети. Первичным здесь можно считать функционал идентификации профиля устройства при попытке входа в сеть. Так, например, если сотрудник пытается войти в корпоративную сеть с корпоративным ноутбуком он может получить доступ в определенный сегмент внутренней сети с максимальным доступом для уровня данного пользователя, но если через 5 минут в кафе через дорогу тот же сотрудник захочет удаленно войти в корпоративную сеть со своего смартфона (хотя и через VPN, и с корпоративными логином/паролем), то он сможет получить доступ, но в сегмент с более ограниченными ресурсами в доступе. Например, врач внутри больницы может иметь полный доступ ко всему, но за пределами больницы он будет иметь ограниченный доступ, без возможности просматривать наиболее чувствительную информацию (личные данные больных, медицинские записи больных и т.п.). В решении Cisco такой функционал обеспечивает Cisco ISE/Identity Services Engine.

Важно правильно спроектировать сеть доступа Wi-Fi, так как здесь радиодизайн должен однозначно учитывать широкое применение мобильных устройств с низкой энергетикой. Решение в целом должно основываться на централизованной архитектуре с Wi-Fi контроллером во главе. Контроллер здесь управляет обновлением программного обеспечения, изменениями конфигураций, динамически управляет радиоресурсами, управляет связью сети WLAN с внешними серверами (ААА, DHCP, LDAP и т.п.), управляет аутентификацией пользователей, управляет функциями качества обслуживания пользователей и т.п.. Для качественного обслуживания маломощных мобильных устройств необходимо, чтобы сеть WLAN имела интегрированные механизмы контроля спектра и могла динамически реагировать на возникновение существенных источников интерференции, способных привести к деградации сервиса или вообще к невозможности Wi-Fi клиентами получать доступ к сети Wi-Fi. Всеми этим свойствами в максимальной степени обладает архитектура CUWN (Cisco Unified Wireless Network) с интегрированной технологией CleanAir — это фактически встроенный анализатор спектра и логика быстрого самовосстановления сети при негативном изменении радиообстановки. Такое решение позволяет иметь высочайший уровень надежности и доступности беспроводной сети при минимальном контроле со стороны ИТ-службы.

При выходе в Интернет сотрудников или гостей компании возможно также введение контроля трафика и ограничения доступа к ресурсам определенного типа или ограничение доступных сервисов на каких-либо веб-сайтах. Можно привести следующие популярные примеры:

  • нельзя войти на игровые сайты (категория Gambling),
  • можно пользоваться аккаунтом в социальной сети, но нельзя выкладывать фотографии,
  • нельзя получить доступ к сайту, который попал в лист закрытых, как источник распространения вирусов и вредоносных программ,
  • нельзя изменить уровень фильтрации результатов поиска в поисковых машинах, чтобы отсечь возможность поиска доступа сайтов определенных социально-нежелательных категорий.

В решении Cisco такой функционал обеспечивает Cisco IronPort.

В заключении хотелось бы еще раз подчеркнуть, что использование персональных мобильных устройств очень перспективно для любого бизнеса, включая госсектор (например в США в госсекторе BYOD развивается очень мощно), но необходимо порекомендовать формировать политики BYOD достаточно жесткими. И здесь надо четко понимать, что нельзя относится к персональным мобильным устройствам на корпоративной сети также, как к ноутбукам, которые выдает компания и полностью контролирует ИТ-служба. Компании могут потерять важную информацию, если политики безопасности для мобильных устройств будут недостаточно сильными.

Айс, айс, Сиско!

О том, как упорядочить заос в сети, я уже писал. Теперь можно углубиться в детали и рассказать о флагманском продукте, который и реализует эту концепцию — системе Cisco Identity Service Engine (ISE). Это платформа следующего поколения для управления процессами идентификации и контроля доступа, которая позволяет организациям обеспечить соблюдение нормативных требований, повысить уровень защищенности корпоративной или ведомственной ИТ-инфраструктуры и упростить управление работой различных сетевых сервисов.

Решение Cisco Identity Services Engine, которая объединяет в себе функциональность Cisco ACS и Cisco NAC, объединяет сервисы аутентификации, авторизации и учета (AAA), оценки состояния, профилирования и управления гостевым доступом в рамках единой платформы. Администраторы получают возможность централизованно создавать согласованные политик контроля доступа и управления ими, а также получают всестороннюю информацию обо всех пользователях и устройствах, подключающихся к сети. Решение Cisco Identity Services Engine автоматически выявляет и классифицирует оконечные устройства (не только ПК и сервера, но и, например, принтеры, планшетники, смартфоны и т.д.), обеспечивает нужный уровень доступа, проводя аутентификацию как пользователей (путем интеграции с Active Directory), так и устройств (с помощью 802.1x), а также обеспечивает соответствие оконечных устройств нормативным требованиям путем оценки их состояния защищенности перед предоставлением доступа к корпоративной или ведомственной ИТ-инфраструктуре. Разграничивает доступ Cisco Identity Services Engine с помощью меток групп безопасности (SGT), списков контроля доступа (ACL) и механизма VLAN.

Более подробную информацию о данном решении можно найти в подготовленном информационном бюллетене и презентации.

BYOD. Облачная демонстрационная лаборатория Cisco

Сегодня я хотел бы продолжить тему BYOD (Bring Your Own Device) и рассказать о новой лаборатории Cisco Systems, предназначенной для удаленных демонстраций BYOD.

В Cisco недавно была разработана и развернута мощная облачная лабораторная площадка, одной из возможностей которой является удаленная демонстрация BYOD. В ходе демонстраций можно показать как собственные впечатления, возможности и ограничения пользователя, так и все то, что при этом происходит в сетевой инфраструктуре.

Доступны три различных сценария:

1. Медицинский сценарий.
2. Образовательный сценарий.
3. Корпоративный сценарий.

И каждый из сценариев предоставляет несколько ролей, например в «Образовательном» — это «Профессор», «Студент» и «ИТ-специалист».

Отличительная особенность данной лаборатории — это возможность демонстрировать BYOD «вживую» прямо в офисе заказчика и с участием заказчика!

Больше информации о том, что такое BYOD с живой демонстрацией возможностей лаборатории:

BYOD — от концепции к практике

Сегодня мы обсуждаем набирающую популярность тему: BYOD (Bring Your Own Device).

На данный момент концепция BYOD относительно мало известна в России и ближайших государствах, но это очень популярная и быстрорастущая тенденция в США, Европейских странах и т.д.

Так что же такое BYOD?

Можно сказать, что это набор правил и технологий, который позволяет:

  • обеспечить доступ в интернет и к сетям передачи данных с любых мобильных устройств, включая те, которые не имеют проводных сетевых интерфейсов (смартфоны, планшеты и т.п.),
  • обеспечить контроль и применение необходимых правил к пользователю, который хочет получить доступ, с какого устройства, из какого места и к каким ресурсам сети,
  • обеспечить применение более сложных правил для, например, предотвращения использования устройств в нерабочих целях в рабочее время (например через контроль веб-трафика).

А так ли нам нужны все эти сложности? Не проще все запретить?

Давайте посмотрим результаты некоторых исследований на эту тему: недавний глобальный опрос Cisco показал, что 40% студентов колледжей и около 45% работников готовы работать на условиях с меньшей оплатой, если им будет предоставлена свобода выбора персональных устройств, чем на условиях с более высокой оплатой, но с меньшей гибкостью. В то же время ИТ департаменты гораздо менее убеждены, что такая гибкость является хорошей идеей, и по другим исследованиям — около 70% ИТ-менеджеров считают, что слишком рискованно разрешать использование персональных устройств для доступа к корпоративной сети. Больше информации здесь.

По исследованию крупной компании WiFi-агрегатора iPass, которая опросила около 1100 мобильных работников по всему миру, респонденты, использовавшие мобильные устройства для работы и для персональных целей, работали на 240 часов в год больше, чем те кто не использовал. Это, фактически, вариант увеличения продуктивности. А также это создает условия, при которых у пользователя (сотрудника компании) остается все меньше возможностей сказать “нет”. Основываясь на данных причинах Gartner предсказывает, что к 2014 году 90% компаний будут поддерживать корпоративные приложения на устройствах, которые находятся в собственности работников. Больше информации здесь

По результатам исследования Dell Kace — практически в 90% компаний-респондентов сотрудники используют их собственные мобильные устройства в корпоративных сетях. При этом около 62% ИТ-менеджеров ощущают нехватку необходимых инструментов для управления такими устройствами и обеспечения безопасности сетей. Немного более подробно о результатах данного исследования:

  • 88% респондентов хотели бы иметь иметь реализованную политику в части использования мобильных устройств,
  • 82% опасаются использования персональных устройств для рабочих целей,
  • 64% не уверены, что знают все персональные устройства, которые используются на сети для рабочих целей,
  • 60% говорят о растущих требованиях по поддержке Max OS X с момента старта продаж Apple iPhone и iPad,
  • 59% сообщили о том, что персональные устройства создали необходимость поддержки множества операционных систем в компаниях,
  • 32% допускают, что сотрудники используют неавторизованные персональные устройства и приложения для доступа к их сетям.

Итак, можно констатировать следующие простые факты:

  1. Использование персональных мобильных устройств это хорошо для бизнеса, т.к. увеличивает лояльность сотрудников и повышает продуктивность их работы.
  2. Использование подобных неконтролируемых устройств — это большая проблема с точки зрения безопасности корпоративной сети, так как эти устройства могут легко стать платформой для атаки на сеть.
  3. Для использования персональных устройств необходимо создавать среду, в которой можно будет использовать данные устройства безопасно.

Подход Cisco для реализации BYOD

Необходимо иметь качественную Wi-Fi инфраструктуру, которая способна эффективно обслуживать маломощные мобильные устройства. Централизованная архитектура WLAN решения Cisco – CUWN/Cisco Unified Wireless Network – это лучшая платформа для разработки подходящего решения беспроводной сети доступа корпоративного класса.

Необходимо иметь системы, которые могут выполнять такие важные функции, как:
— аутентификация пользователей с поддержкой 802.1х и Web-аутентификации,
— профайлинг устройств для дифференциации по типам используемых устройств,
— применение специальных правил по управлению поведением мобильных устройств, таких как:

  • применение политик перевода устройств в подходящие виртуальных сети VLAN-ы,
  • применение подходящих списков доступа ACL,
  • понимание точки входа пользователя в сеть (в офисе или удаленно), для ограничения возможностей доступа владельцев устройств в зависимости от ситуации.

— применение правил, позволяющих проверять статус безопасности мобильных устройств с разными операционными системами для выявления соответствия принятой политике, например:

  • наличие необходимых обновлений безопасности и, например, сервис-паков,
  • наличие антивируса и свежесть обновления анивирусной базы данных,
  • наличие межсетевого экрана и обновление его базы, если применимо.

Здесь также важно, чтобы система была способна не просто отказывать в обслуживании устройству, не прошедшему контроль на входе, но переводить устройство, например, в карантинный VLAN, откуда можно скачать необходимые апдейты, патчи и т.п. для выхода на приемлемый уровень безопасности и для получения более широкого доступа к сетевым ресурсам.
Все эти функции выполняет Cisco ISE/Identity Services Engine самостоятельно как централизованный элемент. В определенных случаях ISE применяется совместно с платформой MDM/Mobile Device Management.

Очень желательно иметь систему анализа веб-трафика и применения подходящих правил к веб-трафику пользователей. В Cisco есть демо-решение удаленной демонстрации того, как работает BYOD — там показано применение таких интересных правил как, например, сотрудник компании, имеющий полный доступ в интернет, также имеет и следующие ограничения:

  • нельзя заходить на сайты игровой категории (gambling),
  • нельзя заходить на сайты, которые были опознаны системой, как сайты-источники вредоносного ПО,
  • можно пользоваться Facebook, но нельзя выкладывать фотографии в аккаунт в этой социальной сети,
  • в Google постоянно стоит строгое ограничение на фильтры поиска (Strict), и пользователь, при любой попытке это изменить, снова получает систему со строгим ограничением. Уровень Strict ведет к тому, что пользователь не сможет найти, например, веб-ресурсы порнографического содержания.

При этом «гость» в той же корпоративной сети, получая доступ в Интернет по отдельному VLAN-у, уже может заходить на игровые ресурсы и т.п., так нас, по данной политике, не очень заботит то, чем занимается «гость» в изолированном сегменте сети.
Все это и многое другое реализуется на базе Cisco IronPort и полностью применимо для построения гибкого и многофункционального решения BYOD.

И крайне важно, чтобы элементы были интегрированы друг с другом при развертывании подобного решения. Все элементы решения Cisco полностью интегрированы и, например, Cisco ISE является полноценным элементом решения Cisco WLAN с полной интеграцией в систему управления Cisco Prime Infrastructure.

Как упорядочить хаос в сети или зачем нужен Cisco TrustSec?

Представьте себе следующие распространенных ситуации, с которыми часто сталкиваются ИТ/ИБ-специалисты:

  1. Вы возвращаетесь из командировки и подключаете свой ноутбук к корпоративной сети. За время вашего отсутствия антивирусные базы на вашем компьютере уже устарели и бороздя просторы Интернета из гостиницы, вы подхватили незамеченную заразу. После успешного прохождения аутентификации в корпоративной сети, вирус покидает уютное, но локальное «гнездо» и распространяется по всей корпоративной сети в рамках тех полномочий, которые есть у вашей учетной записи!
  2. Вы приглашаете на встречу партнера или клиента (а может это приехал аудитор), который с радостью принимает ваше предложение. В переговорной ваш коллега просит у вас организовать ему доступ в Интернет и у вас наступает ступор. Девушка на reception не знает, как это сделать. Сотрудник службы ИБ, к которому вы обратились, говорит: «Не положено». А сотрудника ИТ, который помог бы решить эту проблему нет на месте. Его же коллеги уверяют вас, что предоставить временный доступ к Интернет очень долго и сложно.
  3. Руководитель вашего Новосибирского филиала по пути в отпуск, заезжает к вам в офис и просит «быстренько» организовать подключение его личного iPad к корпоративной электронной почте и другим ресурсам, к которым он хочет получать доступ, нежась в шезлонге у бассейна отеля. Вы не знаете как подступиться к этой задаче, т.к. на это весьма популярное мобильное устройство нельзя поставить ни антивирус, ни другие обязательные по корпоративной ИТ-политике программные средства. При этом давать неограниченной доступ с удаленного iPad вы тоже не хотите… А вдруг с него и пойдет распространение вредоносных программ по сети или его украдут со всей конфиденциальной информацией и реквизитами доступа в корпоративную сеть?..
  4. Вы вдруг начинаете получать сообщения от пользователей о том, что в Интернете появились копии конфиденциальных документов вашей компании. Расследование показало, что никаких утечек через e-mail, USB, P2P и другие распространенные каналы не было. Но данные продолжают утекать. Более глубокий анализ сетевого трафика показал, что источником проблем стал принтер, на который было несанкционировано загружено вредоносное ПО и организующее удаленный доступ к копиям всех печатаемых документов. Кто бы мог подумать, что такое возможно и что принтер станет и мишенью и площадкой для действий хакеров! Но как быть? Как защитить принтер? Ведь антивирус на него не поставишь и пользователь за ним не работает…

Ответ на все эти вопросы есть и он один — это технология Cisco TrustSec и ее флагменский продукт Cisco Identity Service Engine (ISE), которые помогают эффективно разрешить все указанные выше ситуации; а также многие другие. На прошедшей в США конференции RSA Conference мы анонсировали новую версию Cisco TrustSec и Cisco ISE, которые и хотели бы вам представить.