Вы могли это видеть десятки раз. Один из ваших коллег демонстрирует, как он собирается использовать на работе новейшее устройство, купленное в выходные. Это может быть новый смартфон, внешний жесткий диск или даже персональная точка беспроводного доступа, но в любом случае их применение в вашей компании не предусмотрено.
Вам как бы все равно. Но вы — ИТ-администратор и вынуждены выслушивать жалобы своего коллеги, как это ужасно, что злые дяди, занимающиеся обслуживанием сети, не позволяют ему подключить свое устройство. Но ведь должен же быть способ обойти запрет? Ну да, наверное, отвечаете вы.
Рецепт, как справиться с неумолимым вторжением потребительских технологий, заключается в следующем: следует использовать все хорошее, следить за всем, что сопряжено с риском, и объяснить людям, чем категорически нельзя пользоваться в офисе. Но важно понять, что большинство компаний, если они хорошо подготовятся, могут извлечь преимущества из инновационных устройств потребительского класса.
К использованию устройств массового спроса в вашей компании следует провести некоторую подготовку. Наряду с обучением сотрудников она может включать формулирование политики, обеспечивающей безопасную интеграцию этих устройств. А может сводиться к отказу от устаревших технологий, заставляющих сотрудников применять личные устройства потребительского класса вместо тех, которые предоставляет их предприятие.
Наглядным примером является использование работниками электронной почты. Многие (наверное, даже большинство предприятий) ограничивают размер прикрепленных файлов. Зачастую это необходимо, чтобы не забивать почтовый сервер. Но у этой проблемы есть и другая сторона. Если запретить сотрудникам обмениваться большими файлами, когда этого требует работа, то вы не оставляете им другого выбора, кроме как вынести такой обмен за пределы предприятия, где нет системы защиты и не проводится аудит.
Простейшее решение — увеличить лимит на размер прикрепленных файлов таким образом, чтобы это хотя бы позволяло офисам обмениваться подготовленными с помощью PowerPoint презентациями. Возможно, вам стоит обеспечить сотрудников программами для пересылки больших файлов, такими как YouSendIt или продукты компании Accellion для управляемой передачи файлов. “Организациям следует задуматься, как их сотрудники будут пересылать файлы, — сказала директор Accellion по маркетингу Пола Скоковски. — Если компания предоставит работникам необходимые средства, им не придется искать обходные пути”.
То же можно сказать и о других предоставляемых компанией технологиях, необходимых персоналу для выполнения своей работы. При правильном подходе они могут обеспечить компании преимущества. “Я всегда думал, что это глупость, если кто-то готов тратить собственные деньги ради того, чтобы облегчить себе выполнение работы, и что не стоить обращать на это внимание”, — сказал Даг Нил, занимающийся исследованиями в рамках программы Leading Edge Forum Executive Program. По словам Нила, компаниям следует изменить свое отношение к принадлежащим их сотрудникам гаджетам. Ведь, наверное, не удастся долго запрещать их использование на рабочих местах. Нил предлагает привлечь сотрудников к поискам решения и помочь им в применении персональных устройств для повышения производительности труда, когда это возможно. “Если мы не сумеем найти правильный образ действий, то создадим проблемы с безопасностью”, — сказал он.
Но это, разумеется, не означает, будто можно просто распахнуть двери и позволить любому сотруднику приносить на работу любые устройства. Вы по-прежнему несете ответственность за безопасность и соблюдение требований регулирующих органов. Поэтому следует убедиться, что любое устройство, с помощью которого вы разрешаете обрабатывать конфиденциальные сведения, соответствует требованиям безопасности и что его использование поддается аудиту. Кроме того, это означает, что у вас должны быть правила, регулирующие применение таких устройств, и средства, обеспечивающие соблюдение этих правил.
Вообще говоря, следует либо предоставить сотрудникам необходимые им средства, либо помочь им управлять теми устройствами, которые они приносят на работу. Последнее стало необходимостью во многих компаниях, разрешивших своим работникам применять личные смартфоны и ноутбуки или даже потребовавших этого. Если вы требуете, чтобы человек приобрел подобное устройство, то одновременно должны позаботиться, чтобы он использовал его ответственно.
Эди Элмер, вице-президент компании Safend по управлению продуктами и маркетингу, подчеркнул, что при любых условиях следует помогать сотрудникам правильно эксплуатировать устройства. Многие компании пытаются заблокировать доступ к портам USB или запретить пересылку крупных файлов, но в конечном итоге все эти попытки обречены на провал. “Пользователи найдут способ их обойти”, — считает Элмер. Более того, результатом этих усилий может стать появление неконтролируемых и не поддающихся мониторингу подключений к внешним сетям. “Все может кончиться установлением множества соединений с сетью вашей организации”, — сказал он.
Элмер предлагает использовать ПО (например, фирмы Safend) для шифрования любых исходящих данных, пересылаемых через порт USB. Это избавит от опасности утечки данных в случае, если кто-то потеряет карту памяти. Кроме того, в целях соблюдения требований регулирующих органов он рекомендует вести мониторинг движения данных. Он считает, что другие вопросы, которыми занимаются специалисты по безопасности, такие как социальные сети и личная электронная почта, в действительности не создают больших трудностей. “Вы не можете полностью их запретить, — сказал Элмер. — Лучше разрешить, но разработать соответствующие правила и вести мониторинг передаваемых данных. Если наложить запрет, сотрудники найдут способ его обойти. Лучше объяснить им, что разрешено”.
Разберитесь, что и почему используется
Важно также понять, почему сотрудники приносят на работу свои гаджеты. “Если в течение рабочего дня они пользуются своими продуктами потребительского класса, то почему они это делают?”, — спрашивает Лори Виздо, вице-президент компании Knoa Software по маркетингу.
Виздо привела в качестве примера компанию, создававшую базу знаний для своего центра обработки телефонных вызовов. “Сотрудники каждый день открывали эту базу, но не пользовались ею. Вместо этого они выходили в Интернет”.
По словам Виздо, специалисты обнаружили, что пользоваться поисковой машиной Интернета проще и быстрее, чем базой знаний, так что компании пришлось от нее отказаться: “Она сумела понять, как в действительности трудятся ее сотрудники”.
Использование электронных устройств и других товаров массового спроса может означать, что вы не обеспечили работников нужными инструментами. “Конечные пользователи найдут наилучшие решения, — отметила Виздо. — Если все сотрудники отдела продаж обращаются к Hotmail вместо корпоративной электронной почты, это свидетельствует о наличии проблемы. Следовательно, вы оснастили компанию неадекватными инструментами”.
По мнению Виздо, один из лучших способов разобраться, как сотрудники используют потребительские продукты, это вести мониторинг их действий. Средства мониторинга, например выпускаемые ее компанией, позволяют понять, почему работники не применяют корпоративные инструменты, которые вы им предоставили, а пользуются вместо этого продуктами, приобретенными самостоятельно. “Применяют ли ваши специалисты в работе те инструменты, которые вы им обеспечили? — спрашивает Виздо. — Или им нравится тот набор инструментов, который они сами составили? Что они предпочли? Их выбор создает риски, связан с затратами или его следует рассматривать как передовой опыт?”
Во многих случаях, сказала Виздо, сотрудники приносят собственные устройства на работу потому, что те, которые выбрала компания, плохо работают или не работают вообще. “Почему они пользуются этими инструментами? Разве я не отказалась от Outlook Web Mail по той причине, что эта почтовая система отнимает в десять раз больше времени, чем Hotmail? Могу я устранить ее недостатки? Не порождает ли она нежелательные действия? Правильно ли применяют технологию конечные пользователи? Они действуют уверенно или допускают ошибки?” Ответы на эти вопросы, считает Виздо, помогут компании понять, верно ли она выбрала инструменты, и функционируют ли они должным образом.
Компаниям следует дважды подумать, прежде чем отказываться от найденных сотрудниками решений, считает Виздо. “Если вы их запрещаете, то одновременно запрещаете и инновации”, — утверждает она. Виздо подчеркивает, что во многих случаях инструменты потребительского класса намного превосходят корпоративные по уровню инновационности. Она рекомендует компаниям извлекать пользу двумя способами (при должном контроле и мониторинге): позволить сотрудникам приобретать все необходимое за свой счет и применять свои инновационные идеи.
Д. Нил советует компаниям не бороться с использованием потребительских технологий, а найти способ взять их на вооружение и предоставить сотрудникам возможность участвовать в применении новых технологий. По его мнению, компаниям необходимо работать с персоналом и прийти к согласию относительно внедрения новых технологий. При этом Нил рекомендует руководствоваться двумя правилами:
- не усложняйте жизнь компании;
- никто не снимает с вас ответственности за сохранность данных; вы должны убедиться, что они не пострадают.
“Люди ищут эффективные способы для выполнения своей работы, — констатировал Нил. — Они могут делать это вместе с вами или без вас”. Он добавил, что если разъяснить сотрудникам их ответственность за сохранность корпоративной информации и добиться готовности ее защищать, будет гораздо проще решать проблемы, связанные с использованием потребительских технологий.
Конечно, это не означает отказа от контроля. Вы по-прежнему должны требовать, чтобы в случае потери мобильного устройства можно было стереть хранящуюся на нем информацию и чтобы данные записывались на портативные и мобильные устройства в зашифрованном виде. Вы обязаны также наблюдать, что записывается на эти устройства, чтобы обеспечить соблюдение требований регулирующих органов. Но вместо запрета использования персональных устройств, лучше предоставить людям возможность инкорпорировать устройства, которые они хотят применять, в их повседневную работу. Это позволит компании сэкономить и при правильном подходе не нанесет ущерба безопасности.
Люди найдут способы выполнить свою работу
Как отмечает Алан Брилл, старший управляющий директор компьютерных расследований из компании Kroll Ontrack, характер использования сотрудниками персональных устройств может сильно различаться в зависимости от того, как ими управлять. Зачастую основная проблема заключается в том, что ИТ-департамент не имеет средств для покупки продуктов или сервисов, необходимых персоналу для выполнения своей работы, поэтому люди вынуждены приобретать их самостоятельно.
“Если кто-то не в состоянии делать свое дело из-за того, что его чем-то не обеспечили, а начальство не идет ему навстречу, вы вынуждаете его воспользоваться планом “Б”. И можно ли его за это винить?”, — задает вопрос Брилл.
Брилл утверждает, что одна из главных причин недостатка бюджетных средств заключается в непонимании высшими менеджерами обязанностей рядовых сотрудников, в непонимании, зачем им нужны эти устройства при выполнении их работы. Решение, по его словам, заключается в том, чтобы привлечь внимание руководства и разъяснить ему, для чего необходимы те или иные продукты и сервисы. “Если вы укажете на возможность появления гражданских исков и нарушения требований регулирующих органов, то едва ли увидите непонимание в глазах высших менеджеров”, — сказал он.
Брилл подчеркнул, что при переходе на новую технологию важно заручиться поддержкой руководства. Кроме того, он рекомендует проактивный подход к потенциальным проблемам безопасности, связанным с использованием потребительской электроники на рабочих местах. Он предлагает следующее: ·
создайте политику. Разработайте набор правил и ознакомьте с ними сотрудников. Вы не можете наказывать человека, если он не знает, что этого делать нельзя; ·
- обзаведитесь инструментами, позволяющими применять эти правила. Вы обязаны осуществлять контроль; ·
- сотрудники ИТ-подразделений должны понимать, какие юридические последствия будут иметь их действия; ·
- интересуйтесь потенциальными нарушениями правил. Например, спросите, для чего подключен некий iPhone; ·
- в годовом отчете предусмотрите пункт, посвященный действиям сотрудников, направленным на защиту информации.
Брилл считает, что лучше привлечь сотрудников к работе по предотвращению потери данных, чем принимать те меры, которые ему довелось наблюдать. “Я побывал в некоторых компаниях и видел, как люди пытаются залить порт USB клеем, чтобы предотвратить его использование”, — поведал он.