Политика использования мобильных телефонов на рабочем месте

Содержание
  1. Как создать политику использования мобильных телефонов на рабочем месте
  2. С кем можно проконсультироваться?
  3. Этикет
  4. Решение вопросов, связанных с работой
  5. Органайзер (или рабочие задания на вашем телефоне)
  6. Мобильные телефоны принадлежащие компании
  7. Безопасность, обязательства и правовые вопросы
  8. Обеспечение соблюдения политики
  9. Как бороться со смартфонозависимостью сотрудников на работе?
  10. Запретить пользоваться личными смартфонами на работе
  11. Сделать так, чтобы у сотрудников не было времени на личные гаджеты
  12. Внести пункт о смартфонах в корпоративный устав компании
  13. Обратиться за помощью к психологам
  14. Вести контроль и учет рабочего времени сотрудников за компьютером
  15. обзор системы учета рабочего времени Kickidler:
  16. Чем опасно использование личного телефона в рабочих целях | Rusbase
  17. Мой смартфон — это твой смартфон
  18. Что произойдет, если вы потеряете свои данные?
  19. Безопасность при работе с мобильными устройствами на предприятии
  20. Потенциальные угрозы
  21. Арсенал защитника
  22. С чего начать?
  23. Итог

Как создать политику использования мобильных телефонов на рабочем месте

Политика использования мобильных телефонов на рабочем месте

Вот несколько советов, которые могут вам помочь создать политику, чтобы защитить свою компанию от разрушительного и незаконного поведения.

Несмотря на подавляющее присутствие этого устройства в современном обществе, мобильные телефоны постоянно балансируют между современными удобствами и разрушающими неприятностями.

Звонки, сообщения, картинки и другие данные, переданные членам семьи, друзьям, врачам или даже коллегам во время рабочего дня, срывают важные деловые встречи и переговоры.

Именно поэтому, нужно создать соответствующую политику, которая поможет вам сохранить гармонию вашего рабочего пространства.

«Я определенно думаю, что работодатели должны учитывать тот факт, что мобильные телефоны являются основным способом коммуникации», говорит Нэнси Флин (Nancy Flynn), директор «Columbus» и автор «The e-Policy Handbook: Rules and Best Practices to Safely Manage Your Company's E-Mail, Blogs, Social Networking, and Other Electronic Communication Tools (2009)». «Но вам нужна политика в целях защиты активов вашей организации и репутации».

Согласно опросу, проведенному в 2009 году (Marist Institute for Public Opinion), у 9 из 10 (87%) жителей есть мобильный телефон. И для вас, как владельца бизнеса, важно разработать руководящие принципы, которые помогут «обуздать» бесконечные проблемы, связанные с чрезмерным или неправильным использованием мобильного телефона.

С кем можно проконсультироваться?

Чтобы создать политику, которая будет работать для вашей компании, вам нужно привлечь к этому процессу правильных людей.

Доверьте это задание руководителям и HR-отделу, а также не забудьте привлечь ИТ-специалистов и юристов, как советует Флин.

«Вы, как владелец бизнеса, позаботьтесь о том, чтобы вашу политику проанализировал юрист, особенно, если вы работаете в сфере финансовых услуг или здравоохранения», говорит она.

И, как только вам удалось собрать вместе всех членов команды, вы должны обсудить несколько вопросов:

1. Какие проблемы/вопросы, связанные с мобильными телефонами, есть в нашей компании? Почему вы чувствуете, что вам нужна политика использования мобильных телефонов на работе? Является ли ваша рабочая среда слишком шумной? Вы замечаете, как ваши сотрудники пишут смс, когда вас поджимают сроки? Когда вы сможет озвучить проблемы, которые уже существуют, тогда вам будет легче найти их решение.

2. Какие виды руководств являются подходящими для моего бизнеса? Как советует Флин, вы должны адаптировать свою политику в соответствии с природой вшей отрасли.

Если вы работает в сфере пиар-услуг, например, где вам нужна постоянная связь, тогда ваша политика должна быть более мягкой.

А вот в строительной компании или на производстве, где существует очень высокий риск возникновения опасных ситуаций, должна быть очень серьезная политика использования мобильных телефонов.

3. Какая мобильная связь нужна моим сотрудникам? Этот вопрос является очень важным и здесь вам помогут ИТ-специалисты, так как они смогут установить специальные приложения и настроить различные функции для электронной почты, внутренней и внешней связи.

Этикет

Хотя основные принципы вашей политики должны отвечать особенностям и потребностям вашей компании, существуют общие правила использования телефонного этикета, которые вы должны принять к сведению. Многие из них могут показаться вам обычной любезностью, но если вы хотите что-то получить, то вы должны объяснить это. Эти правила должны касаться всех средств связи, как рабочих, так и личных:

1. Функция «вибрации» – это ваш лучший друг. Ее нужно использовать по умолчанию. Никто не любит громких звонков.

2. Никаких телефонов во время деловых собраний. Проинструктируйте сотрудников о том, что во время собраний, конференций необходимо отложить телефоны в сторону, а еще лучше, оставить на своих рабочих столах. «Во время делового мероприятия звонки или переписка может отвлекать и раздражать других людей», говорит Флин.

3. Голосовая почта – это не грех. Согласно опросу (Pew Research Center) 1,5 тыс. взрослых людей, 24% из сказали, что они чувствуются себя обязанными ответить на звонок, даже во время важного собрания. В таких случаях для общения лучше использовать ую почту. Сделайте на этом акцент в своей политике.

4. Говорите тише. Есть всего несколько более раздражительных вещей, чем громкий разговор по телефону, особенно, если люди пытаются завершить начатое дело.

Четко объясните своим работникам, чтобы они общались на более пониженных тонах, если им все-таки нужно ответить на звонок, или найти тихое место, где можно поговорить.

Будет очень хорошо, если для этих целей вы сможете выделить специальное помещение.

5. Речь и контент. Уже многие компании потеряли своих клиентов из-за того, как работники общаются по телефону. Профессиональная коммуникация – это не то же самое, что и ваше общение дома, и в вашей политике это должно быть отражено.

Решение вопросов, связанных с работой

Флин говорит, что для того, чтобы телефонные звонки не влияли на производительность, необходимо четко объяснить, когда они могут быть сделаны. Возможно, во время обеденного перерыва? А также уточните, насколько длительными могут быть телефонные беседы?

«Не достаточно просто сказать, что работники могут совершить ограниченное количество звонков», говорит она. «Используйте язык, который не является открытым для индивидуальной интерпретации».

Тем не менее, не забудьте включить в политику положения об экстренных телефонных звонках, потому что мы берем с собой телефоны для того, чтобы оставаться на связи с теми, о ком заботимся. Вы можете проинструктировать своих сотрудников, чтобы они поставили в известность вас или своего руководителя о беременности жены или наличии болеющего члена семьи.

Кроме того, вы также можете интегрировать элементы политик в отношении социальных медиа. Большинство современных телефонов имеют тот же набор функций, что и компьютер или ноутбук. Если вы уже установили лимит на посещение персональных страниц в соцсетях, тогда это правило должно распространяться и на мобильные телефоны.

Органайзер (или рабочие задания на вашем телефоне)

Если ваши сотрудники по работе делают звонки, отправляют сообщения или просматривают веб-страницы с помощью своих мобильных устройств, вы должны помнить, что это не личные цели и, следовательно, ваша компания оплачивает это. Вот почему вы должны включить в свою политику положение, которое объяснит, что ваши работники должны получить разрешение на выполнение этих действий.

Поскольку каждый оператор может предоставить вам выписку о телефонных звонках и их продолжительности, попросите своих сотрудников сделать копии счетов и выделить звонки, связанные с работой, которые затем будут возмещены. Сделайте акцент на том, что эти номера будут проверяться.

«Объясните в своей политике, что сфальсифицированные отчеты могут привести к увольнению», говорит юрист Хаймен (Hyman).

Также полезно будет добавить тарифный план. Помните, однако, что некоторые операторы снимают большую плату за скачивание контента, а такие непомерные расходы всегда некстати, особенно, для малого бизнеса.

Вы также должны донести своим сотрудникам, что работодатель не несет ответственность за потерю, кражу или повреждение телефонов сотрудников во время работы.

Мобильные телефоны принадлежащие компании

Если компания предоставляет возможность своим сотрудникам пользоваться корпоративными телефонами, тогда вам стоит помнить о следующих моментах:

1. Ограничьте ожидания приватности. «Во-первых, вы должны сказать, что этот телефон, который вы оплачиваете, не должен быть использован в личных целях», говорит Хаймен. Таким способом, вы можете защитить и себя.

Например, недавно работник подал в суд на работодателя и выиграл его, потому что его сообщение сексуального характера, отправленное с корпоративного телефона, было прочитано, хотя другой руководитель сказал ему, что этого не случиться.

2. Ведите учет телефонных номеров. Хаймен говорит, что очень важно обозначить в вашей политике, что компания является владельцем номеров, которыми пользуются сотрудники. «Вам нужно перестраховаться, чтобы ваши бывшие работники не увели ваших клиентов», объясняет он.

3. Регулярно анализируйте ежемесячные расходы на связь – и оглашайте результаты. Если сотрудники знают о том, что их счета проверяются, тогда они более внимательно будут относиться к расходам на различные приложения, игры и рингтоны. Есть также инструменты, как Auditel, который могут помочь управлять вашим счетом.

4. Немедленно сообщайте о потерянных мобильных устройствах.

Это необходимо сделать для того, чтобы, во-первых, отключить связь, и, во-вторых, отследить SIM-карту с помощью приложения WaveSecure, а также удалить личные данные.

Вы также должны четко обозначить, кто несет материальную ответственность за повреждение/потерю телефона. Если это сотрудник, тогда он заблаговременно должен поставить свою подпись на соответствующем документе.

5. Будьте честными касательно отслеживания с помощью GPS. Большинство мобильных телефонов идут не только с GPS, но также с приложениями, которые позволяют следить за вами.

«Если я владею транспортной компанией, тогда мне нужно знать, где находятся мои водители», говорит Хаймен. Но это сотрудники должны знать, что их местонахождение можно отследить.

Так же не забудьте проинструктировать своих работников о том, чтобы они не забывали отключать телефоны или GPS в нерабочее время (чтобы вас потом не обвинили во вмешательстве в частную жизнь).

Безопасность, обязательства и правовые вопросы

1. Использование видеокамеры. Большинство мобильных устройств оснащены камерами, и ваша политика должна четко ограничивать, когда и где ее можно использовать. Например, подумайте о том, чтобы запретить сотрудникам брать с собой телефон в туалет. Хаймен вспоминает свою клиентку, которая подала в суд на работодателя за то, что он сфотографировал ее в «комнате отдыха».

Так же необходимо защитить себя от распространения конфиденциальной информации. Для этого вам необходимо запретить пользоваться телефонами в отделе исследований и развития, а также во время работы с документами и финансами.

2. Публичные беседы. Если вы не хотите, чтобы конфиденциальная информация стала достоянием общественности, тогда следите за деловыми разговорами, которые не должны происходить в лифте или в аэропорту.

3. Разговоры и передача сообщений за рулем. Во многих штатах действуют строгие законы, которые запрещают использование ручных мобильных устройств во время управления транспортным средством.

Даже если в вашем штате они не действуют, ваша корпоративная политика должна полностью запретить водителям пользоваться мобильными телефонами в рабочее время (особенно, если автомобиль является собственностью компании). В случае аварии, пострадавшая сторона, скорее всего, подаст в суд на компанию, а на ее работника, объясняет Хаймен.

«На месте работодателя я бы сказал: «Нет, вы не может это делать, пока вы работаете», говорит он. Это также должно применяться и к эксплуатации тяжелой техники.

4. Преследование/домогательства. Не забудьте включить основные принципы из вашей политики, касающейся преследований/домогательств на рабочем месте. Скажите своим сотрудникам о том, что они должны немедленно информировать вас, если они замечают любые виды незаконных действий в отношении себя.

Обеспечение соблюдения политики

Любая политика является бесполезной, если ее не придерживаются. После того, как вы определились с руководящими принципами, убедитесь в том, что они соблюдаются. И как это сделать?

1. Регулярно пересматривайте их. Это нужно делать не реже, чем раз в год, как советует Флин. «Электронные технологии развиваются настолько стремительно, что совсем недавно нашей основной проблемой была электронная почта и обмен мгновенными сообщениями».

2. Проводите тренинги. На первый взгляд это может показаться смешным, но если вы продемонстрируете тот тип поведения, который вы ожидаете от своих сотрудников, им будет легче понять, что вам нужно.

3. Четко объясняйте дисциплинарные меры. Какие могут быть последствия нарушения политики? Эти меры должны быть четко и ясно изложены в письменной и устной форме.

4. Каждый сотрудник должен ознакомиться с документом и поставить свою подпись. Дайте своим работникам время, чтобы они познакомились с политикой, а затем подписали соответствующий документ, который это подтверждает. «Этим самым они подтверждают, что понимают изложенные принципы и будут придерживаться их вплоть до увольнения», говорит Флин.

Источник: https://hr-portal.ru/story/kak-sozdat-politiku-ispolzovaniya-mobilnyh-telefonov-na-rabochem-meste

Как бороться со смартфонозависимостью сотрудников на работе?

Политика использования мобильных телефонов на рабочем месте

Появление в нашей жизни смартфонов наделило нас сверхспособностями, которые житель даже недалекого прошлого принял бы за волшебство, магию.

Но, увы, сверхспособности не сделали нас сверхлюдьми. Плюсы от использования смартфонов благополучно нейтрализовал побочный эффект от них же. 

Игры, чаты, соцсети и прочие убийцы времени, манящие надолго прилипнуть к мобильному экрану, стали причиной настоящей эпидемии XXI века, имя которой – смартфонозависимость. 

Самое масштабное исследование, посвященное смартфонозависимости на работе, проводилось в 2016 году компанией CareerBuilder.

Было опрошено около 5000 респондентов, 66% из которых заявили, что используют смартфоны в личных целях на работе несколько раз в день, а 82% – рассказали, что постоянно «держат мобильный телефон в поле зрения».

При этом, лишь 10% работников признали, что смартфон снижает их работоспособность, что свидетельствует еще и о том, что далеко не все сотрудники осознают вред от залипания в смартфонах.

Другое исследование уже 2017 года говорит о том, что даже физическое присутствие смартфона рядом рассеивает внимание сотрудника и мешает ему заниматься другими делами, не говоря о постоянном залипании в гаджете.

Как думаете, в какую сторону изменилась эта ситуация к 2019 году? Вы угадали, – все стало еще хуже.

Отделить зерна от плевел и сделать так, чтобы смартфон на работе был эффективным помощником, а не мощным отвлекающим фактором, – очень важная задача современного руководителя, желающего поддерживать на высоком уровне продуктивность персонала в своей компании.

Мы подготовили 6 рекомендаций, как победить сматрфонозависимость сотрудников и побудить персонал использовать личные гаджеты на работе исключительно в продуктивных целях.

Запретить пользоваться личными смартфонами на работе

Если вы работаете руководителем на режимном предприятии повышенной секретности или стиль вашего правления – жесткая, тотальная диктатура, то этот метод вполне OK, но, мы уверены, что, как минимум, в 95% компаний – ситуация иная. 

Вы можете выбрать более лайтовый вариант запрета, – например, оборудовав в офисе специальное место, куда бы сотрудники складывали свои личные гаджеты, и выделив специальные часы, когда пользоваться личным смартфоном разрешено.

При всех плюсах этого метода, он все равно не решит проблему на 100%, тем более, что зачастую личный телефон необходим сотрудникам для служебных коммуникаций.

Сделать так, чтобы у сотрудников не было времени на личные гаджеты

Еще один «жесткий метод» подавить смартфонозависимость сотрудников – ставить четкие KPI для каждого сотрудника и строго контролировать их исполнение. Предполагается, что загруженному работой сотруднику попросту будет не хватать времени на «зависание» в личном гаджете. 

Безусловно, этот метод может быть эффективен, когда у руководителя и сотрудников есть ясное понимание того, сколько времени уходит на выполнение задач и сами задачи подразумевают несложные, повторяющиеся операции. Если же сотрудник выполняет нестандартные задачи или же его руководитель не знает «от и до» профессию своего подчиненного, то этот метод может оказаться недостаточно эффективным.

Внести пункт о смартфонах в корпоративный устав компании

Внесите пункт о смартфонах в корпоративный устав, напишите, что ваша компания не приветствует использование личных гаджетов в рабочее время, озвучьте этот пункт при приеме на работу, напишите об этом на корпоративном сайте, упомяните об этом на корпоративных тренингах, дайте установку руководителям подразделений… 

В общем, всеми возможными методами дайте понять, что ваша компания не приветствует злоупотребление личными смартфонами в рабочее время. Это обязательно сработает, по крайней мере на тех сотрудников, которые разделяют ценности компании. 

Этот метод также сложно назвать демократичным. Подойдет он больше для компаний с административным стилем управления.

Обратиться за помощью к психологам

Привлеките к проблеме профессионалов, которые объяснят вашим сотрудникам, что отказ от личных гаджетов на работе поможет в первую очередь самим работникам стать более организованными и, как следствие – более продуктивными. Пусть профессиональные психологи разработают методику, как вашим сотрудникам эффективно избавиться от смартфонозависимости.

Этот способ прекрасно подойдет для компаний с социально-психологическим и экономическим стилями управления, и вы не приобретете славу деспота, хотя, стоит признать, что действителен подобный метод только для тех сотрудников, кто осознает проблему и искренне хочет с нею справиться.

Стоит также упомянуть, что чрезмерное увлечение смартфоном ведет не только к снижению работоспособности, но и может стать причиной весьма осязаемых проблем: головных болей, бессонницы и даже депрессий. Сегодня некоторые производители смартфонов внедряют в свои детища специальные приложения, анализирующие активность пользователей и дающие рекомендации, когда стоит отложить гаджет в сторонку.

Вести контроль и учет рабочего времени сотрудников за компьютером

Со смартфонозависимостью можно бороться и техническими средствами. Пожалуй, это самый эффективный метод.

Одно из таких средств – наша система учета рабочего времени Kickidler. Нет, Kickidler не поддерживает мобильные платформы и не устанавливается на смартфоны. К тому же, слежка за личными гаджетами запрещена законами большинства стран, но зато Kickidler может эффективно проследить за деятельностью сотрудников за компьютером и отметить время бездействия (читать – залипания в телефоне).

Отчет «Детали дня» системы Kickidler позволяет без особого труда и со 100% точностью определить, сколько времени сотрудник бездействовал за компьютером, а также сколько времени посвятил продуктивной и непродуктивной деятельности.

Скриншот: Отчет «Детали дня» системы Kickidler

Отчет « сотрудников» поможет выявить главных бездельников и прокрастинаторов в коллективе, применив рейтинг по бездействию или по непродуктивной деятельности.

Скриншот: Отчет « сотрудников» системы Kickidler по бездействию

Кроме того, данный отчет поможет выделить и поощрить самых продуктивных сотрудников, которые более других вовлечены в рабочий процесс, сформировав рейтинг по продуктивной деятельности.

Скриншот: Отчет « сотрудников» системы Kickidler по продуктивной деятельности

Что лучше: наказывать бездельников или поощрять самых продуктивных сотрудников – решать только руководителю. Мы же рекомендуем использовать геймификацию и придумать несерьезные поощрения и наказания самым продуктивным и самым прокрастинирующим сотрудникам. Это не вызовет негативных эмоций, но сможет вполне реально повлиять на продуктивность.

обзор системы учета рабочего времени Kickidler:

Источник: https://www.kickidler.com/ru/info/kak-borotsya-so-smartfonozavisimostyu-sotrudnikov-na-rabote.html

Чем опасно использование личного телефона в рабочих целях | Rusbase

Политика использования мобильных телефонов на рабочем месте

Отсутствие цифровой конфиденциальности на рабочем месте стало широко обсуждаться после недавнего увольнения четырех сотрудников Google. По версии компании, причиной такого решения стал несанкционированный доступ к закрытым документам, а по версии экс-сотрудников, их уволили за критику политики Google.

Одна из них, Ребекка Риверс, рассказала, что данные из ее личного телефона на Android исчезли в начале ноября, когда она узнала, что ее отправляют в административный отпуск. Позже Google уволил Риверс.

Чем опасно использование личного телефона в рабочих целях Анна Полякова

«Примерно в то же время мой личный телефон был поврежден или зачищен», — сообщила она на митинге работников Google в ноябре. Потеря фотографий была особенно болезненной для Риверс, которая является транссексуалом. «Все на моем телефоне, что не было скопировано в облако, пропало, включая фотографии четырех месяцев моей трансформации, и я никогда не верну их», — поделилась она.

Как это произошло? Скорее всего, с помощью функции Android «рабочий профиль», которая позволяет работодателям запускать приложения и удаленно ими управлять.

У iOS есть аналогичная функция MDM (mobile device management — «управление мобильным устройством»), в которой рабочие приложения запускаются в виртуальном «контейнере» отдельно от личных приложений.

Многие компании создают MDM-приложения с различными возможностями контроля.

Существует много причин, по которым компания может захотеть использовать эту технологию: она позволяет защищать корпоративные данные в электронной почте и других приложениях, а также легко устанавливать, удалять и обновлять рабочие сервисы.

Но работодатель также может шпионить за вами или уничтожить все ваши данные — умышленно или по неосторожности. Вот почему смешивать работу и персональные устройства — плохая идея.

Если компания говорит, что вам необходимо быть онлайн, она должна предоставить устройство для этого.

Носить с собой два гаджета неудобно, но риск передачи вашего личного смартфона под корпоративный контроль намного хуже.

Мой смартфон — это твой смартфон

Во всех современных телефонах есть GPS. Если в личном устройстве установлен рабочий профиль или MDM, то работодатель может запустить приложение для отслеживания ваших перемещений, утверждает Оуэн Уильямс из OneZero. Он приводит пример производителя MDM Hexnode, который подробно описывает, как может отслеживать местоположение гаджета в любое время.

Уильямс также отмечает, что компания может потребовать подключить ваш телефон к интернету через ее VPN. Эта мера безопасности имеет смысл для бизнеса, но также означает, что все ваши данные могут проходить через сеть работодателя. При этом компания ничего не нарушает — нет закона, который способен это остановить.

«На самом деле это не отличается от использования компьютера в офисе для отправки личных писем.

Если вы отправляете незашифрованные персональные данные через сеть, принадлежащую вашему работодателю и контролируемую им, вы должны понимать, что они могут быть захвачены и сохранены», — говорит адвокат и эксперт по безопасности Фредерик Лейн.

Риверс недавно опубликовала в строку из своего трудового договора, в которой говорится: «У меня нет разумных ожиданий конфиденциальности в любой собственности Google или в любых других документах, оборудовании или системах, используемых для ведения бизнеса Google». В Google заявили, что это не должно быть сюрпризом и является стандартной практикой в ​​крупных компаниях.

Что произойдет, если вы потеряете свои данные?

Чего Риверс не ожидала, так это утраты личных данных на собственном устройстве. Но это встречается все чаще, говорит глава Национального института трудовых прав Лью Малтби, который называет это большей опасностью, чем шпионаж. «Они зачищают ваше персональное устройство с целью избавиться от данных компании, но при этом удаляют и все остальное», — говорит он.

В Google сказали, что уволенные сотрудники теряют личную информацию, если хранили ее в рабочем аккаунте, но они могут попросить компанию восстановить ее.

Неясно, что именно произошло с телефоном Риверс, и есть ли у Google резервная копия. Но компании часто полностью стирают память личных телефонов сотрудников, не предлагая перенести личные данные, говорит Малтби.

«Дело не в том, что они хотят доставить вам неприятности. Но им придется потратить немного времени и денег, чтобы создать систему, которая защитит вашу персональную информацию в рабочем профиле.

И они не хотят этого делать», — пояснил он.

Защитники трудящихся наподобие Малтби считают, что полная зачистка телефонов должна быть незаконной в соответствии с «Законом о компьютерном мошенничестве и злоупотреблениях» (Computer Fraud and Abuse Act, CFAA).

Сейчас CFAA запрещает несанкционированный доступ к вычислительным устройствам, например, кражу данных или установку вредоносных программ. Но адвокаты изо всех сил пытаются найти судебное дело, которое создаст прецедент для защиты смартфонов сотрудников.

«Суды непременно хотят увидеть ощутимые денежные убытки, но обычно их нет», — говорит Малтби.

Однако потеря таких личных данных, как фотографии с ключевыми моментами жизни, настолько болезненна именно потому, что их ценность нематериальна.

Кроме того, нет никакого способа перевести в денежный эквивалент неудобство использования двух телефонов или борьбу с работодателем, который не хочет платить за отдельный гаджет. Но безопасность вашей личной жизни, вероятно, все же важнее, чем какие-либо неудобства.

Источник.

Источник: https://rb.ru/story/personal-phone-for-work/

Безопасность при работе с мобильными устройствами на предприятии

Политика использования мобильных телефонов на рабочем месте

Безопасность при работе с мобильными устройствами на предприятии

Использование мобильных устройств на предприятии способно придать бизнесу новый импульс за счет повышения динамики ведения дел – мобилизации персонала в прямом смысле этого слова, ускорения процесса разрешения вопросов и согласований при принятии решений. С другой стороны это способно привести к печальным последствиям при неправильном подходе в работе с устройствами.

Алексей Ватутин
http://mdmanagement.wordpress.com

Безопасность всегда являлась ключевым фактором при построении инфраструктуры на предприятии.  Однако чем сложнее инфраструктура, чем больше сервисов предоставляется пользователям, тем сложнее реализация средств защиты. И, зачастую, каждый новый шаг в расширении бизнеса и предоставлении пользователям новых средств работы становиться для системных администраторов очередной головной болью.

Так, использование мобильных устройств на предприятии способно придать бизнесу новый импульс за счет повышения динамики ведения дел – мобилизации персонала в прямом смысле этого слова, ускорения процесса разрешения вопросов и согласований при принятии решений. С другой стороны это способно привести к печальным последствиям при неправильном подходе в работе с устройствами.

Главное, что необходимо понимать – мобильные устройства все больше походят на обычные стационарные рабочие станции, и информация, которая храниться на смартфонах, телефонах и КПК зачастую идентична информации на настольных ПК – почтовая переписка, документы Word и Excel, PDF и т.д.

Итак, от чего информацию, хранимую на мобильных устройствах, нужно защищать?

Потенциальные угрозы

При описании основных угроз при работе с мобильными устройствами необходимо выделить два состояния устройства, которые являются ключевыми – устройство как источник информации и устройство в роли ее потребителя.
К угрозам, в которых устройство может выступать в роли источника можно отнести следующие:

  • Утеря либо кража устройства;
  • Взлом устройства через сетевые подключения;
  • Взлом устройства при помощи «дыр» в используемом ПО;
  • Периодическая утечка информации из-за заражения зловредным ПО.

А к угрозам устройства – потребителя информации следующие:

  • Перехват трафика от и до устройства;
  • Использование сохраненных учетных данных пользователя при работе с корпоративными сервисами.

При этом необходимо дифференцировать не только состояние устройства, но и потенциальную длительность возможной угрозы во времени. И в соответствии с каждым состоянием и длительностью можно говорить о разных степенях угрозы.
Теперь о каждой из угроз более подробно:

  • Утеря либо кража устройства – это наиболее распространенный вид, который можно обозначить как единовременную угрозу (за некоторым исключением, о котором чуть ниже). После утери устройства скомпрометированной оказывается только та информация, которая храниться на нем в этот момент, и объем этой информации не изменяется во времени;
  • Взлом устройства через сетевые подключения – этот вид угрозы может быть охарактеризован как продолжительный во времени. Наиболее часто встречаются взломы устройств через интерфейс Bluetooth, что связано в основном с недоработками самого стандарта. Главным свойством подобных угроз является то, что они могут быть повторяемыми во времени, прозрачными для пользователя и, как следствие, каждый раз может происходить утечка разной информации, т.е. ее объем будет расти с течением времени;
  • Взлом устройства при помощи «дыр» в используемом ПО – данная угроза комбинируется с предыдущим случаем, но отличается тем, что атака проводится на четко определенное ПО, используя его недоработки. Эта угроза также является продолжительной во времени, прозрачной для пользователя и объем скомпрометированной информации может возрастать;
  • Периодическая утечка информации из-за заражения зловредным ПО – это следствие заражения вирусами, установки псевдо-полезного ПО и т.д. Данная угроза также продолжительна во времени и характеризуется многократными утечками после выполнения всего одного действия со стороны злоумышленника;
  • Перехват трафика от и до устройства – может характеризоваться длительной продолжительностью во времени. При этом необходимо учитывать, что перехват трафика может быть осуществлен где угодно на всем пути пакетов от устройства до сервера, но некоторые среды являются более сложными для захвата. Также, при этом могут быть перехвачены учетные данные пользователя, если они передаются в открытом виде, и тогда угроза может выйти за рамки мобильного устройства и приобрести другие масштабы;
  • Использование сохраненных учетных данных пользователя при работе с корпоративными сервисами – этот вид угроз тесно связан с утерей устройства и может быть длительным во времени;

Кроме описанных выше вариантов, возможны и другие, но в большинстве случаев это будут более сложные комбинации из уже перечисленных.

Арсенал защитника

Определившись с потенциальными угрозами, перехожу к возможным вариантам предотвращения подобных ситуаций. Для этого нужно рассмотреть, какие методы имеются в арсенале системных администраторов для противодействия. Их (эти методы) можно разделить на две категории – технические и административные.
К техническим относятся:

  • Применение PIN-кодов и паролей на устройствах – это позволяет ограничить количество людей, которые смогут работать с устройством;
  • Шифрование данных – это позволит избежать неприятных ситуаций, когда устройство защищено паролем, но возможен доступ к данным, которые на нем хранятся, путем, например, переноса карты памяти на другие устройства;
  • Использование удаленной очистки устройств (Remote Wipe) – позволяет вернуть устройство к исходному состоянию, т.н. Factory Reset или Hard Reset. При этом все данные, находящиеся на устройстве, стираются. В некоторых случаях при выполнении Remote Wipe также очищается карта памяти устройства;
  • Использование локальной очистки устройств – данная возможность аналогична удаленной за тем исключением, что предполагает выполнение очистки устройства в случае, если в течении определенного количества попыток правильный PIN/пароль введен не был. Также, в некоторых  возможно удаление информации не только с устройства, но и с карты памяти;
  • Отключение неиспользуемых или потенциально опасных для использования интерфейсов – это в полной мере относится к использованию Bluetooth. Зачастую можно ограничить количество профилей Bluetooth, которые доступны пользователю, но наиболее правильным является отключение такого адаптера;
  • Запрет на установку и удаление программ для пользователей и использование только подписанных пакетов для установки на устройства – это позволит сильно усложнить жизнь всевозможным псевдо-полезным приложениям, а также пользователям, которые пытаются их установить самостоятельно;
  • Использование антивирусов на мобильных устройствах также позволит повысить уровень безопасности. Мобильные вирусы – достаточно динамично развивающееся направление, но для решения данной проблемы на рынке представлены всевозможные решения, в том числе корпоративного уровня;
  • Использование защищенных каналов связи – например, использование SSL шифрования и VPN-тоннелей поможет обезопасить передаваемую информацию;
  • Использование сертификатов пользователей – данная мера поможет оперативно предотвратить доступ к данным простым отзывом сертификата.

К административным можно отнести:

  • Отслеживание выхода обновлений для ПО, установленного на устройствах – это позволит администраторам своевременно получать информацию об обнаруженных уязвимостях в приложениях и принимать дальнейшие решения относительно его использования;
  • Обучение пользователей безопасной работе с устройствами с объяснением для чего выполняются те или иные действия администраторами – данная мера способна принести очень существенный результат, но, к несчастью, в нашей стране это редкость. Обученный пользователь гораздо чаще задумывается о том, к чему могут привести те или иные его действия. Кроме этого такие пользователи с пониманием относятся к работе администраторов и являются более терпимыми к различным ограничениям;
  • Введение регламентов по работе с устройствами – данная мера комбинируется с предыдущей и позволяет максимально повысить эффект от обучения, т.к. пользователь может уточнить свои действия в новой для него ситуации. Примером такого регламента может стать запрет на работу с общественными сетями Wi-Fi под угрозой взыскания. Для администраторов системы это может стать руководством в различных ситуациях.

Перечисленные методы при различной комбинации помогают воспрепятствовать утечке информации и являются рекомендуемыми для внедрения на предприятии. Если соотнести их с перечисленными ранее угрозами, то для каждой из них можно предложить следующие комбинации:

  • Утеря либо кража устройства – обязательное использование PIN-кода/пароля на устройстве с периодической сменой и ведением истории использованных, шифрование данных на устройстве и карте памяти, использование очистки устройства при определенном количестве неправильных вводов пароля, удаленная очистка устройства;
  • Взлом устройства через сетевые подключения – для предотвращения подобных ситуаций наиболее правильным будет отключение неиспользуемых интерфейсов. Понятно, что полностью отключить Bluetooth для человека, который часть времени находится за рулем, достаточно проблематично, но в этом случае можно как минимум ограничить количество используемых профилей;
  • Взлом устройства при помощи «дыр» в используемом ПО – отслеживание информации по уязвимостям в используемом ПО, а также своевременное обновление этих приложений;
  • Периодическая утечка информации из-за заражения зловредным ПО – установка на устройства только подписанных пакетов, протестированных на стенде. Запрет на установку и удаление ПО пользователями. Использование антивирусов для мобильных устройств. Использование белых и черных списков приложений. Тут же можно использовать обучение пользователей навыкам безопасной работы с устройствами;
  • Перехват трафика от и до устройства – для предотвращения подобной ситуации необходимо использовать доступные сценарии по созданию безопасных каналов для передачи данных – т.е. внедрение подключений с использованием SSL, VPN-туннелей;
  • Использование сохраненных учетных данных пользователя при работе с корпоративными сервисами – в этом случае наиболее правильным будет использовать аутентификацию пользователей по сертификатам, если это доступно. Т.к. данная угроза возникает в случае утери либо кражи устройства, то наиболее логичным будет применение регламентов для определенных ситуаций – например, для пользователей – обязательное оповещение администраторов об утере аппарата, а для администраторов – проведение мероприятий по отзыву сертификата пользователя и временной блокировке его учетной записи с последующей сменой пароля;

Понятно, что внедрение части из описанных средств защиты может привести к дополнительным затратам – создание собственного центра сертификатов, шлюзов для работы с VPN-подключениями, приобретение дополнительного ПО (например, антивирусов, либо комплексных систем по управлению мобильными устройствами), проведение обучения. Но в такой ситуации необходимо решить – что дороже принять меры безопасности сейчас, или разбираться с утечкой информации потом…

С чего начать?

Итак, вы решили, что необходимо создать максимально безопасную среду для информации при работе с мобильными устройствами. С чего можно начать?

Я бы рекомендовал бы следующие шаги:

  1. Обратите внимание на используемую у вас почтовую систему. Большинство современных почтовых систем поддерживают протокол ActiveSync, который позволяет не только синхронизировать PIM-данные, но и управлять параметрами безопасности на мобильных устройствах, включая PIN-коды/пароли, шифрование, удаленную очистку и т.д. Кроме этого зачастую можно настроить подключения с использованием SSL и аутентификацией по пользовательскому сертификату, что позволит обезопасить канал с данными.
  2. Подумайте о внедрении выделенной системы MDM – никакая служба не справиться с задачами лучше той, которая создана для выполнения этих задач. При таком внедрении вы сможете централизованно управлять ПО на устройствах, использовать безопасные каналы связи, использовать различные отчеты. Тут я бы рекомендовал обратить внимание на такие продукты как Microsoft SCMDM 2008 и Sybase Afaria.
  3. При выборе устройств, которые будут использоваться на вашем предприятии внимательно изучайте сильные и слабые стороны каждой платформы. Возможно некоторые платформы предоставляя более красивый пользовательский интерфейс будут более сложны в управлении.
  4. Используйте все возможные административные методы защиты – проведение обучения среди пользователей, создание регламентов для пользователей и администраторов и т.д. Все это не так уж и дорого, а эффект достаточно большой, ведь, как гласит древнеримская народная мудрость, «Кто предупрежден,  тот вооружен».

Это далеко не полный список, но для начала вполне хватит.

Итог

При написании этой статьи я не ставил себе цель рассказать обо всех возможных опасностях, подстерегающих пользователей мобильных устройств, равно как и администраторов, управляющих этим хозяйством.

Основная моя цель – рассказать о том, какие угрозы ждут тех, кто решился сделать свой бизнес более мобильным и о том, как можно минимизировать потенциальные потери, связанные с утечкой информации.

Статья также не является рекламой какого-либо программного продукта, а содержит мой личный опыт и наблюдения, вынесенные из общения с другими системными администраторами.
Если у вас есть какие-либо вопросы – пишите, а я постараюсь на них ответить.

Источник: https://www.securitylab.ru/contest/392802.php

Ваша работа
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: