Голубев про byod (скептик)
TRANSCRIPT
«BYOD»:
трезвый взгляд с позиций
IT Governance
Виктор Голубев Директор COBIT / IT Governance ISACA Moscow chapter,
CGEIT , CISA,TOGAF certified
12 февраля 2014г.
www.ISACA.org/Moscow
11.02.2014 2
• BYOD - Что это?
• И снова про основы • Что такое IT Governance
• Чего хочет Бизнес от ИТ
• Про цели и средства ИТ
• Декларируемые преимущества BYOD
• Реалии BYOD и связанные риски
• Результаты исследований ISACA
• Резюме
Содержание
11.02.2014 3
• BYOD = Bring Your Own Devices
• Концепция использования личных устройств
сотрудников в бизнес-процессах компании и для
доступа к корпоративным данным
• BYOD ≠ «Мобильные технологии»!!!
• Есть существенные и принципиальные отличия от
применения мобильных устройств, являющихся
собственностью компании!
• «А это хорошо или плохо
именно для нашей компании?»
Что надо понимать
11.02.2014 4
Взглянем на BYOD
с устойчивой платформы
IT Governance
BYOD
11.02.2014 5
«IT Governance (Руководство ИТ) –зона ответственности
Высшего Руководства Компании.
IT Governance является неотъемлемой составной частью
системы управления Компанией и состоит в обеспечении
руководящей роли, создании организационных структур и
процессов, обеспечивающих со стороны ИТ поддержку и
реализацию Стратегии и целей Компании»
Источник: IT Governance Institute, «Board Briefing on IT Governance, 2nd Edition»
Напомним про IT Governance
«ИТ – слишком важная область, чтобы
доверять ее исключительно айтишникам!»
11.02.2014 6
Чего хочет Бизнес от ИТ?
• "Чтобы все и всегда работало и не "падало"!"
• Надежность поддержки текущих бизнес-процессов,
во всех смыслах этого слова
• "Чтобы ИТ не "тормозил" и
не говорил мне "НЕТ"!"
• Гибкость - способность быстрой адаптации ИТ к
изменяющимся условиям
• "Чтобы ИТ обеспечивали бизнес новыми
технологиями, …"
• Новые возможности, дающие конкурентные
преимущества
• "Чтобы это мне ничего не стоило!"
• Низкая стоимость владения ИТ
11.02.2014 7
"Куб COBIT”
• Требования к информации • Результативность (Effectiveness) =
ориентация на бизнес результат, гибкость
• Эффективность (Efficiency)= цена результата, КПД
• Конфиденциальность (Confidentiality)
• Целостность (Integrity)
• Доступность (Availability )
• Обеспечение Соответствия (Compliance)
• Надежность (Reliability)
• Ресурсы • Приложения
• Информация
• Инфраструктура
• Люди+Компетенции
• ИТ процессы • Процессы (управления ИТ)
• Контроли
11.02.2014 8
Цели и средства
• Цели:
• Создание ценности для Бизнеса
• Управление ИТ-рисками
• Средства:
• Соответствие ИТ-стратегии и бизнес-стратегии
• Управление ресурсами
• Измерение продуктивности
Resource Management
IT IT Governance Governance Domains Domains
Resource Management
IT Governance
Focus Areas
11.02.2014 9
• «Снижение затрат» • Снижение CapEx на закупке гаджетов
• Упрощение процесса управления активами
• Снятие пользователей с поддержки – «спасение утопающих дело рук самих утопающих»
• «Повышение эффективности бизнес-процессов» за счет: • повышения результативности пользователей
• за счет постоянной доступности и быстрой реакции
• «Удобство для пользователей» • «домашняя» среда – окружение, приложения…
• «современно» и «прикольно»
BYOD –декларируемые прелести
11.02.2014 10
Разнонаправленные
«ИТ-тренды»
• «Бытовые ИТ»
• Взрывное наращивание мощности и функционала
«гаджетов»;
• Всепроникающий Интернет, требование
прозрачности и открытости для работы
персональных сервисов
• «Промышленные ИТ»
• ИТ-поддержка бизнес-процессов остается примерно
на том же технологическом уровне;
• Усиление требований по конфиденциальности
бизнес-информации, надежности поддержки бизнеса
и усиления ИБ
11.02.2014 11
• Безопасность • Врожденная уязвимость мобильных ОС и приложений
• «Открытые ворота» для вирусов…на фоне APT
• Спонтанные обновления и установки ПО, без контроля со стороны ИТ компании
• Упрощенные (неявные) методы авторизации и аутентификации пользователей, сохранение на устройстве паролей и логинов
• Параллельное использование SMS или Bluetooth
• Открытость для соцсетей и он-лайн покупок
• Риск утраты устройства с сохраненной критичной бизнес-информацией
• …
• Выполнение требований (Compliance) • Доступ к персональной и критичной корпоративной
информации(персональная, платежная, медицинская…)
• Самостоятельная установка пользователями нелицензионного ПО
• Увеличение рисков требует совершенствования контрольной среды …
BYOD-реалии - 1
11.02.2014 12
• Технические вопросы • Разнообразие мобильных платформ
• Нестабильность платформ - их
частое аппаратное и программное обновление
• Обеспечение совместимости с
корпоративной сетевой платформой
• Отсутствие готовых и апробированных решений для
централизованного управления мобильными
устройствами на разнообразных платформах
(MDM -Mobile Devices Management)
• …
BYOD-реалии - 2
11.02.2014 13
• Увеличение операционных расходов • Ответственность за надежную поддержку бизнеса с ИТ
никто не снимал! В конечном счете, «ИТ – крайний»
• Расходы связанные с планированием и внедрением концепции BYOD в компании, регламентация деятельности
• Потребность в новых компетенциях – поддержка пользователей, безопасность…
• Обучение пользователей
• Разработка – необходимость учета специфики ( форматов, решений) для разных платформ
• Высокая вероятность необходимости обновления корпоративных программных и аппаратных платформ , внедрения дополнительных средств…
• Частичность решений (для 10% пользователей!) - надо поддерживать как «старые», так и новые технологии (новые статьи добавляются, а старые не уходят)
• Необходимость совершенствование контрольной среды, усложнение процесса тестирования
BYOD-реалии - 3
11.02.2014 14
• Недовольство пользователей • Контролем и ограничениями со стороны компании
• Потенциальным доступом компании к личным данным на их устройстве
• Невозможностью использовать полный спектр «бытовых» возможностей устройства, из-за корпоративных ограничений
• По данным опроса, проведенного «Trend Micro»:
• 91% сотрудников не желают, чтобы работодатель контролировал их устройства
• 80% работодателей уверены, что они обязаны иметь полномочия для контроля устройств пользователей
BYOD-реалии - 4
11.02.2014 15
Критерии качества
информации
• Результативность (Effectiveness)
• соответствует бизнес-процессу, правильна, предоставляется вовремя и в удобном для использования виде
• Эффективность (Efficiency)
• получается и предоставляется наиболее оптимальным (экономически эффективным) способом (КПД)
• Конфиденциальность (Confidentiality)
• предоставляется только тем пользователям, и в той мере, что необходима им для выполнения их должностных обязанностей.
• Целостность (Integrity)
• точность, полнота, непротиворечивость, соответствие бизнес-требованиям
• Доступность (Availability)
• доступна тогда, когда она необходима, для чего должны быть обеспечены необходимые ресурсы и их производительность
• Соответствие требованиям (Compliance)
• соответствует внешним регулирующим требованиям и внутренним политикам компании
• Надежность (Reliability)
• информации можно доверять в процессе руководства и управления компанией
11.02.2014 16
Влияние BYOD на критерии
информации
Критерий Вектор Оценка
Результативность
Эффективность
Конфиденциальность
Целостность
Доступность
Обеспечение Соответствия
Надежность
11.02.2014 17
«2012 IT Risk/Reward Barometer» (Europe)
• 54% - Риски от BYOD перевешивают возможные
выгоды
• 24% - Корпоративные политики РАЗРЕШАЮТ BYOD
• 39% - Корпоративные политики ЗАПРЕЩАЮТ BYOD
• 35% - Наиболее важное направление –
информирование и обучение пользователей об
угрозах и рисках
Результаты исследований
11.02.2014 18
• Обеспечение «удобства пользователей» не
является основной задачей компаний…
• и, потому, не может быть веским бизнес-
аргументом для принятия решения по BYOD.
• Финансовые выгоды от BYOD пока весьма
сомнительны, а связанные риски несомненны, и их
компенсация трудоемка и очень затратна…
• Принятие концепции BYOD – решение Высшего
руководства компании, на базе комплексного
предварительного анализа выгод и рисков,
применительно к условиям именно вашего бизнеса,
• на основе принципов и подходов
бизнес-Руководства ИТ - IT Governance.
Резюме
11.02.2014 20
• «Board Briefing on IT Governance, 2nd Edition»,
IT Governance Institute, 2003
• «COBIT® 4.1», IT Governance Institute, 2007
• «Securing Mobile Devices», ISACA, 2010
• «The Criticality of Mobile Device Management», ISACA JOURNAL
VOLUME 6, 2013
• «BYOD in the Enterprise—A Holistic Approach», ISACA JOURNAL
Volume 1, 2013
• «Bring Your Own Device (BYOD) Security Audit/Assurance
Program», ISACA, 2012
• «ISACA’s 2011 IT Risk/Reward Barometer», ISACA, 2012
• «ISACA’s 2012 IT Risk/Reward Barometer», ISACA, 2013
• «ISACA’s 2013 IT Risk/Reward Barometer», ISACA, 2014
Использованные документы