A szükséges biztonsági előírások betartása mellett semmivel nem jelent nagyobb kockázatot, ha a munkatársak saját eszközeiket (is) használják feladataik elvégzéséhez. Az üzemeltetés azonban lényegesen egyszerűbb és olcsóbb, ha egységes az eszközpark.

Használhatják a munkatársak saját eszközeiket munkára?

Alapvetően meg kell különböztetnünk, hogy milyen eszközről, illetve tevékenységről beszélünk. A legfőbb cél mindig az üzleti titkok, hozzáférések védelme, és a kockázattól függ, mennyire engedhetjük saját eszközök használatát. Amennyiben a laptopon, telefonon üzletileg érzékeny tartalmat tárolunk, vagy további biztonsági lépcsők (jelszó, ujjlenyomat) nélkül hozzáférünk, akkor akár a jóhiszemű (eszköz elvesztése), akár a rosszhiszemű (eszköz ellopása) támadásoknak sokkal magasabb a veszélye, ha nem üzletileg felügyelt eszközt használunk.

A magántulajdonú eszközök semmivel nem jelentenek nagyobb kockázatot, ha a céges eszközön sem alkalmazunk biztonsági protokollokat (tűzfal, vírusirtó, hozzáférés korlátozás, távolból való adattörlés), illetve akkor sincs különbség, ha a saját tulajdonú eszközökre is installáljuk azokat. Ebből kifolyólag inkább úgy tenném fel e kérdést,  szabad-e engedni, hogy a munkatársak az üzleti műszaki elvárásokat áthágják, vagy a biztonsági intézkedéseket kikerüljék?

Mik az előnyei annak, ha a munkatársak a saját eszközeit használhatják?

Legfőbb előnye egyértelműen az alacsonyabb költség, legyen a beszerzési (CAPEX), vagy üzemeltetési/karbantartási (OPEX), a készüléket ugyanis a cégnek sem megvásárolni, sem karbantartani nem kell – hacsak erre nem tesz egyébként vállalást. További fontos tényező, hogy a felhasználóknak megmarad a lehetősége, hogy olyan eszközt használnak, amilyet szeretnének.

Mik a hátrányai?

Az eszközök sokszínűsége miatt nehéz, vagy lehetetlen a központi vezérlés, az „image-file”-ok használata, az azonos verziójú és beállítású programok futtatása, ami jelentősen megnöveli az üzemeltetés munkaerő igényét, illetve a kockázatot. Ezen felül az eszköz tulajdonosának hozzájárulására van szükség egyes alkalmazások/szoftverek telepítésére, illetve el kell vele fogadtatni, hogy a saját eszközén nem lesz adminisztrátor annak érdekében, hogy ezeket önállóan ne iktathassa ki. Ha a tulajdonos ehhez nem járul hozzá, akkor a hozzáférés jelentős korlátozására van szükség, amely azt is jelentheti, hogy céges levelezéséhez nem fér hozzá az adott eszközön.

Mi a legfontosabb teendő, ha engedjük a saját eszközök használatát?

A fent írtak szerint a biztonsági előírások figyelembe vétele, valamint az, hogy egyértelmű legyen minden fél számára, ki, miért, és milyen mértékben felel, és hogyan kell eljárnia. Jellemző példa, hogy a magántulajdonú eszköz elvesztése esetén is kötelezően értesítendő a cég IT-biztonsági osztálya.

Mi a magyarországi gyakorlat ebben, hogyan oldják meg a cégek?

Ma Magyarországon a legtöbb cég nem engedélyezi saját tulajdonú laptopok használatát üzleti célokra, illetve azokon üzleti alkalmazások, file-ok nem érhetőek el. Ezzel együtt azonban a telefonra még mindig csak híváskezdeményezésre és -fogadásra alkalmas eszközként tekintenek, és engedélyezik azok használatát. Ennek a tendenciának változnia kell, hiszen ma már amit laptopról meg tudunk csinálni, azt egy okostelefonról is. Nem példa nélküli, hogy a policy külön foglalkozik a BYOD („Hozd A Saját Készüléked”) kérdéssel, de sokszor ezzel csak akkor kezdenek el komolyan foglalkozni a cégek, amikor megtörtént a baj, és először szembesülnek a következményekkel.