دورکاری به سبک BYOD مناسب شرکت شما است؟

قرنطینه و بحران کرونا،‌ باعث شد تا بسیاری از شرکت‌ها از کارکنان خود بخواهند تا کارها را به شکل دورکاری پیش ببرند. نتیجه آن، استفاده از لپ‌تاپ و سیستم‌های الکترونیک شخصی به‌جای سیستم‌های شرکت بود. این روند حتی باعث شد تا اصطلاحی بانام BYOD (به معنای دستگاه خود را بیاور) رواج پیدا کند تا امروزه بسیاری از کارکنان در سراسر جهان با دستگاه‌های شخصی خود (از موبایل و تبلت گرفته تا کامپیوترهای شخصی) بتوانند به نرم‌افزارهای کاری و اطلاعات شرکت دست پیدا کنند؛ اما دورکاری به سبک BYOD چه منافعی دارد و چه معایبی؟ همچنین شرکت‌ها چگونه می‌توانند بدون آسیب‌های احتمالی، به بهترین شکل، این نامتمرکز شدن تیم‌های کاری را مدیریت کنند؟

روند استفاده از دستگاه‌های الکترونیک شخصی برای مقاصد کاری پیش از سال 2020 شروع‌شده بود اما دورکاری باعث سرعت گرفتن آن شد. کار به‌جایی رسید که برخی شرکت‌ها سیاست‌هایی تدوین کردند که کارکنانشان حتی در دفتر شرکت هم از دستگاه‌های شخصی خود استفاده کنند. کافی بود که این دستگاه‌ها به شبکه داخلی شرکت وصل شود و کار آغاز گردد.

به‌طورمعمول، واحد فناوری اطلاعات (IT) هر شرکت مسئول ارزیابی و تأیید دستگاه‌ها و نرم‌افزارهای موردنیاز کارکنان است. استفاده از دستگاه‌های شخصی شاید از همین‌جا شروع شد. فرایندهای پیچیده و زمان‌بر دریافت تأیید برای دسترسی کامپیوترهای شرکت و نصب ‌نرم‌افزارهای لازم روی آن‌ها، بسیاری از کارکنان را خسته کرد. آن‌ها همچنین اعتقاد داشتند که کامپیوترهایی که در اختیارشان قرارگرفته است، محدود است و برای هر درخواست غیرمتداول باید با واحد فناوری اطلاعات تماس می‌گرفتند.

نتیجه آن شد که بسیاری از کارکنان ترجیح دادند کامپیوترها و لپ‌تاپ‌های خود را به شرکت ببرند یا نرم‌افزارهای درخواستی‌شان را روی همان دستگاه‌های شرکت نصب کنند. این اتفاقات اغلب بدون اطلاع یا دریافت تأیید از واحد فناوری اطلاعات بود. نرم‌افزارهای مورداستفاده در این موارد، بسیارند؛ ازجمله نرم‌افزارهای افزایش بهره‌وری تیمی مانند اسلک، آسانا یا زوم؛ نرم‌افزارهای پیام‌رسان مانند واتس‌اپ و اسنپ‌چت، برنامه‌های ذخیره‌سازی ابری مانند باکس یا دراپ‌باکس و همچنین نرم‌افزارهای ارتباطی مانند تلگرام و اسکایپ. استفاده از هارد اکسترنال و یو‌اس‌بی شخصی را هم می‌توان در زمره اقدامات تا حدی خودسرانه کارکنان آورد.

استفاده از نرم‌افزارها، اپلیکیشن‌ها، ذخیره‌سازی ابری و هاردهای شخصی کارکنان موجب بروز برخی نگرانی‌های امنیتی برای واحد فناوری اطلاعات شرکت‌ها شده است. چه اتفاقی می‌افتد اگر کارکنان بدون دریافت تأیید‌های امنیتی واحد فناوری اطلاعات شرکت اقدام به استفاده از دستگاه‌ها و برنامه‌های خود کنند؟ شاید زمان بررسی منافع و معایب این رویه فرارسیدهاست.

معایب دورکاری به سبک BYOD

ریچل بوش، رئیس واحد امنیت سایبری شرکت نیشن واید (هفتمین شرکت مالی بزرگ بریتانیا) است. او می‌گوید که فکر و ذکر بسیاری از شرکت‌ها در سراسر جهان، کرونا شده است. آن‌ها به دورکاری روی آورده‌اند تا مانع از توقف برنامه‌های شرکت شوند، اما این موضوع را نادیده گرفته‌اند که هکرها در کمین هستند.

بوش توضیح می‌دهد: «برخی از شرکت‌ها بدون زمینه‌سازی‌های لازم از کارکنانشان خواستند تا از دستگاه‌های شخصی خود استفاده کنند. متأسفانه شاهد آن هستیم که این وضعیت، شرایط را برای سوءاستفاده هکرها فراهم ساخته است. سال 2020 شاهد افزایش چشمگیر حملات باج افزاری (ransomware) بودیم که اکثر آن‌ها با استفاده از یک شکاف امنیتی اولیه اقدام به فیشینگ (phishing) می‌کردند. بسیاری از این کلاه‌برداری‌های فیشینگ با سوءاستفاده از نگرانی افراد نسبت به کرونا، آن‌ها را با یک کلیک به وب‌سایت‌های خود می‌کشاندند و اقدام به سرقت اطلاعات حساب یا هویت آن‌ها می‌کردند.»

به‌طور خلاصه مشکلات امنیتی، کاهش نظارت واحد آی‌تی شرکت‌ها بر دستگاه‌های کارکنان و البته غیرمتمرکز شدن پروژه‌ها و داده‌ها از معایب دورکاری به سبک BYOD است. البته شاید همچنان تهدیدهای امنیتی را بتوان بزرگ‌ترین عیب این روند در حال گسترش دانست. فارغ از آنکه مدیران به‌سادگی نمی‌توانند پیشرفت پروژه‌ها را در شبکه متمرکز شرکت مشاهده کنند، کافی است بخشی از اطلاعات حیاتی شرکت هک شود. چنین اتفاقی می‌تواند مزیت رقابتی را از بین ببرد، درآمدها را به‌شدت کاهش دهد و حتی شرکت را به مرز ورشکستگی بکشاند.

مزایای دورکاری به سبک BYOD

البته منافع دورکاری به سبک BYOD کم نیستند. در یک نظرسنجی (انجام‌شده توسط شرکت خدمات ابری بیت‌گلس) هم 76 درصد از کسب‌وکارها اعلام کردند که استفاده از دستگاه‌های شخصی را دنبال می‌کنند. هدف آن‌ها از این اقدام، فراهم ساختن امکان دورکاری برای کارکنان، انعطاف‌پذیر ساختن شرکت و البته کارایی و همکاری بیشتر در سطح شرکت عنوان کرده‌اند. علاوه بر این، شرکت‌هایی که پیش از فراگیری کرونا هم استفاده از دستگاه‌های شخصی کارکنان را رواج داده بودند، برای تغییر شیوه فعالیت خود به دورکاری آمادگی بسیار بیشتری داشتند.

جیمز فورد، مدیر بازاریابی و تبلیغات شرکت اینتکت (Intact) می‌گوید که کرونا شرایطی پدید آورد که چاره‌ای به‌جز روی آوردن به شیوه‌های جدید کار وجود ندارد. همچنین کسب‌وکارها مجبور به استفاده از دستگاه‌های شخصی کارکنان خود شده‌اند تا آن‌ها بتوانند در خانه‌شان هم به فعالیت ادامه دهند. بااین‌حال، این وضعیت به معنای از دست دادن کنترل اوضاع نیست.

به گفته او «هرچند کارکنان باید از دستگاه‌های خود استفاده کنند، قرار نیست این دستگاه‌ها بدون نظارت و کنترل رها شوند. در حقیقت تیم‌های آی‌تی با پیش‌نگری به سمت راه‌حل‌های ابری (ازجمله ذخیره‌سازی ابری و محاسبات ابری) رفته‌اند تا کارکنان بتوانند با دسترسی به داده‌های شرکت، کار خود را پیش ببرند. فناوری‌های ابری اگر به‌درستی استفاده شوند، امکان نظارت بر دستگاه‌های کارکنان، هماهنگی بین آن‌ها و تأمین امنیت را فراهم می‌سازند؛ البته که پیش از متصل شدن دستگاه هرکدام از کارکنان، باید با ارزیابی‌های اولیه امکان تأیید و ایمن‌سازی آن دستگاه را فراهم ساخت.»

ظهور Shadow IT

افزایش حملات سایبری در پی افزایش دورکاری‌ها و استفاده کارکنان از دستگاه‌های شخصی‌شان، شرکت‌ها را با چالش جدیدی مواجه ساخت. آن‌ها باید برای حفاظت از امنیت خود و اطلاعات شرکت کاری می‌کردند اما به نظر نمی‌رسید که واحد آی‌تی آن‌ها بتواند حجم بی‌انتهای دستگاه‌های شخصی کارکنان را مدیریت کنند. استفاده قراردادی از خدمات آی‌تی شرکت‌های فناوری یکی از این راهکارها برای مدیریت این شرایط بود.

بسیاری از شرکت‌های فناوری به‌صورت پیمانکاری مسئولیت‌های واحد آی‌تی را بر عهده گرفتند. آن‌ها در حقیقت به‌طور موازی وظایف واحد آی‌تی شرکت‌ها در نظارت بر امنیت اطلاعات و مدیریت دستگاه‌های خارج از شرکت را عهده‌دار شدند؛ اما ازآنجاکه واحد آی‌تی خود شرکت‌ها در اغلب مواقع از وجود این همکاری جدید اطلاع نداشتند، نام Shadow IT بر آن‌ها گذاشته شد.

در کنار لزوم نظارت بر امنیت دستگاه‌های شخصی کارکنان، افزایش هزینه‌های آی‌تی و تخصصی شدن شیوه مقابله با هکرها و بدافزارها از دیگر علل این روند بوده است. آسانکا آبیسینگه، رئیس واحد فناوری شرکت WSO2 اعتقاد دارد: «با افزایش هزینه‌های آی‌تی شرکت‌ها در سال‌های پیش رو، انتظار می‌رود که روند استفاده از Shadow IT و درخواست از کارکنان برای استفاده از دستگاه‌های شخصی خود، سرعت بیشتری بگیرد.»

شرکت خدمات مدیریت آی‌تی گارتنر (Gartner) نیز در گزارشی پیشنهاد داده است که کسب‌وکارها برای جلوگیری از درز اطلاعات خود و افزایش تاب‌آوری‌شان در دوران پس از کرونا اقدام به استفاده از IT سایه کنند.

مزایا و معایب Shadow IT

IT سایه بهره‌وری را افزایش می‌دهد، به انطباق‌پذیری کاربر می‌انجامد، تجربه کاربری را بالا می‌برد و به کارکنان اجازه می‌دهد با سرعت و کارایی بیشتری به فعالیت‌هایشان بپردازند. این مزیت‌ها را آبیسینگه نام می‌برد. به گفته او «این راهکار همچنین فضا را برای خلاقیت‌های کارکنان و سرعت بخشی به توسعه اپلیکیشن‌ها هم باز می‌گذارد. این مسئله ازآنجا اهمیت دارد که در فضای فعالیت شرکت‌های نرم‌افزاری به دلیل تغییرات شدید محیطی، سرعت ساخت و معرفی اپلیکیشن‌های جدید بسیار مهم است.»

با تمام مزایایی که IT سایه یا همان استفاده‌ی پیمانکاری از ظرفیت شرکت‌های فناوری در تأمین امنیت وجود دارد، نمی‌توان آن را بی‌عیب دانست. یکی از بزرگ‌ترین مشکلات IT سایه، بی‌خبر بودن متخصصان آی‌تی شرکت از آن است. زمانی که آن‌ها از قرارداد شرکت با یک تأمین‌کننده امنیت اطلاعات خبر نداشته باشند، امکان مدیریت و دسترسی به بسیاری از اطلاعات آن‌ها را هم ندارند. از طرفی اعتماد کردن به یک شرکت دیگر کار ساده‌ای نیست و امکان سوءاستفاده آن‌ها از اطلاعات وجود دارد.

3 راهکار تضمین امنیت

اگر قرار بر دورکاری و BYOD باشد، چاره‌ای به‌جز استفاده از خدمات تضمین امنیت پیمانکاران نیست. از طرفی، حتی در شرایط عادی هم بسیاری از پیمانکاران می‌توانند خدمات آی‌تی و تأمین امنیت را با هزینه‌ای پایین‌تر برای شرکت‌ها فراهم سازند. در چنین شرایطی و با توجه به معایب بالقوه IT سایه، 3 راهکار کلی برای تضمین امنیت وجود دارد:

نخست آنکه باید از قابل‌اعتماد بودن شرکت‌های طرف قرارداد خود مطمئن شوید. تحقیق و جستجوی قابل‌اعتمادترین گزینه‌ها، ارزش زمان شمارا دارد.

دوم اینکه هنگام بستن قرارداد باید تمام جوانب احتیاط را رعایت کرد. هر گزینه یا بندی در قرارداد که بتواند در آینده دردسرساز شود، باید حذف گردد.

سومین و مهم‌ترین راهکار، اعتماد نکردن به هیچ پیمانکاری است! زمانی که داده‌ها و اطلاعات شرکت روی یک درایو سخت‌افزاری ثبت شود، امکان سرقت آن وجود دارد؛ حتی اگر آن درایو متعلق به یک پیمانکار آی‌تی قابل‌اعتماد باشد. بااین‌حال، تجربه نشان داده است که استفاده نکردن از خدمات آن‌ها هم ریسک حملات سایبری را افزایش می‌دهد. بهترین گزینه، استفاده از خدمات ابری و سرویس‌هایی مانند دسکتاپ مجازی است که اطلاعات و نرم‌افزارهای موردنیاز کارکنان بدون آنکه جایی ذخیره شود، در اختیار آن‌ها قرار می‌دهد.

دیوید لوین، قائم‌مقام مدیرعامل و مدیر واحد امنیت اطلاعات شرکت ریکوی آمریکا (Ricoh USA) بهترین راهکار را استفاده از سرویس‌های ابری و دسکتاپ مجازی می‌داند. به عقیده او، دسکتاپ مجازی می‌تواند تمام مزایای یاد داشته را داشته و درعین‌حال از معایب، خالی باشد. در این سرویس، اطلاعات و نرم‌افزارهای موردنیاز کارکنان بدون آنکه روی یک دستگاه (متعلق به کارکنان یا پیمانکار) یا حافظه سخت‌افزاری ذخیره شوند، به‌صورت رمزنگاری‌شده در اختیار آن‌ها قرار می‌گیرد.