В течение четырех лет, что я работаю на своего работодателя, я использовал свой личный телефон, чтобы быть в курсе электронной почты за пределами офиса. Это не требование работы, но настоятельно подразумевается, что вы должны это делать, и я не знаю никого, кто бы этого не делал.
Начиная с февраля команда безопасности требует, чтобы любой, кто хочет получить доступ к любым ресурсам организации на своем личном телефоне или планшете, установил WorkSpace ONE от VMWare. Команда приложила большие усилия, чтобы подчеркнуть, что программное обеспечение не будет отслеживать местоположение, данные просмотра, электронные или текстовые сообщения, фотографии, исходящие или входящие телефонные звонки (группа безопасности подчеркивает, что они отключили эти функции в WorkSpace ONE). Программное обеспечение создает контейнер вокруг ресурсов компании, шифрует телефон и устанавливает конфигурацию электронной почты. Когда вы покинете организацию, контейнер и все данные и ресурсы в нем будут удалены с личного устройства.
В целом я верю, что организация не будет шпионить за своими сотрудниками, и понимаю необходимость такого решения, как WorkSpace ONE. Тем не менее, мне все еще неловко устанавливать программное обеспечение для управления мобильными устройствами (MDM) на моем телефоне. Я спросил своего менеджера о рабочем телефоне, и это невозможно. Я также спросил, что произойдет, если я не установлю программное обеспечение (также было заявлено, что установка WorkSpace ONE необязательна), и мой менеджер сказал, что я все еще могу использовать OWA для доступа к своей электронной почте вне работы.
Меня беспокоит то, что, хотя это и необязательно, будет время, когда кому-то нужно будет связаться со мной в нерабочее время, и меня обвинят в том, что у меня нет программного обеспечения на моем телефоне. Должен ли я просто игнорировать свои опасения и установить WorkSpace ONE?
Я имею в виду это двумя способами. Во-первых, телефонное «приложение» изолирует все данные компании в приложении. Предположительно, он туннелирует свое соединение через VPN (потому что не делать этого было бы глупо). Это означает, что никакое другое приложение на вашем телефоне не может отслеживать данные компании, потому что все они находятся внутри этой песочницы.
Честно говоря, мне очень нравится эта модель безопасности. Это требует, чтобы одно приложение было все поющим / все танцевальным, включая каждое подприложение (электронная почта, календарь и т. д.; вы не можете использовать предпочитаемое стороннее приложение, потому что это означало бы выход из песочницы). Так что вам придется смириться с отстойным их типично полусырым запоздалым под-приложением. Но если есть необходимость в безопасности, оно того стоит .
Что происходит в песочнице, остается в Вегасе. Все, что внутри, в любом случае принадлежит компании; если захотят удаленно-стереть, приятного аппетита .
Но во-вторых, это корпоративное приложение изолировано от остальной части вашего телефона . Информация о местонахождении? НЕТ. Читать адресную книгу телефона? НЕТ. Читать список сделанных телефонных звонков на вашем телефоне? НЕТ. Читать электронные письма из почтового приложения на телефоне? НЕТ. Нет нет нет. Таким образом, вам не нужно беспокоиться, если Eve Admin изменит политику прослушивания; телефон не позволит приложению иметь его!
Конечно, эта изоляция зависит от операционной системы вашего телефона, которая фактически обеспечивает эту изоляцию, но iOS делает это , и я слышал, что Android добавил ее в версию после моего телефона. Если ваш телефон этого не делает, пора обновить его, возможно, подальше от поставщика телефонов, который ненавидит вашу конфиденциальность.
Хотя для приложения справедливо требовать пароль телефона.
Извините, мне очень, очень, очень нравится эта модель безопасности — приложение, которое и является песочницей, и само изолировано должным образом.
Предполагая, что ваш телефон способен помещать приложение в песочницу, обязательно сделайте это.
Обычно, если в доступе к ресурсу отказано, приложение просто делает все возможное, не имея доступа, скажем, к вашей библиотеке фотографий. Однако возможно (но плохо), что приложение пассивно-агрессивно отказывается работать, если не предоставлены определенные разрешения. Поэтому, если приложение говорит: «Извините, запуск невозможен, потому что вы не предоставили мне доступ к своим данным просмотра» (извините, что!??), очевидно, не миритесь с этим.
Это прекрасное время, чтобы поступить разумно и объяснить, что если компания ожидает, что сможет связаться с вами по мобильному телефону, они должны его предоставить. Если им все равно, чтобы выложить отремонтированный андроид за 50-100 долларов США, проблема решена, теперь вы можете свободно использовать личные телефоны для рабочих целей.
Хотя я лично не против немного поработать над телефоном, когда вы должны передать контроль над оборудованием, которым владеете, компании, пришло время предоставить им свои собственные телефоны. И это из прагматических соображений, когда случаются несчастные случаи, и тогда все ваши личные вещи из этого телефона пропадают. Обычно достаточно одного случайного нажатия кнопки и пуф. Не уверен, что это так с этим конкретным программным обеспечением, но с ним могут быть и другие проблемы.
Кроме того, у вас есть кнопка выключения на всех рабочих вещах, когда вы, скажем, в отпуске или просто в нерабочее время.
Простой и лучший совет — хранить личные и рабочие телефоны отдельно, и это должно позаботиться о большинстве проблем, с которыми можно столкнуться в подобных сценариях.
Если ваш работодатель не предоставляет вам телефон/смартфон, просто купите дешевый/удобный смартфон для связи по работе.
Pick your battlesи т. д.Я также спросил, что произойдет, если я не установлю программное обеспечение (также было заявлено, что установка WorkSpace ONE необязательна), и мой менеджер сказал, что я все еще могу использовать OWA для доступа к своей электронной почте вне работы.
Меня беспокоит то, что, хотя это и необязательно, будет время, когда кому-то нужно будет связаться со мной в нерабочее время, и меня обвинят в том, что у меня нет программного обеспечения на моем телефоне. Должен ли я просто игнорировать свои опасения и установить WorkSpace ONE?
Нет.
Ваш менеджер сказал вам, что это необязательно и что вы все равно можете использовать OWA.
Если у вас по-прежнему есть опасения, просто делайте то, что предложил ваш менеджер, пока это разрешено.
Я также периодически пытался получить рабочий телефон. Но это не срочно. Мне кажется глупым, что компания не предоставляет инструменты, необходимые для выполнения вашей работы. Может быть, они в конце концов передумают.
Меня беспокоит то, что, хотя это и необязательно, будет время, когда кому-то нужно будет связаться со мной в нерабочее время, и меня обвинят в том, что у меня нет программного обеспечения на моем телефоне.
Если это время придет, они могут просто купить вам новый телефон/планшет.
В любом случае, это их решение, их вина.
С точки зрения вашей компании, это стандартная рабочая процедура для инфраструктуры BYOD («принеси свое устройство»).
Я обычно с другой стороны, консультирую и поддерживаю клиентов при настройке MDM (я архитектор безопасности).
Во-первых, технические подробности: я знаком с рядом MDM-систем, но не с этой. Но если он настроен в режиме BYOD, MDM не сможет отслеживать, блокировать или шифровать ваш телефон без вашего явного разрешения. Клиент MDM сможет безопасно удаленно стереть или заблокировать доступ к контейнеру, в котором находятся данные и приложения компании, но не ваши личные данные или приложения.
Вы можете немного изучить Workspace ONE и его режим устройства BYOD и лично убедиться в утверждениях, сделанных отделом безопасности. Что касается MDM, которые я поддерживаю, я мог бы сказать, что вам не о чем беспокоиться, так как в режиме устройства BYOD, когда право собственности на устройство установлено для сотрудника, на самом деле клиент MDM очень мало может сделать вне контейнера, и если он попытается что-либо из этого, ваша телефонная ОС подскажет вам.
Во-вторых, с личной точки зрения, у меня был личный телефон в дополнение к рабочему телефону в течение 20 лет, и я продолжаю эту традицию просто потому, что хочу разделить работу и личную жизнь не только в отношении данных, но и в отношении номера телефона. Например, я оставляю свой рабочий телефон дома, когда уезжаю в отпуск, и только у генерального директора есть мой личный номер на случай реальных чрезвычайных ситуаций.
ИМХО не стоит просто игнорировать свои опасения по той простой причине, что телефон является вашей собственностью. Компания может предложить предоставить вам дополнительные функции на нем, но никогда не может потребовать этого.
Тем не менее, предостережение, конечно, заключается в том, что в США не так уж велики права сотрудников, и вы, скорее всего, наняты по желанию, поэтому они могут уволить вас за это или за неправильную стрижку. Ваше опасение, что это может повлиять на вашу карьеру, хотя по всем правилам этого не должно быть, не может быть необоснованным.
Хорошо, что ваша компания начала пытаться контролировать то, что происходит с корпоративной информацией. Если ваш телефон украдут, они могут стереть с него адрес электронной почты компании, чтобы защитить компанию. Хорошо на них.
Моя компания обеспечивает эту политику другим способом. Если вы хотите установить рабочую электронную почту на свой телефон, вам придется согласиться с тем, что IT может стереть учетную запись электронной почты с телефона, И вам нужно установить пин-код для блокировки экрана.
Ваша компания выбрала другое решение, и хотя они объяснили, что не будут использовать все функции в данный момент, в будущем это может измениться, и вы правы, скептически относитесь к установке этого на свой личный телефон. .
У вас есть три варианта:
Ваш менеджер сказал, что служебный телефон не подходит, так что вам решать, хотите ли вы причинить себе неудобства, используя OWA или установив корпоративное программное обеспечение на свой личный телефон, или причинить неудобства компании, не будучи доступным в нерабочее время.
Поскольку вы уже поговорили со своим менеджером, вы можете отправить ему краткое электронное письмо с кратким изложением. В этом письме вы можете указать на ограниченную доступность, поскольку вы не будете устанавливать это программное обеспечение на свой личный телефон.
Если вас обвинят позже, обратитесь к электронному письму.
Вам не нужно входить в учетную запись вашей ОС, чтобы читать электронную почту. Вы можете получить доступ к электронной почте в браузере (иногда вам нужно включить «режим рабочего стола», иногда нет). Иногда такой доступ не требует программного обеспечения для управления удалением. Это позволяет вам быть на связи в экстренных случаях, но телефон не будет выдавать уведомления, пока вы занимаетесь нерабочими делами. Если вы им действительно нужны, они могут позвонить и попросить прочитать письмо.
Не забудьте выйти, когда закончите! Поскольку вы избегаете рекомендуемого способа, вас будут рассматривать как более ответственного, если вы потеряете телефон, и это приведет к нарушению безопасности.
Я не вижу, что еще вы можете сделать. Лично я НИКОГДА не позволю им установить это на свой личный телефон. Это то, что заставило бы меня бросить работу.
ОБЯЗАТЕЛЬНО НЕ устанавливайте на свое устройство какое-либо программное обеспечение, которое может зашифровать ваше устройство. Если устройство зашифровано, то при желании вашей компании они могут просто поменять на вас ключ шифрования и теперь ваш телефон заблокирован навсегда, причем сделать это они могут по любому поводу; черт возьми, если однажды вы разозлите ИТ-специалиста, он может просто вернуться и заблокировать ваш телефон, если захочет, и что тогда вы будете делать?
НЕ делайте этого. Черт возьми, я бы сказал, не устанавливайте на свое личное устройство какое-либо программное обеспечение, которое требуется вашей компании, потому что на самом деле вы понятия не имеете, что в нем или как оно настроено, это может быть руткит, вирус или что-то еще. Это гораздо больше проблем, чем оно того стоит. Как уже говорили другие, если ваша компания считает, что с вами нужно связаться в нерабочее время, они должны предоставить вам корпоративное устройство для использования или заплатить вам за его покупку самостоятельно.
Но помимо всего этого, похоже, что вы тот, кто хочет, чтобы с вами связывались вне работы; компания говорит: «Если вы хотите, чтобы с вами связались вне работы, сделайте это», а вы говорите: «Да, мне нравится работать неограниченное количество бесплатных неоплачиваемых сверхурочных». Это само по себе не здорово. Оставь работу дома и займись личной жизнью. Любые электронные письма, приходящие в нерабочее время, могут подождать до следующего рабочего дня. Если ваша компания хочет, чтобы вы были доступны в нерабочее время, попросите их изложить это в письменной форме и компенсировать вам это. В противном случае уберите электронную почту вашей компании со своего телефона и оставьте свою работу на работе.
the security team is requiring that **anyone who wants access** to any organization resources on his/her personal phone or tablet install
Это не серьезный запрос или требование. Если бы было жизненно необходимо связаться с вами, компания предоставила бы корпоративный мобильный телефон или планшет. Если вы обходились без такого доступа, то он вам не нужен, и я бы не стал предпринимать никаких действий.
Это может звучать глупо, но задумывались ли вы о покупке отдельного телефона для работы? Стоит ли тратить 200 долларов на отремонтированный телефон плюс ежегодная стоимость дополнительной линии (100-200 долларов) для вас? Ваши затраты, вероятно, меньше, чем у бизнеса, чтобы предоставить вам телефон с обслуживанием.
Если оно того не стоит, это хорошее оправдание, чтобы не тратить свое время на работу вне офиса. Учтите, что тратить свое личное время — это то же самое, что тратить свои личные деньги; может быть, хорошая инвестиция, может быть, нет.
Я собираюсь попытаться дать другое представление, чем ответы здесь. Нужен ли вам в вашем нынешнем положении доступ к данным с вашего мобильного телефона для любого предмета?
Моя компания придерживается той же политики, что и ваша, но я сказал им, что если они будут применять их, я удалю все данные моей компании с моего телефона (такие как электронная почта, слабина) и разрешу программу только на моем рабочем ноутбуке, который я использую только когда я на самом деле работаю удаленно или в офисе. Они согласились с этим предложением, и тот факт, что они могут связаться со мной только в рабочее время, не является проблемой, поскольку я соблюдаю политику своей компании.
Может быть, поговорить с вашим сотрудником службы безопасности о таком решении?
Обратите внимание, что это работает только в том случае, если вам не нужно быть в режиме ожидания, чтобы отвечать на вопросы, связанные с работой вне вашей работы, как я.
Варианты перед вами довольно хороши. Ваш менеджер говорит, что вы можете использовать OWA для доступа к электронной почте без установки MDM, так что вы можете сделать это, или, если это более полезно для вас в целом, вы можете позволить им установить его и свести к минимуму риск того, что что-то пойдет не так.
В прошлом у меня были такие вещи, установленные на моих телефонах, и все было в порядке. Я думаю, что люди слишком истеричны по этому поводу (особенно когда требование меньше, например, «эй, используйте аутентификатор Google для 2fa» — «НЕ НА МОЕМ УСТРОЙСТВЕ, ТЫ ПОВРЕЖДАЕТЕ FATCATS» — что?) Полноценный MDM — это другое дело, но если компания кажется компетентной и правильно ею управляет, почему бы и нет? Я лично не хочу носить с собой 2 телефона, даже если «работа оплачивает один». У меня уже несколько раз был MDM на моем телефоне, я уходил из компании, эта учетная запись блокировалась/удалялась, и я продолжал жить своей жизнью. (Честно говоря, иногда учетная запись застряла в некоторых областях дольше, чем я хотел, и мне потребовались некоторые усилия для ее удаления, а через месяц мой телефон иногда походил на «
Важно определить реальный риск и реальную полезность, а не подход, основанный на эмоциональном позерстве в Интернете. Для этого продукта, с этой компанией, каковы реальные риски и вероятность, а затем как это повлияет на то, что вы сделаете что-то другое или не сделаете вообще. Этот анализ может привести вас к правильному ответу для вас.
Александр
Учиха Мадара
Бернхард Баркер
Мартин
BooleanСыр
Безумный физик
двизум
скрежет729