BYOD, CYOD, COPE – co to za modele pracy i czym się od siebie różnią?

BYOD, CYOD i COPE opisują sposoby wykorzystywania urządzeń mobilnych i osobistych do wykonywania obowiązków służbowych przez pracowników. Odnoszą się do takich urządzeń, jak smartfony, tablety, komputery, laptopy czy dyski zewnętrzne. Co do zasady modele te regulują kwestię własności i odpowiedzialności za sprzęt.
 

• BYDO (ang.: Bring Your Own Device) – w tym modelu firma daje przyzwolenie na korzystanie z urządzeń będących własnością pracownika. To właśnie pracownik ponosi koszt zakupu, konserwacji i wymiany sprzętu na nowy oraz sam wybiera producenta urządzenia. Do nawiązania połączenia z firmową siecią i korzystania z firmowych zasobów osoba zatrudniona używa własnego sprzętu, a więc część służbowych danych jest przechowywana na de facto prywatnym sprzęcie, co może budzić obawy dotyczące bezpieczeństwa. Ten model pracy jest najczęściej spotykany w firmach pracujących zdalnie. Jego wdrożenie jest natychmiastowe, a koszty ponoszone przez pracodawcę, znikome.

• COPE (ang.: Company-Owned, Personally Enabled) – ten model jest zupełnie odmienną sytuacją od powyższej. W tym przypadku to firma wybiera rodzaj, producenta i model sprzętu oraz decyduje o zainstalowanym oprogramowaniu i wykorzystywanych aplikacjach. COPE może być wykorzystywany zarówno do pracy w trybie stacjonarnym, jak i zdalnym, a pracownik ma zwykle możliwość używania sprzętu do celów prywatnych. 


• CYOD (ang.: Choose Your Own Device) to kompromis pomiędzy dwoma najbardziej skrajnymi modelami. Polega na pozostawieniu pracownikowi wyboru sprzętu służbowego z zatwierdzonej listy. Takie podejście pozwala z jednej strony uwzględnić preferencje swojej kadry, a z drugiej zapewnić spójność urządzeń stosowanych w firmie (np. w zakresie systemów operacyjnych). W tym modelu to zazwyczaj firma ponosi koszty zakupu, serwisu, wymiany sprzętu i staje się jego właścicielem. W niektórych organizacjach pracownik może jednak partycypować w kosztach, przenosząc własność na siebie.

Trend wykorzystywania urządzeń prywatnych do celów służbowych co raz częściej występuje w wielu firmach. Zjawisko to jednak może prowadzić do powstawania tzw. shadow IT, gdy pracownicy bez wiedzy i zgody przełożonych zaczynają stosować prywatne narzędzia dla zwiększenia wygody pracy. Wpływ na popularyzację tego trendu miała z pewnością pandemia COVID-19, która wiele firm zmusiła do natychmiastowego przejścia w tryb pracy zdalnej (co ma wiele zalet, ale także wad) – często bez gotowych rozwiązań i odpowiedniego wyposażenia.

Kwestia korzystania z własnego sprzętu powinna być jasno uregulowana np. w ramach polityki stosowania urządzeń mobilnych lub polityki bezpieczeństwa informacji. Należy również pamiętać, że przedstawione wyżej modele to tylko wzorce. W rzeczywistości firmy i pracownicy mogą wypracowywać wiele rozwiązań pośrednich, a także stosować zróżnicowane polityki dla wielu kategorii urządzeń (np. model BYOD w kontekście smartfonów przy jednoczesnym zastosowaniu modelu CYOD dla laptopów i tabletów.

Wady i zalety każdego z rozwiązań

Żaden z przytoczonych modeli nie można określać jako najlepszy lub najgorszy. Każdy z nich ma pewne przewagi w kwestii swobody i płynności pracy, co jednak wiąże się najczęściej ze zwiększonym ryzykiem wystąpienia incydentów bezpieczeństwa oraz wycieku danych firmowych. Procedury dotyczące wykorzystywania i własności sprzętu powinno dobierać się w oparciu o charakter prowadzonej działalności.
 

Bring Your Own Device

Największą zaletą modelu BYOD jest swoboda wyboru i sposobu wykorzystania urządzeń. Pracownicy mają tutaj wolną rękę – mogą korzystać ze swojego sprzętu do celów prywatnych i zawodowych. Głównym problemem jest jednak bezpieczeństwo danych oraz bezpieczeństwo całej firmowej sieci, z którą pracownik łączy się za pomocą prywatnego sprzętu. Firma często nie jest świadoma częstotliwości występowania incydentów bezpieczeństwa i może z dużym opóźnieniem dowiedzieć się o ewentualnym wycieku danych. Nad ruchem sieciowym nie czuwa administrator uzbrojony w różne systemy bezpieczeństwa, a większość operacji technicznych (aktualizacje, zmiany haseł itp.) leży po stronie pracownika. To może prowadzić do zaniedbań, chociaż z drugiej strony, próba uregulowania kwestii śledzenia ruchu na urządzeniach osobistych budzi duże kontrowersje wśród pracowników.

Oprócz bezpieczeństwa zasobów wątpliwości budzą także kwestie licencyjne wykorzystywanego oprogramowania. Osobisty sprzęt jest użytkowany w pewnej części w celach komercyjnych, a to stanowi konflikt w przypadku prywatnych licencji. Do poważnych wad tego rozwiązania należy też brak spójności urządzeń wykorzystywanych w firmie. Różne systemy operacyjne, modele i producenci utrudniają wdrożenie procesów na wypadek awarii lub incydentu.
 

Company-Owned, Personally Enabled (COPE)

Zakup i konfiguracja sprzętu bezpośrednio przez firmę daje duże możliwości monitorowania ruchu i kontroli procesów wykonywanych na urządzeniach. To ułatwienie w obszarze zapewniania zgodności z obowiązującymi przepisami oraz przestrzegania dobrych praktyk bezpieczeństwa. Firma może śledzić ewentualne wycieki i chronić każdą aplikację zainstalowaną na urządzeniu. Taki model to też większe prawdopodobieństwo, że z wewnętrzną siecią nie łączą się zainfekowane urządzenia.

Posiadany przez firmę sprzęt jest spójny i umożliwia sprawne naprawy oraz dokonywanie okresowych aktualizacji. To firma decyduje o zainstalowanym oprogramowaniu i w ograniczonym zakresie umożliwia także użytkownikowi (pracownikowi) pobieranie prywatnych aplikacji czy danych. Otrzymywanie sprzętu na użytek prywatny może być ponadto uważane jako atrakcyjny benefit pracowniczy.

Do wad możemy zaliczyć przede wszystkim wysokie koszty takiego rozwiązania (w stosunku do modelu BYOD), bowiem wymaga zakupu wszystkich urządzeń, a także ich serwisu i wymiany na nowe. W porównaniu do modelu przedstawionego wcześniej zdecydowanie dłużej trwa również wdrożenie nowego sprzętu w organizacji.
 

Choose Your Own Device

Wady i zalety tego modelu są w zasadzie tożsame z tymi, które wskazaliśmy w przypadku modelu COPE. CYOD daje jednak pracownikowi większy wybór w kwestii sprzętu i możliwość pracy na urządzeniu, które jest najbliższe jego preferencjom, zapewniając nadal wysoki poziom kontroli i bezpieczeństwa.
 

Co wybrać do swojego biura – BYOD, CYOD czy może COPE?

W porównaniu BYOD vs. COPE, w obszarze bezpieczeństwa informacji zdecydowanie wygrywa podejście Company-Owned, Personally Enabled. Organizacje kładące duży nacisk na ochronę procesów powinny przyjąć taką strategię, by uniknąć licznych podatności. Firmy opierające swoją pracę na prywatnym sprzęcie pracowników są znacznie bardziej narażone na ataki z zewnątrz, a to może prowokować cyberoszustów.

Niezależnie od przyjętej strategii kluczowe jest wdrażanie świadomości bezpieczeństwa u pracowników na wszystkich szczeblach firmowych oraz tworzenie jasnych polityk bezpieczeństwa i ich egzekwowanie.

Na rynku istnieją także usługi bezpieczeństwa, które pomagają zarządzać urządzeniami końcowymi i zwiększać ich ochronę niezależnie od systemu operacyjnego. Jednym z takich narzędzi jest Netia Endpoint Management – usługa pozwalająca monitorować urządzenia mobilne, m.in. przeprowadza na nich aktualizacje oraz wykrywa zagrożenia. Rozwiązanie pozwala także na zdalne przywracanie ustawień fabrycznych i trwałe usuwanie firmowych danych z urządzenia – na przykład po kradzieży..