Słowem dobrze opisującym zjawisko BYOD (Bring Your Own Device) jest „trend”. BYOD, określany też czasem jako Consumarization of IT (CoIT), to moda, która polega na używaniu przez pracowników w miejscu pracy, do celów służbowych, swoich prywatnych smartfonów i tabletów. Zjawisko to raczej nie odnosi się do laptopów. Nieformalna z początku tendencja rozwinęła się w szybkim czasie w swego rodzaju fenomen.
Kluczem i podstawową przyczyną jest mobilność pracowników i łatwość dostępu do usług. Coraz częściej życie zawodowe przenika się z prywatnym. Używamy serwisów społecznościowych (np. Linkedin) także do celów biznesowych i podobnie jest z urządzeniami. Noszenie przy sobie dwóch kompletów urządzeń staje się uciążliwe, a często te prywatne są nowszej generacji niż firmowe i pracownicy wolą ich używać.
Urządzenia przynoszone do pracy na ogół łączą się z internetem przez firmową sieć WiFi. W celu zapewnienia dostępu do internetu gościom firmy lub prywatnym urządzeniom pracowników, najczęściej stosowanym w firmach podejściem jest captive portal lub wydzielenie dedykowanego VLAN, następnie rozgłaszanego przez urządzenia WiFi. Z reguły prywatne smartfony, tablety i laptopy użytkowników nie są objęte firmowymi politykami bezpieczeństwa, nie powiedzie się więc logowanie do sieci za pomocą nadanych loginów i haseł. Aby tak było, urządzenia te musiałyby zostać wciągnięte do zarządzanej sieci firmowej. Pamiętajmy jednak, że instalacja agentów usług katalogowych na wszystkich prywatnych urządzeniach nie jest możliwa ze względu na różnorodność systemów operacyjnych i ich wersji. Takie niezarządzane urządzenia nie tylko narażają sieć na zwiększone ryzyko infekcji i wycieku danych, mogą też zbytnio ją obciążać poprzez aplikacje takie jak np. radio internetowe czy streaming wideo.
Można co prawda zabronić używania prywatnych urządzeń w pracy, jednak taka decyzja wpłynie negatywnie na produktywność firmy i motywację pracowników. Poza tym trudno walczyć z trendem, który zyskuje coraz więcej zwolenników na całym świecie, także w Polsce. Dlatego też pracodawcy często dają na to mniej lub bardziej formalne przyzwolenie. Badania Cisco IBSG Horizons Study wskazują, że zgoda pracodawcy na BYOD wpływa na zwiększenie produktywności i satysfakcji pracowników.
Na marginesie warto dodać, że bardzo popularne jest zjawisko odwrotne – pracownicy używają służbowych laptopów i smartfonów do celów prywatnych. Urządzenia te są co prawda objęte politykami bezpieczeństwa, lecz gdy znajdują się poza zasięgiem sieci firmowej, przestają być chronione przez centralną platformę bezpieczeństwa. Są one narażone na kradzież lub zgubienie, a nieodpowiednio zabezpieczone mogą stać się przyczyną celowego lub przypadkowego wycieku danych.
Licencjonowanie
O ile wykorzystywanie i licencjonowanie oprogramowania GPL (General Public Licence) jest już bardzo popularne i zostało dobrze udokumentowane, o tyle kwestia wykorzystania urządzenia prywatnego w firmie jest odmiennym zagadnieniem.
Cztery najczęściej spotykane scenariusze to:
- pracownik bezpośrednio loguje się na serwer,
- pracownik zdalnie loguje się do swojego komputera służbowego,
- pracownik loguje się na serwer poprzez usługi dostępu terminalowego,
- pracownik wykorzystuje technologię wirtualizacji stacji końcowych w celu zalogowania do wirtualnej maszyny hostowanej na serwerze.
Celem tego artykułu nie jest wyszczególnienie każdej z wymaganych licencji w wymienionych scenariuszach. Chcemy jednak zwrócić uwagę, że kwestie licencyjne muszą zostać starannie rozpoznane przed podjęciem decyzji o zgodzie i wdrożeniu polityki BYOD w przedsiębiorstwie.
Ochrona
Idealną sytuacją jest możliwość odseparowania danych firmowych od danych prywatnych za pomocą rozwiązań technologicznych. Pracodawca może określić, do jakich danych pracownik może mieć dostęp, a do których nie. Jeżeli urządzenie pracownika ma być monitorowane lub ma na nim zostać zaimplementowana jakaś firmowa polityka bezpieczeństwa, pracownik powinien o tym wiedzieć i zaakceptować narzucone standardy lub nie wykorzystywać swoich urządzeń w sieci firmowej.
Na przykład w celu wykorzystywania urządzenia prywatnego do wglądu do zasobów firmowych dostęp do niego powinien być zabezpieczony odpowiednim hasłem lub PIN-em, aby tych zasobów nie mogły przeglądać osoby nieupoważnione.
Ukryte koszty
Wykorzystanie sprzętu prywatnego w zastosowaniach służbowych niewątpliwie wiąże się z oszczędnościami dla firmy. Jednak należy też zwrócić uwagę na ukryte koszty. Mogą do nich należeć:
- zwiększenie opłat za przesył danych w urządzaniach mobilnych,
- urządzenia mobilne są generalnie mniej wydajne od laptopów, dlatego pracownik nadal wykorzystuje laptop służbowy jako alternatywę – na tym sprzęcie nie oszczędzimy,
- aktualizacje różnorodnego oprogramowania prywatnego w modelu BYOD mogą zakłócić funkcjonalność aplikacji biznesowej na urządzeniu,
- możliwość zmiany warunków licencyjnych przez dostawców oprogramowania.
Opierając się jednak na dostępnych opracowaniach (m.in. artykuł M.R. Rangaswamiego, współzałożyciela i CEO Sand Hill Group, z 24 kwietnia 2012 r.), można stwierdzić, że wdrożenie koncepcji BYOD w dłuższej perspektywie może się przyczynić do obniżenia kosztów. O ile – to zależy m.in. od podejścia organizacji. Jednak trzeba podkreślić, że o ile firma nadal odpowiada za wsparcie dostępności aplikacji biznesowych, to nie ponosi kosztów wsparcia technicznego i ewentualnej naprawy urządzenia pracownika.
BYOD a podatki
W polskim prawodawstwie dotyczącym rozliczeń podatkowych nie istnieją przepisy wprost odnoszące się do modelu BYOD. Zatem pracodawcy zmuszeni są stosować przepisy ogólne. To, jakie przepisy należy stosować, wynika ze stosunku prawnego łączącego użytkownika sprzętu z przedsiębiorstwem. W przypadku gdy w rachubę wchodzi umowa o pracę, pracodawca może wypłacić zwolniony z podatku ekwiwalent za wykorzystanie do pracy sprzętu należącego do pracownika (dotyczy to tabletów, smartfonów, ale nie samochodów). Stosuje się tutaj art. 21 ust 1 pkt 13 ustawy o PIT, stanowiący, że „wolne od podatku dochodowego są ekwiwalenty pieniężne za używanie przez pracowników przy wykonywaniu pracy narzędzia, materiały lub sprzęt, stanowiące ich własność”.
Konieczność odmiennego podejścia do kwestii BYOD stwarza umowa cywilnoprawna łącząca usługodawcę z usługobiorcą. W tym kontekście pracodawca może na przykład przekazać pracownikowi pieniądze, za które ten kupi sprzęt. Osoby prowadzące działalność gospodarczą zakupiony sprzęt wykazują jako koszt swojej działalności oraz przysługuje im prawo do odliczenia wartości podatku, jeśli są płatnikami VAT.
Ryzyko i potencjał
Jak można wywnioskować, trend BYOD stwarza pewne zagrożenia i obarczony jest ryzykiem dla działalności pracodawcy. Bezsprzecznie posiada jednak również duży potencjał. Należy też pamiętać, że choć zjawisko jest dość nowe, to odpowiednie procedury, zarządzenia, polityki bezpieczeństwa i dostępne opracowania prawne pozwalają na wprowadzenie skutecznego mechanizmu panowania nad BYOD.
Według danych Gartnera przedstawionych na konferencji w Stamford w maju 2013 r., połowa pracowników korzystających z tego typu sprzętu do roku 2017 r. będzie wykorzystywała urządzenia prywatne w celach służbowych. Czas pokaże, na ile sprawdzą się te prognozy, ale jedno jest pewne – w trend ten będzie zyskiwał na popularności.
Przydatne informacje o BYOD
Pełen tekst badania Cisco IBSG Horizons Study:
www.cisco.com/web/about/ac79/docs/re/BYOD_Horizons-Global.pdf
Opracowania na temat wykorzystania narzędzi Microsoft w aspekcie BYOD:
www.microsoft.com/licensing/about-licensing/briefs/consumerization-it.aspx
www.microsoft.com/licensing/about-licensing/briefs/consumerization-it-academic.aspx