7 punktów do rozważenia przy opracowywaniu polityki bezpieczeństwa BYOD

Autor: Eugene Taylor
Data Utworzenia: 10 Sierpień 2021
Data Aktualizacji: 22 Czerwiec 2024
Anonim
7 punktów do rozważenia przy opracowywaniu polityki bezpieczeństwa BYOD - Technologia
7 punktów do rozważenia przy opracowywaniu polityki bezpieczeństwa BYOD - Technologia

Zawartość



Źródło: Sue Harper / Dreamstime.com

Na wynos:

Przynieś własne urządzenie, które może przynieść ogromne korzyści Twojej firmie, ale zagrożenia bezpieczeństwa są obfite, a żelazne zasady są bardzo ważne.

Wzrastają praktyki związane z wprowadzaniem własnego urządzenia (BYOD); Według Gartnera do 2017 r. połowa pracowników biznesowych będzie dostarczać własne urządzenia.

Wdrożenie programu BYOD nie jest łatwe, a zagrożenia bezpieczeństwa są bardzo realne, ale wprowadzenie polityki bezpieczeństwa będzie oznaczało potencjalne obniżenie kosztów i zwiększenie wydajności w dłuższej perspektywie. Oto siedem rzeczy, które należy wziąć pod uwagę przy opracowywaniu polityki bezpieczeństwa BYOD. (Dowiedz się więcej o BYOD w 5 rzeczach, które należy wiedzieć o BYOD.)

Właściwy zespół

Przed określeniem jakichkolwiek zasad BYOD w miejscu pracy potrzebujesz odpowiedniego zespołu, który opracuje zasady.

„Widziałem, że ktoś z działu HR opracuje polisę, ale nie rozumie wymagań technicznych, więc polityka nie odzwierciedla tego, co robią firmy” - mówi Tatiana Melnik, adwokat na Florydzie specjalizujący się w ochronie danych i bezpieczeństwo.

Polityka powinna odzwierciedlać praktyki biznesowe, a osoba z zapleczem technologicznym musi kierować opracowywaniem, a przedstawiciele prawni i HR mogą udzielać porad i sugestii.

„Firma powinna rozważyć, czy musi dodać dodatkowe warunki i wytyczne w polityce, na przykład dotyczące korzystania z Wi-Fi i umożliwienia członkom rodziny i znajomym korzystania z telefonu” - powiedział Melnik. „Niektóre firmy decydują się na ograniczenie liczby aplikacji, które można zainstalować, a jeśli zarejestrują urządzenie pracownika w programie do zarządzania urządzeniami mobilnymi, podają te wymagania”.

Szyfrowanie i piaskownica

Pierwszym istotnym ząbkiem każdej polityki bezpieczeństwa BYOD jest szyfrowanie i piaskownica danych. Szyfrowanie i przekształcanie danych w kod zabezpiecza urządzenie i jego komunikację. Korzystając z programu do zarządzania urządzeniami mobilnymi, Twoja firma może podzielić dane urządzeń na dwie różne strony, biznesowe i osobiste, i zapobiec ich pomieszaniu, wyjaśnia Nicholas Lee, starszy dyrektor ds. Usług dla użytkowników końcowych w Fujitsu America, który kierował polityką BYOD w Fujitsu.

„Możesz myśleć o tym jak o pojemniku” - mówi. „Masz możliwość blokowania kopiowania i wklejania oraz przesyłania danych z tego kontenera do urządzenia, dzięki czemu wszystko, co masz pod względem korporacyjnym, pozostanie w tym jednym kontenerze”.

Jest to szczególnie pomocne przy usuwaniu dostępu do sieci dla pracownika, który opuścił firmę.

Ograniczanie dostępu

Jako firma może być konieczne zadanie sobie pytania, ile informacji będą potrzebować pracownicy w danym momencie. Zezwolenie na dostęp do kalendarzy i może być skuteczne, ale czy każdy potrzebuje dostępu do informacji finansowych? Musisz rozważyć, jak daleko musisz się posunąć.

„W pewnym momencie możesz zdecydować, że w przypadku niektórych pracowników nie pozwolimy im korzystać z własnych urządzeń w sieci” - powiedział Melnik. „Na przykład masz zespół wykonawczy, który ma dostęp do wszystkich danych finansowych firmy, możesz zdecydować, że dla osób pełniących określone role nie jest właściwe, aby korzystały z własnego urządzenia, ponieważ jest zbyt trudne do kontrolowania i ryzyka są zbyt wysokie i nie ma nic przeciwko temu. ”

Wszystko zależy od wartości IT, o które chodzi.

Urządzenia w Play

Nie możesz po prostu otworzyć zastawek dla dowolnego urządzenia. Zrób krótką listę urządzeń obsługiwanych przez zasady BYOD i zespół IT. Może to oznaczać ograniczenie personelu do określonego systemu operacyjnego lub urządzeń spełniających Twoje obawy dotyczące bezpieczeństwa. Zastanów się nad zapytaniem swoich pracowników, czy są zainteresowani BYOD i jakich urządzeń będą używać.

William D. Pitney z firmy Focus Ma dwóch pracowników w swojej firmie zajmującej się planowaniem finansowym. Wszyscy oni wyemigrowali na iPhone'a, używając wcześniej systemu Android, iOS i Blackberry.

„Przed migracją na iOS było to trudniejsze. Ponieważ wszyscy zdecydowali się na migrację do Apple, zarządzanie bezpieczeństwem stało się znacznie łatwiejsze” - powiedział. „Ponadto raz w miesiącu omawiamy aktualizacje iOS, instalowanie aplikacji i innych protokołów bezpieczeństwa.”

Zdalne czyszczenie

W maju 2014 r. Senat stanu Kalifornia zatwierdził przepisy, które wprowadzą „zabijanie przełączników” - i możliwość wyłączenia skradzionych telefonów - obowiązkowe na wszystkich telefonach sprzedawanych w tym stanie. Zasady BYOD powinny być takie same, ale Twój zespół IT będzie potrzebował do tego odpowiednich możliwości.

„Jeśli potrzebujesz znaleźć swojego iPhone'a ... jest to prawie natychmiastowe dzięki kwadrantowi na poziomie GPS i możesz w zasadzie zdalnie wyczyścić urządzenie, jeśli go zgubisz. To samo dotyczy urządzenia firmowego. Możesz w zasadzie usunąć pojemnik firmowy z urządzenie - powiedział Lee.

Wyzwanie związane z tą konkretną polityką polega na tym, że na właścicielu spoczywa obowiązek zgłaszania brakujących urządzeń. To prowadzi nas do następnego punktu ...

Bezpieczeństwo i kultura

Jedną z głównych zalet BYOD jest to, że pracownicy korzystają z urządzenia, z którym czują się komfortowo. Pracownicy mogą jednak popaść w złe nawyki i mogą nie ujawniać informacji o bezpieczeństwie, nie informując ich w odpowiednim czasie.

Firmy nie mogą zeskoczyć z mankietu do BYOD. Potencjalne oszczędności finansowe są atrakcyjne, ale możliwe katastrofy bezpieczeństwa są znacznie gorsze. Jeśli Twoja firma jest zainteresowana korzystaniem z BYOD, wdrożenie programu pilotażowego jest lepsze niż nurkowanie w pierwszej kolejności.

Podobnie jak w przypadku comiesięcznych spotkań FocusYou, firmy powinny regularnie sprawdzać, co działa, a co nie, zwłaszcza że wyciek danych jest obowiązkiem firmy, a nie pracownika. „Zasadniczo to firma będzie odpowiedzialna”, mówi Melnik, nawet jeśli chodzi o dane urządzenie osobiste.

Jedyną obroną, jaką może mieć firma, jest „nieuczciwa obrona pracownika”, w której pracownik wyraźnie działał poza zakresem swojej roli. „Ponownie, jeśli działasz poza polisą, musisz mieć polisę” - mówi Melnik. „To nie zadziała, jeśli nie będzie żadnej polisy ani szkolenia na temat tej polisy i nie będzie żadnych oznak, że pracownik był świadomy tej polisy”.

Dlatego firma powinna mieć polisy ubezpieczeniowe od naruszenia danych. „Sposób, w jaki cały czas dochodzi do naruszeń, jest ryzykowny dla firm, które nie wprowadzają żadnych zasad”, dodaje Melnik. (Dowiedz się więcej w 3 kluczowych składnikach BYOD Security).

Kodyfikacja polityki

Iynky Maheswaran, szef działu mobilnego w australijskim Macquarie Telecom i autor raportu „How to Create a BYOD Policy”, zachęca do planowania z wyprzedzeniem zarówno z prawnego, jak i technologicznego punktu widzenia. To pozwala nam wrócić do posiadania odpowiedniego zespołu.

Melnik potwierdza potrzebę podpisania umowy pracodawca / pracownik, aby zapewnić przestrzeganie zasad. Mówi, że musi to być „wyraźnie określone dla nich, że ich urządzenie musi zostać przekazane w przypadku sporu sądowego, że udostępnią urządzenie, że będą go używać zgodnie z zasadami, gdzie wszystkie te czynniki są potwierdzone w podpisanym dokumencie. ”

Taka umowa będzie stanowić kopię zapasową twoich polis i zapewni im znacznie większą wagę i ochronę.