Spisu treści:
- Właściwy zespół
- Szyfrowanie i piaskownica
- Ograniczanie dostępu
- Urządzenia w Play
- Zdalne czyszczenie
- Bezpieczeństwo i kultura
- Kodyfikacja polityki
Wzrastają praktyki związane z wprowadzaniem własnego urządzenia (BYOD); Według Gartnera do 2017 r. połowa pracowników biznesowych będzie dostarczać własne urządzenia.
Wdrożenie programu BYOD nie jest łatwe, a ryzyko związane z bezpieczeństwem jest bardzo realne, ale wprowadzenie polityki bezpieczeństwa będzie oznaczało potencjalne obniżenie kosztów i zwiększenie wydajności w dłuższej perspektywie. Oto siedem rzeczy, które należy wziąć pod uwagę przy opracowywaniu polityki bezpieczeństwa BYOD. (Dowiedz się więcej o BYOD w 5 rzeczach, które należy wiedzieć o BYOD.)
Właściwy zespół
Przed określeniem jakichkolwiek zasad BYOD w miejscu pracy potrzebujesz odpowiedniego zespołu, który opracuje zasady.
„Widziałem, że ktoś z działu HR opracuje zasady, ale nie rozumieją wymagań technicznych, więc zasady nie odzwierciedlają tego, co robią firmy” - mówi Tatiana Melnik, adwokat z Florydy specjalizujący się w ochronie danych i bezpieczeństwo.
Polityka powinna odzwierciedlać praktyki biznesowe, a osoba z zapleczem technologicznym musi kierować opracowywaniem, a przedstawiciele prawni i HR mogą udzielać porad i sugestii.
„Firma powinna rozważyć, czy musi dodać dodatkowe warunki i wytyczne w polityce, na przykład dotyczące korzystania z Wi-Fi i umożliwienia członkom rodziny i znajomym korzystania z telefonu” - powiedział Melnik. „Niektóre firmy decydują się na ograniczenie liczby aplikacji, które można zainstalować, a jeśli zarejestrują urządzenie pracownika w programie do zarządzania urządzeniami mobilnymi, podają te wymagania”.
Szyfrowanie i piaskownica
Pierwszym istotnym ząbkiem każdej polityki bezpieczeństwa BYOD jest szyfrowanie i piaskownica danych. Szyfrowanie i przekształcanie danych w kod zabezpiecza urządzenie i jego komunikację. Korzystając z programu do zarządzania urządzeniami mobilnymi, Twoja firma może podzielić dane urządzeń na dwie odrębne strony, biznesowe i osobiste, i zapobiec ich pomieszaniu, wyjaśnia Nicholas Lee, starszy dyrektor ds. Usług dla użytkowników końcowych w Fujitsu America, który kierował polityką BYOD w Fujitsu.
„Możesz myśleć o tym jak o pojemniku” - mówi. „Masz możliwość blokowania kopiowania i wklejania oraz przesyłania danych z tego kontenera do urządzenia, dzięki czemu wszystko, co masz pod względem korporacyjnym, pozostanie w tym jednym kontenerze”.
Jest to szczególnie pomocne przy usuwaniu dostępu do sieci dla pracownika, który opuścił firmę.
Ograniczanie dostępu
Jako firma może być konieczne zadanie sobie pytania, ile informacji będą potrzebować pracownicy w danym momencie. Zezwolenie na dostęp do e-maili i kalendarzy może być skuteczne, ale czy każdy potrzebuje dostępu do informacji finansowych? Musisz rozważyć, jak daleko musisz się posunąć.
„W pewnym momencie możesz zdecydować, że w przypadku niektórych pracowników nie pozwolimy im korzystać z własnych urządzeń w sieci” - powiedział Melnik. „Na przykład masz zespół wykonawczy, który ma dostęp do wszystkich danych finansowych firmy, możesz zdecydować, że dla osób pełniących określone role korzystanie z własnego urządzenia nie jest właściwe, ponieważ jest zbyt trudne do kontrolowania i związanych z tym zagrożeń są zbyt wysokie i nie ma nic przeciwko temu. ”
Wszystko zależy od wartości IT, o które chodzi.
Urządzenia w Play
Nie można po prostu otworzyć bram powodziowych na dowolne i wszystkie urządzenia. Zrób krótką listę urządzeń obsługiwanych przez zasady BYOD i zespół IT. Może to oznaczać ograniczenie personelu do określonego systemu operacyjnego lub urządzeń spełniających Twoje obawy dotyczące bezpieczeństwa. Zastanów się nad zapytaniem swoich pracowników, czy są zainteresowani BYOD i jakich urządzeń będą używać.
William D. Pitney z firmy Focus W swojej firmie zajmującej się planowaniem finansowym masz dwóch pracowników i wszyscy przenieśli się na iPhone'a, używając wcześniej systemu Android, iOS i Blackberry.
„Przed migracją na iOS było to trudniejsze. Ponieważ wszyscy zdecydowali się na migrację do Apple, zarządzanie bezpieczeństwem stało się znacznie łatwiejsze” - powiedział. „Ponadto raz w miesiącu omawiamy aktualizacje iOS, instalowanie aplikacji i innych protokołów bezpieczeństwa.”
Zdalne czyszczenie
W maju 2014 r. Senat Kalifornii zatwierdził przepisy, które wprowadzą „zabijanie przełączników” - i możliwość wyłączania skradzionych telefonów - obowiązkowe na wszystkich telefonach sprzedawanych w tym stanie. Zasady BYOD powinny być takie same, ale Twój zespół IT będzie potrzebował do tego odpowiednich możliwości.
„Jeśli chcesz znaleźć swojego iPhone'a … jest to niemal natychmiastowe dzięki kwadrantowi na poziomie GPS i możesz w zasadzie zdalnie wyczyścić urządzenie, jeśli go zgubisz. To samo dotyczy urządzenia firmowego. Możesz w zasadzie usunąć pojemnik firmowy z urządzenie - powiedział Lee.
Wyzwanie związane z tą konkretną polityką polega na tym, że na właścicielu spoczywa obowiązek zgłaszania brakujących urządzeń. To prowadzi nas do następnego punktu …
Bezpieczeństwo i kultura
Jedną z głównych zalet BYOD jest to, że pracownicy korzystają z urządzenia, z którym czują się komfortowo. Pracownicy mogą jednak popaść w złe nawyki i mogą nie ujawniać informacji o bezpieczeństwie, nie informując ich w odpowiednim czasie.
Firmy nie mogą zeskoczyć z mankietu do BYOD. Potencjalne oszczędności finansowe są atrakcyjne, ale możliwe katastrofy bezpieczeństwa są znacznie gorsze. Jeśli Twoja firma jest zainteresowana korzystaniem z BYOD, wdrożenie programu pilotażowego jest lepsze niż nurkowanie w pierwszej kolejności.
Podobnie jak w przypadku comiesięcznych spotkań FocusYou, firmy powinny regularnie sprawdzać, co działa, a co nie, zwłaszcza że wyciek danych jest obowiązkiem firmy, a nie pracownika. „Zasadniczo to firma będzie odpowiedzialna”, mówi Melnik, nawet jeśli chodzi o urządzenie osobiste.
Jedyną obroną, jaką może mieć firma, jest „nieuczciwa obrona pracownika”, w której pracownik wyraźnie działał poza zakresem swojej roli. „Ponownie, jeśli działasz poza polisą, musisz mieć polisę” - mówi Melnik. „To nie zadziała, jeśli nie będzie polisy ani szkolenia na temat tej polisy i nie będzie żadnych oznak, że pracownik był świadomy tej polisy”.
Dlatego firma powinna mieć polisy ubezpieczeniowe od naruszenia danych. „Sposób, w jaki cały czas dochodzi do naruszeń, jest ryzykowny dla firm, które nie mają polityki”, dodaje Melnik. (Dowiedz się więcej w 3 kluczowych składnikach BYOD Security).
Kodyfikacja polityki
Iynky Maheswaran, szef działu mobilnego biznesu w australijskim Macquarie Telecom i autor raportu „How to Create a BYOD Policy”, zachęca do planowania z wyprzedzeniem zarówno z prawnego, jak i technologicznego punktu widzenia. To pozwala nam wrócić do posiadania odpowiedniego zespołu.
Melnik potwierdza potrzebę podpisania umowy pracodawca / pracownik, aby zapewnić przestrzeganie zasad. Mówi, że musi to być „wyraźnie określone dla nich, że ich urządzenie musi zostać przekazane w przypadku sporu sądowego, że udostępnią urządzenie, że będą go używać zgodnie z zasadami, gdzie wszystkie te czynniki są potwierdzone w podpisanym dokumencie. ”
Taka umowa będzie stanowić kopię zapasową twoich polis i zapewni im znacznie większą wagę i ochronę.