Obsah:
- Správný tým
- Šifrování a karanténa
- Omezení přístupu
- Zařízení ve hře
- Vzdálené stírání
- Bezpečnost a kultura
- Kodifikace politiky
Přineste si postupy vlastního zařízení (BYOD) na vzestup; do roku 2017 bude podle firmy Gartner poskytovat polovina zaměstnanců firmy vlastní zařízení.
Zavedení programu BYOD není snadné a bezpečnostní rizika jsou velmi reálná, ale zavedení bezpečnostní politiky bude znamenat dlouhodobý potenciál pro snížení nákladů a zvýšení produktivity. Při navrhování bezpečnostní politiky BYOD je třeba vzít v úvahu sedm věcí. (Další informace o BYOD v 5 věcech, které se o BYOD mají vědět.)
Správný tým
Před stanovením jakýchkoli druhových pravidel pro BYOD na pracovišti potřebujete správný tým k vypracování zásad.
„To, co jsem viděl, je, že někdo z HR navrhne politiku, ale nerozumí technickým požadavkům, takže tato politika neodráží to, co společnosti dělají, “ říká Tatiana Melnik, právník na Floridě se specializací na ochranu osobních údajů a bezpečnost.
Tato politika by měla odrážet obchodní praktiky a osoba s technologickým zázemím musí vést vypracovávání návrhů, zatímco zástupci právnických a lidských zdrojů mohou poskytovat rady a návrhy.
„Společnost by měla zvážit, zda v rámci politiky musí přidat další podmínky a pokyny, například v souvislosti s používáním Wi-Fi a umožněním používání telefonů rodinným příslušníkům a přátelům, “ uvedl Melnik. „Některé společnosti se rozhodnou omezit druh aplikací, které lze nainstalovat, a pokud zaregistrovají zařízení zaměstnance do programu pro správu mobilních zařízení, uvedou tyto požadavky.“
Šifrování a karanténa
Prvním důležitým kolečkem jakékoli BYOD bezpečnostní politiky je šifrování a sandboxing dat. Šifrování a převod dat do kódu zajistí zařízení a jeho komunikaci. Pomocí programu pro správu mobilních zařízení může vaše firma rozdělit data zařízení na dvě odlišné strany, obchodní a osobní, a zabránit jejich promíchání, vysvětluje Nicholas Lee, vedoucí ředitel služeb koncového uživatele ve Fujitsu America, který má na starosti zásady BYOD na Fujitsu.
„Můžete to považovat za kontejner, “ říká. "Máte možnost blokovat kopírování a vkládání a přenos dat z tohoto kontejneru do zařízení, takže vše, co máte, je firemní, zůstane v tomto jediném kontejneru."
To je zvláště užitečné při odstraňování přístupu k síti u zaměstnance, který opustil společnost.
Omezení přístupu
Jako firma se možná budete muset zeptat, kolik informací budou zaměstnanci potřebovat v určitou dobu. Povolení přístupu k e-mailům a kalendářům může být efektivní, ale každý potřebuje přístup k finančním informacím? Musíte zvážit, jak daleko musíte jít.
"V určitém okamžiku se můžete rozhodnout, že pro určité zaměstnance jim nedovolíme používat vlastní zařízení v síti, " řekl Melnik. „Například, máte výkonný tým, který má přístup ke všem podnikovým finančním údajům, můžete se rozhodnout, že pro lidi v určitých rolích není vhodné, aby používali své vlastní zařízení, protože je příliš obtížné je ovládat a rizika jsou příliš vysoké a to je v pořádku. “
To vše závisí na hodnotě příslušného IT.
Zařízení ve hře
Nemůžete jen otevřít záplavy pro všechna zařízení. Vytvořte užší seznam zařízení, která bude podporovat vaše zásady BYOD a tým IT. To může znamenat omezení personálu na určitý operační systém nebo zařízení, která splňují vaše bezpečnostní obavy. Zvažte dotazování svých zaměstnanců, zda mají zájem o BYOD a jaká zařízení by použili.
William D. Pitney of FocusYou má ve své firmě finančního plánování dva zaměstnance a všichni se přestěhovali do iPhone, protože dříve používali kombinaci Android, iOS a Blackberry.
"Před migrací na iOS to bylo náročnější. Protože se všichni rozhodli migrovat do Apple, je mnohem snazší spravovat zabezpečení, " řekl. „Kromě toho jednou měsíčně diskutujeme o aktualizacích systému iOS, instalaci aplikací a dalších bezpečnostních protokolů.“
Vzdálené stírání
V květnu 2014 kalifornský senát schválil právní předpisy, které stanoví, že „zabíjení přepínačů“ - a schopnost deaktivovat ukradené telefony - budou povinné na všech telefonech prodávaných ve státě. Postupy BYOD by se měly řídit, ale váš tým IT bude k tomu potřebovat schopnosti.
„Pokud potřebujete najít svůj iPhone … s kvadrantem na úrovni GPS je to téměř okamžité a v případě, že jej ztratíte, můžete jej v podstatě vymazat vzdáleně. Stejně to platí pro firemní zařízení. Firemní kontejner můžete v podstatě odebrat z zařízení, “řekl Lee.
Výzva u této konkrétní zásady spočívá v tom, že břemeno je na vlastníkovi, aby nahlásil, že zařízení chybí. To nás přivádí k dalšímu bodu …
Bezpečnost a kultura
Jednou z hlavních výhod BYOD je to, že zaměstnanci používají zařízení, se kterým jsou pohodlné. Zaměstnanci se však mohou dostat do špatných návyků a mohou skončit zadržením bezpečnostních informací tím, že problémy včas nezveřejní.
Podniky nemohou skočit na BYOD z manžety. Potenciální úspory peněz jsou přitažlivé, ale možné bezpečnostní katastrofy jsou mnohem horší. Pokud má vaše firma zájem o použití BYOD, je zavedení pilotního programu lepší než potápění v první řadě.
Podobně jako měsíční schůzky společnosti FocusYou by společnosti měly pravidelně kontrolovat, co funguje a co ne, zejména proto, že za únik dat je zodpovědnost podniku, nikoliv zaměstnanec. „Obecně to bude společnost, která je za to odpovědná, “ říká Melnik, i když jde o osobní zařízení.
Jedinou obranou, kterou může mít společnost, je „nepoctivá ochrana zaměstnanců“, kde zaměstnanec zjevně jednal mimo rozsah své role. „Znovu, pokud jednáte mimo politiku, musíte mít zavedenou politiku, “ říká Melnik. "To nebude fungovat, pokud neexistují žádné zásady ani školení o této politice a žádná indikace, že zaměstnanec o této politice věděl."
Z tohoto důvodu by společnost měla mít pojistné smlouvy pro porušení dat. „Způsob, jakým se porušování pořád děje, je pro společnosti riskantní, že nebudou mít zavedenou politiku, “ dodává Melnik. (Další informace naleznete v části 3 klíčové součásti zabezpečení BYOD.)
Kodifikace politiky
Iynky Maheswaran, vedoucí mobilního obchodu v australské společnosti Macquarie Telecom, a autor zprávy nazvané „Jak vytvořit politiku BYOD“, podporuje předběžné plánování z právního i technologického hlediska. To nás přivádí zpět k tomu, abychom měli ten správný tým.
Melnik znovu potvrzuje potřebu podepsané dohody zaměstnavatel / zaměstnanec, aby zajistil dodržování politik. Říká, že pro ně musí být „jasně řečeno, že v případě sporu musí být jejich zařízení obráceno, že zařízení zpřístupní, že zařízení použijí v souladu s politikou, kde jsou všechny tyto faktory uvedeny v dokumentu, který je podepsán. “
Taková dohoda podpoří vaše zásady a poskytne jim mnohem větší váhu a ochranu.