7 pistettä, jotka on otettava huomioon laatiessaan byod-turvallisuuspolitiikkaa

Tuo oma laitteesi (BYOD) käytännöt ovat nousussa; Gartnerin mukaan vuoteen 2017 mennessä puolet yrityksen työntekijöistä toimittaa omat laitteet.

BYOD-ohjelman käynnistäminen ei ole helppoa ja tietoturvariskit ovat hyvin todellisia, mutta tietoturvapolitiikan asettaminen merkitsee mahdollisuutta leikata kustannuksia ja lisätä tuottavuutta pitkällä tähtäimellä. Tässä on seitsemän asiaa, jotka sinun on otettava huomioon laadittaessa BYOD-tietoturvakäytäntöä. (Lisätietoja BYOD: sta viidessä tiedossa olevasta asiosta, joita BYOD sisältää.)

Oikea joukkue

Ennen kuin asetat kaikenlaisia ​​BYOD-sääntöjä työpaikalla, tarvitset oikean ryhmän laatimaan politiikat.

"Olen nähnyt, että joku HR: stä laatii politiikan, mutta he eivät ymmärrä teknisiä vaatimuksia, joten käytäntö ei heijasta sitä, mitä yritykset tekevät", sanoo Floridan tietosuojaan erikoistunut asianajaja Tatjana Melnik. ja turvallisuus.

Politiikan tulee heijastaa liiketoiminnan käytäntöjä, ja jonkun, jolla on tekninen tausta, on johdettava luonnosta, kun taas lakimiesten ja henkilöstön edustajat voivat tarjota neuvoja ja ehdotuksia.

"Yrityksen tulisi harkita, onko heidän tarpeen lisätä politiikkaan uusia ehtoja ja ohjeita, jotka koskevat esimerkiksi Wi-Fi-yhteyden käyttöä ja perheenjäsenten ja ystävien sallimista käyttää puhelinta", Melnik sanoi. "Jotkut yritykset päättävät rajoittaa asennettavien sovellusten tyyppiä ja ilmoittavat nämä vaatimukset, jos he rekisteröivät työntekijän laitteen mobiililaitteiden hallintaohjelmaan."

Salaus ja hiekkalaatikko

Minkä tahansa BYOD-tietoturvapolitiikan ensisijainen merkitys on tietojen salaus ja hiekkalaatikko. Salaus ja datan muuntaminen koodiksi suojaavat laitetta ja sen viestintää. Käyttämällä mobiililaitteiden hallintaohjelmaa yrityksesi voi segmentoida laitteistotiedot kahteen erilliseen puoleen, liiketoimintaan ja henkilökohtaiseen, ja estää niitä sekoittumasta, selittää Fujitsu America -yrityksen loppukäyttäjäpalveluiden vanhempi johtaja Nicholas Lee, joka on johtanut BYOD-käytäntöjä osoitteessa Fujitsu.

"Voit ajatella sitä konttina", hän sanoo. "Sinulla on mahdollisuus estää kopioiminen ja liittäminen ja datan siirtäminen kyseisestä säilöstä laitteelle, joten kaikki, mikä sinulla on yritystason kannalta, pysyy samassa säilytystilassa."

Tämä on erityisen hyödyllistä poistettaessa verkkoon pääsy työntekijälle, joka on poistunut yrityksestä.

Rajoittaminen

Yrityksenä saatat joutua kysyä itseltäsi, kuinka paljon tietoa työntekijät tarvitsevat tiettyyn aikaan. Sähköpostien ja kalenterien käyttöoikeuden myöntäminen voi olla tehokasta, mutta tarvitsevatko kaikki pääsyä taloudellisiin tietoihin? Sinun on harkittava, kuinka pitkälle sinun täytyy mennä.

"Jossain vaiheessa voit päättää, että tietyille työntekijöille emme aio antaa heidän käyttää omia laitteitaan verkossa", Melnik sanoi. "Joten esimerkiksi sinulla on johtoryhmä, jolla on pääsy kaikkiin yrityksen taloudellisiin tietoihin, voit päättää, että tietyissä rooleissa olevien ihmisten kannalta ei ole tarkoituksenmukaista käyttää omaa laitetta, koska sen hallitseminen on liian vaikeaa ja riskit ovat liian korkeat ja se on OK tehdä niin. "

Kaikki riippuu kyseessä olevan tietotekniikan arvosta.

Toistettavat laitteet

Et voi vain avata tuloportteja mille tahansa laitteelle. Tee luettelo laitteista, joita BYOD-käytäntösi ja IT-tiimisi tukevat. Tämä voi tarkoittaa henkilöstön rajoittamista tiettyyn käyttöjärjestelmään tai laitteisiin, jotka vastaavat turvallisuuteen liittyviä ongelmia. Harkitse henkilöstön kyselyä siitä, kiinnostavatko he BYODia ja mitä laitteita he käyttäisivät.

FocusYou-yrityksen William D. Pitney -yrityksellä on pieni kahden hengen henkilöstö taloudellisessa suunnittelutoimistossaan, ja he ovat kaikki siirtyneet iPhoneen, kun he ovat aiemmin käyttäneet Android-, iOS- ja Blackberry-yhdistelmää.

"Ennen siirtymistä iOS: iin se oli haastavampaa. Koska kaikki päättivät siirtyä Applelle, se on helpottanut tietoturvan hallintaa", hän sanoi. "Lisäksi keskustelemme kerran kuukaudessa iOS-päivityksistä, sovellusten ja muiden suojausprotokollien asentamisesta."

Etäpyyhintä

Toukokuussa 2014 Kalifornian senaatti hyväksyi lainsäädännön, joka tekee kaikista osavaltiossa myytävistä puhelimista pakollisia "tappamaan kytkimiä" ja mahdollisuuden poistaa varastettuja puhelimia. BYOD-käytäntöjen tulee noudattaa esimerkkiä, mutta IT-tiimisi tarvitsee valmiudet tehdä niin.

"Jos sinun on löydettävä iPhonesi … se tapahtuu melkein heti GPS-tason kvadrantin avulla ja voit periaatteessa pyyhkiä laitteen etäyhteydellä, jos kadotat sen. Sama asia koskee yrityksen laitetta. Voit periaatteessa poistaa yrityksen säilön laite ", Lee sanoi.

Tämän erityisen käytännön haaste on, että omistajalla on velvollisuus ilmoittaa, kun hänen laite puuttuu. Se vie meidät seuraavaan kohtaan …

Turvallisuus ja kulttuuri

Yksi BYOD: n suurimmista eduista on, että työntekijät käyttävät laitteita, joista he ovat tyytyväisiä. Työntekijät voivat kuitenkin joutua huonoihin tapoihin ja lopulta pidättää tietoturvatietoja, koska ne eivät paljasta ongelmia ajoissa.

Yritykset eivät voi hypätä BYODiin mansetista. Mahdolliset säästöt rahalla ovat houkuttelevia, mutta mahdolliset turvallisuuskatastrofit ovat paljon pahempia. Jos yrityksesi on kiinnostunut BYOD: n käytöstä, pilottiohjelman toteuttaminen on parempi kuin ensin sukellus.

Aivan kuten FocusYou: n kuukausittaisissa kokouksissa, yritysten tulisi säännöllisesti tarkistaa, mikä toimii ja mikä ei, varsinkin kun kaikki tietovuodot ovat yrityksen vastuu, ei työntekijän vastuu. "Yleensä se on yritys, joka on vastuussa", Melnik sanoo, vaikka kyseessä olisi kyseinen henkilökohtainen laite.

Ainoa puolustus, joka yrityksellä voi olla, on "vilpillinen työntekijän puolustus", jossa työntekijä toimi selvästi heidän roolinsa ulkopuolella. "Jälleen kerran, jos toimit politiikan ulkopuolella, sinulla on oltava politiikka voimassa", Melnik sanoo. "Se ei toimi, jos sitä koskevaa politiikkaa ei ole ja sitä ei kouluteta eikä ole merkkejä siitä, että työntekijä olisi tietoinen kyseisestä politiikasta."

Siksi yrityksellä tulisi olla tietosuojarikkomusvakuutukset. "Se tapa, jolla rikkomuksia tapahtuu koko ajan, on vaarallista, että yrityksillä ei ole politiikkaa", lisää Melnik. (Lisätietoja BYOD Securityn kolmesta avainkomponentista.)

Politiikan kodifiointi

Iynky Maheswaran, Australian Macquarie Telecom -yrityksen matkaviestinliiketoiminnan johtaja ja raportin nimeltä "Miten luodaan BYOD-käytäntö", rohkaisee ennakkosuunnittelua sekä oikeudellisesta näkökulmasta että teknisestä näkökulmasta. Tämä tuo meidät takaisin oikean joukkueen saamiseen.

Melnik vahvistaa, että on oltava allekirjoitettu työnantajan ja työntekijän välinen sopimus politiikkojen noudattamisen varmistamiseksi. Hänen mukaansa "heidän on oltava selvästi sanottu, että heidän laitteensa on vaihdettava oikeudenkäynnin yhteydessä, että he aikovat antaa laitteen käyttöön, että he käyttävät laitetta politiikan mukaisesti, jossa kaikki nämä tekijät tunnustetaan allekirjoitetussa asiakirjassa. "

Tällainen sopimus varmuuskopioi politiikkaasi ja antaa heille paljon enemmän painoa ja suojaa.