Indholdsfortegnelse:
- Det rigtige hold
- Kryptering og sandboxing
- Begrænsning af adgang
- Enhederne på spil
- Fjern aftørring
- Sikkerhed og kultur
- Kodificering af politikken
Medbring din egen enhed (BYOD) praksis er stigende; i 2017 leverer halvdelen af forretningsansatte deres egne enheder, ifølge Gartner.
At udføre et BYOD-program er ikke let, og sikkerhedsrisikoen er meget reel, men at indføre en sikkerhedspolitik vil betyde potentialet for at skære omkostninger og øge produktiviteten i det lange løb. Her er syv ting, du skal overveje, når du udarbejder en BYOD-sikkerhedspolitik. (Lær mere om BYOD på 5 ting at vide om BYOD.)
Det rigtige hold
Før du fastlægger nogen form for regler for BYOD på arbejdspladsen, har du brug for det rigtige team til at udarbejde politikkerne.
"Det, jeg har set, er, at nogen fra HR vil udarbejde politikken, men de forstår ikke de tekniske krav, så politikken afspejler ikke, hvad virksomhederne gør, " siger Tatiana Melnik, en advokat i Florida, der er specialiseret i databeskyttelse og sikkerhed.
Politikken skal afspejle virksomhedens praksis, og nogen med en teknologisk baggrund har behov for at lede udkastet, mens repræsentanter fra juridisk og HR kan tilbyde råd og forslag.
"Et firma bør overveje, om de har brug for at tilføje yderligere vilkår og vejledning i politikken, for eksempel vedrørende brug af Wi-Fi og tillade familiemedlemmer og venner at bruge telefonen, " sagde Melnik. "Nogle virksomheder vælger at begrænse den type apps, der kan installeres, og hvis de tilmelder medarbejderens enhed til et program til styring af mobilenheder, viser de disse krav."
Kryptering og sandboxing
Den første vitale tandhjul til enhver BYOD-sikkerhedspolitik er kryptering og sandboxing af dataene. Kryptering og konvertering af data til kode sikrer enheden og dens kommunikation. Ved at bruge et administrationsprogram for mobilenheder kan din virksomhed segmentere enhedsdata i to forskellige sider, forretningsmæssige og personlige, og forhindre dem i at blandes, forklarer Nicholas Lee, seniordirektør for slutbrugertjenester i Fujitsu America, der har ledet BYOD-politikker hos Fujitsu.
”Du kan tænke på det som en container, ” siger han. "Du har muligheden for at blokere kopiere og indsætte og overføre data fra den beholder til enheden, så alt hvad du har, der er virksomhedsmæssigt, forbliver inden for den ene container."
Dette er især nyttigt til at fjerne netværksadgang for en medarbejder, der har forladt virksomheden.
Begrænsning af adgang
Som virksomhed kan det være nødvendigt at spørge dig selv, hvor meget information medarbejderne har brug for på et bestemt tidspunkt. Tilladelse af adgang til e-mails og kalendere kan være effektivt, men har alle brug for adgang til økonomiske oplysninger? Du skal overveje, hvor langt du skal gå.
”På et tidspunkt kan du muligvis beslutte, at for visse ansatte vil vi ikke tillade dem at bruge deres egne enheder på netværket, ” sagde Melnik. "Så for eksempel har du et udøvende team, der har adgang til alle virksomhedsøkonomiske data. Du kan muligvis beslutte, at det for folk i bestemte roller ikke er passende for dem at bruge deres egen enhed, fordi det er for svært at kontrollere det og risikoen er for høje, og det er OK at gøre det. "
Alt dette afhænger af værdien af den it, der står på spil.
Enhederne på spil
Du kan ikke bare åbne oversvømmelsesportene til alle enheder. Lav en kort liste over enheder, som din BYOD-politik og IT-team vil støtte. Dette kan betyde, at personalet begrænses til et bestemt operativsystem eller enheder, der imødekommer dine sikkerhedsmæssige problemer. Overvej at afstemme dit personale om, hvorvidt de er interesseret i BYOD, og hvilke enheder de vil bruge.
William D. Pitney fra FocusYou har et lille personale på to på hans økonomiske planlægningsfirma, og de er alle migreret til iPhone, efter at han tidligere har brugt en blanding af Android, iOS og Blackberry.
"Før de migrerede til iOS, var det mere udfordrende. Da alle valgte at migrere til Apple, har det gjort styring af sikkerhed meget lettere, " sagde han. "Derudover diskuterer vi iOS-opdateringer, installation af apps og andre sikkerhedsprotokoller en gang om måneden."
Fjern aftørring
I maj 2014 godkendte Californiens senat lovgivning, der vil gøre "kill switches" - og muligheden for at deaktivere telefoner, der er blevet stjålet - obligatorisk på alle telefoner, der sælges i staten. BYOD-politikker skal følge efter, men dit IT-team har brug for kapaciteterne til at gøre det.
"Hvis du har brug for at finde din iPhone … er det næsten øjeblikkeligt med GPS-niveau-kvadranten, og du kan dybest set tørre enheden fjernt, hvis du mister den. Det samme gælder en virksomhedsenhed. Du kan dybest set fjerne firmabeholderen fra enheden, ”sagde Lee.
Udfordringen med denne særlige politik er, at brugeren er på ejeren til at rapportere, når deres enhed mangler. Det bringer os til vores næste punkt …
Sikkerhed og kultur
En af de største fordele ved BYOD er, at medarbejderne bruger en enhed, de har det godt med. Imidlertid kan medarbejdere falde i dårlige vaner og kan ende med at tilbageholde sikkerhedsoplysninger ved ikke at videregive problemer rettidigt.
Virksomheder kan ikke hoppe til BYOD fra manchetten. De potentielle pengebesparelser er tiltalende, men de mulige sikkerhedskatastrofer er meget værre. Hvis din virksomhed er interesseret i at bruge BYOD, er det bedre at udføre et pilotprogram end at dykke i hovedet.
Ligesom FocusYous månedlige møder, bør virksomheder regelmæssigt tjekke, hvad der fungerer, og hvad der ikke er, især da enhver datalækage er virksomhedens ansvar, ikke medarbejderens. "Generelt vil det være det firma, der er ansvarlig, " siger Melnik, selvom det er et personligt anliggende, der er tale om.
Det eneste forsvar, som et selskab måtte have, er et "useriøst medarbejderforsvar", hvor medarbejderen tydeligvis handlede uden for deres rolle. "Igen, hvis du handler uden for politikken, skal du have en politik på plads, " siger Melnik. "Det fungerer ikke, hvis der ikke er nogen politik og ingen træning i denne politik og ingen indikation af, at medarbejderen var opmærksom på denne politik."
Dette er grunden til, at et selskab skal have forsikringspolitikker for dataovertrædelse. "Den måde, brud sker, hele tiden, det er risikabelt for virksomhederne ikke at have en politik på plads, " tilføjer Melnik. (Lær mere i De 3 nøglekomponenter i BYOD-sikkerhed.)
Kodificering af politikken
Iynky Maheswaran, leder af mobilforretning hos Australiens Macquarie Telecom, og forfatter af en rapport kaldet "Sådan opretter du en BYOD-politik", tilskynder til forudgående planlægning fra et juridisk perspektiv såvel som en teknologisk. Dette bringer os tilbage til at have det rigtige team.
Melnik bekræfter behovet for at have en underskrevet arbejdsgiver / medarbejderaftale for at sikre, at politikker overholdes. Hun siger, at det skal være "klart formuleret for dem, at deres enhed skal vendes i tilfælde af retssager, at de vil stille enheden til rådighed, at de vil bruge enheden i overensstemmelse med politikken, hvor alle disse faktorer anerkendes i et dokument, der er underskrevet. "
En sådan aftale vil sikkerhedskopiere dine politikker og give dem meget mere vægt og beskyttelse.