Innholdsfortegnelse:
- Det rette teamet
- Kryptering og sandboksing
- Begrense tilgangen
- Enhetene på spill
- Fjerntørking
- Sikkerhet og kultur
- Kodifisering av policyen
Ta med din egen enhet (BYOD) praksis øker; innen 2017 vil halvparten av forretningsansatte levere egne enheter, ifølge Gartner.
Å rulle ut et BYOD-program er ikke lett, og sikkerhetsrisikoen er veldig reell, men å sette på plass en sikkerhetspolitikk vil bety potensialet for å kutte kostnader og øke produktiviteten i det lange løp. Her er syv ting du må tenke på når du utarbeider en BYOD sikkerhetspolitikk. (Lær mer om BYOD i 5 ting å vite om BYOD.)
Det rette teamet
Før du legger ut noen slags regler for BYOD på arbeidsplassen, trenger du riktig team for å utarbeide retningslinjene.
"Det jeg har sett er at noen fra HR vil utarbeide retningslinjene, men de forstår ikke de tekniske kravene, så politikken gjenspeiler ikke hva selskapene gjør, " sier Tatiana Melnik, en advokat i Florida som spesialiserer seg på personvern av data og sikkerhet.
Politikken skal gjenspeile virksomhetens praksis og noen med teknologisk bakgrunn trenger å lede utformingen, mens representanter fra juridisk og HR kan tilby råd og forslag.
"Et selskap bør vurdere om de trenger å legge til ytterligere vilkår og veiledning i policyen, for eksempel om bruk av Wi-Fi og la familiemedlemmer og venner bruke telefonen, " sa Melnik. "Noen selskaper velger å begrense typen apper som kan installeres, og hvis de melder inn den ansattes enhet til et administrasjonsprogram for mobilenheter, vil de liste opp disse kravene."
Kryptering og sandboksing
Den første viktige tannhjulet til enhver BYOD-sikkerhetspolicy er kryptering og sandboksing av dataene. Kryptering og konvertering av dataene til kode vil sikre enheten og kommunikasjonen. Ved å bruke et administrasjonsprogram for mobilenheter kan virksomheten din segmentere enhetsdata i to forskjellige sider, forretningsmessige og personlige, og forhindre at de blandes, forklarer Nicholas Lee, seniordirektør for sluttbrukertjenester ved Fujitsu America, som har ledet BYOD-policyer hos Fujitsu.
"Du kan tenke på det som en container, " sier han. "Du har muligheten til å blokkere kopiere og lime inn og overføre data fra den containeren til enheten, så alt du har som er bedriftsmessig vil forbli innenfor den samme containeren."
Dette er spesielt nyttig for å fjerne nettverkstilgang for en ansatt som har forlatt selskapet.
Begrense tilgangen
Som en bedrift kan det hende du må spørre deg selv hvor mye informasjon de ansatte vil trenge på et bestemt tidspunkt. Å tillate tilgang til e-post og kalendere kan være effektivt, men trenger alle tilgang til økonomisk informasjon? Du må vurdere hvor langt du trenger å gå.
"På et tidspunkt kan det hende du bestemmer at for visse ansatte ikke vil vi tillate dem å bruke sine egne enheter på nettverket, " sa Melnik. "Så for eksempel har du et utøvende team som har tilgang til all økonomisk informasjon, kan du bestemme at for folk i bestemte roller er det ikke aktuelt for dem å bruke sin egen enhet fordi det er for vanskelig å kontrollere det og risikoen er for høye og det er OK å gjøre det. "
Alt avhenger av verdien av IT som står på spill.
Enhetene på spill
Du kan ikke bare åpne flomportene for alle enheter. Lag en kort liste over enheter som din BYOD-policy og IT-teamet vil støtte. Dette kan bety å begrense personalet til et visst operativsystem eller enheter som oppfyller dine sikkerhetsproblemer. Vurder å avstemme personalet ditt om de er interessert i BYOD og hvilke enheter de vil bruke.
William D. Pitney fra FocusYou har en liten stab på to på sitt økonomiske planleggingsfirma, og de har alle migrert til iPhone, etter å ha brukt en blanding av Android, iOS og Blackberry.
"Før de migrerte til iOS, var det mer utfordrende. Siden alle valgte å migrere til Apple, har det gjort administrasjonssikkerheten mye enklere, " sa han. "I tillegg diskuterer vi iOS-oppdateringer, installerer apper og andre sikkerhetsprotokoller en gang i måneden."
Fjerntørking
I mai 2014 godkjente Californias senat lovverk som vil gjøre "drepe brytere" - og muligheten til å deaktivere telefoner som er stjålet - obligatorisk på alle telefoner som er solgt i staten. BYOD-retningslinjene skal følge etter, men IT-teamet ditt vil trenge mulighetene til å gjøre det.
"Hvis du trenger å finne din iPhone … er det nesten øyeblikkelig med GPS-nivå-kvadranten, og du kan i utgangspunktet tørke av enheten eksternt hvis du mister den. Det samme gjelder en bedriftsenhet. Du kan i utgangspunktet fjerne bedriftscontaineren fra enheten, "sa Lee.
Utfordringen med denne spesielle policyen er at brukeren plikter eieren å rapportere når enheten deres mangler. Det bringer oss til vårt neste punkt …
Sikkerhet og kultur
En av de største fordelene med BYOD er at ansatte bruker en enhet de er komfortable med. Imidlertid kan ansatte falle i dårlige vaner og kan ende opp med å holde tilbake sikkerhetsinformasjon ved ikke å avsløre problemer på en riktig måte.
Bedrifter kan ikke hoppe til BYOD av mansjetten. De potensielle sparepengene er tiltalende, men de mulige sikkerhetskatastrofene er mye verre. Hvis bedriften din er interessert i å bruke BYOD, er det bedre å rulle ut et pilotprogram enn å dykke i første omgang.
I likhet med FocusYous månedlige møter, bør selskaper jevnlig sjekke inn hva som fungerer og hva som ikke er det, spesielt ettersom all datalekkasje er virksomhetens ansvar, ikke ansattes. "Generelt vil det være selskapet som er ansvarlig, " sier Melnik, selv om det er et personlig apparat det er snakk om.
Det eneste forsvaret et selskap kan ha, er et "useriøst ansattforsvar", der den ansatte tydeligvis handlet utenfor rammen av deres rolle. "Igjen, hvis du handler utenfor politikken, må du ha en politikk på plass, " sier Melnik. "Det vil ikke fungere hvis det ikke er noen retningslinjer og ingen opplæring i retningslinjene og ingen indikasjoner på at den ansatte var klar over den politikken."
Dette er grunnen til at et selskap skal ha forsikringspolicyer for brudd på data. "Slik brudd skjer hele tiden, det er risikabelt for selskaper å ikke ha en politikk på plass, " legger Melnik til. (Lær mer i De 3 nøkkelkomponentene til BYOD Security.)
Kodifisering av policyen
Iynky Maheswaran, leder for mobilvirksomhet i Australias Macquarie Telecom, og forfatter av en rapport kalt "Hvordan lage en BYOD-policy", oppfordrer til forhåndsplanlegging fra et juridisk perspektiv så vel som en teknologisk. Dette bringer oss tilbake til å ha det rette teamet.
Melnik bekrefter behovet for å ha en signert arbeidsgiver / ansattavtale for å sikre at retningslinjene overholdes. Hun sier at det må være "tydelig formulert for dem at enheten deres må snus i tilfelle rettssaker, at de kommer til å gjøre enheten tilgjengelig, at de kommer til å bruke enheten i samsvar med retningslinjene, der alle disse faktorene erkjennes i et dokument som er signert. "
En slik avtale vil sikkerhetskopiere retningslinjene dine og gi dem mye mer vekt og beskyttelse.
