7 punti da considerare quando si redige una politica di sicurezza BYOD

Autore: Eugene Taylor
Data Della Creazione: 10 Agosto 2021
Data Di Aggiornamento: 22 Giugno 2024
Anonim
SEMINARIO TDC 2021 05 27
Video: SEMINARIO TDC 2021 05 27

Contenuto



Fonte: Sue Harper / Dreamstime.com

Porta via:

Portare il proprio dispositivo potrebbe apportare enormi benefici alla vostra azienda, ma i rischi per la sicurezza sono numerosi e le politiche rigorose sono di vitale importanza.

Porta le pratiche del tuo dispositivo (BYOD) in aumento; entro il 2017, secondo Gartner, metà dei dipendenti aziendali fornirà i propri dispositivi.

La realizzazione di un programma BYOD non è facile e i rischi per la sicurezza sono molto reali, ma mettere in atto una politica di sicurezza significherà il potenziale per ridurre i costi e aumentare la produttività nel lungo periodo. Ecco sette cose da considerare quando si redige una politica di sicurezza BYOD. (Ulteriori informazioni su BYOD in 5 cose da sapere su BYOD.)

La squadra giusta

Prima di stabilire regole gentili per BYOD sul posto di lavoro, è necessario il team giusto per elaborare le politiche.

"Quello che ho visto è che qualcuno delle risorse umane redigerà la politica, ma non capisce i requisiti tecnici, quindi la politica non riflette ciò che fanno le aziende", afferma Tatiana Melnik, un avvocato in Florida specializzato nella privacy dei dati e sicurezza.

La politica dovrebbe riflettere le pratiche commerciali e qualcuno con un background tecnologico deve guidare la stesura, mentre i rappresentanti legali e delle risorse umane possono offrire consigli e suggerimenti.

"Una società dovrebbe prendere in considerazione la necessità, ad esempio, di aggiungere ulteriori termini e linee guida nella politica, relativa all'utilizzo del Wi-Fi e che consenta a familiari e amici di utilizzare il telefono", ha affermato Melnik. "Alcune aziende scelgono di limitare il tipo di app che possono essere installate e se registrano il dispositivo del dipendente in un programma di gestione dei dispositivi mobili, elencheranno tali requisiti".

Crittografia e sandbox

Il primo ingranaggio fondamentale per qualsiasi politica di sicurezza BYOD è la crittografia e il sandbox dei dati. La crittografia e la conversione dei dati in codice proteggeranno il dispositivo e le sue comunicazioni. Utilizzando un programma di gestione dei dispositivi mobili, la tua azienda può segmentare i dati dei dispositivi in ​​due parti distinte, aziendale e personale, e impedire che si mescolino, spiega Nicholas Lee, direttore senior dei servizi per gli utenti finali di Fujitsu America, che ha guidato le politiche BYOD presso Fujitsu.

"Puoi pensarlo come un contenitore", dice. "Hai la possibilità di bloccare il copia e incolla e il trasferimento di dati da quel contenitore al dispositivo, quindi tutto ciò che hai in ambito aziendale rimarrà all'interno di quel singolo contenitore."

Ciò è particolarmente utile per rimuovere l'accesso alla rete per un dipendente che ha lasciato l'azienda.

Limitare l'accesso

Come azienda, potresti doverti chiedere quante informazioni i dipendenti avranno bisogno in un determinato momento. Consentire l'accesso a messaggi e calendari può essere efficiente, ma tutti hanno bisogno di accedere alle informazioni finanziarie? Devi considerare fino a che punto devi andare.

"Ad un certo punto, potresti decidere che per determinati dipendenti, non permetteremo loro di utilizzare i propri dispositivi sulla rete", ha detto Melnik. "Quindi, ad esempio, hai un team esecutivo che ha accesso a tutti i dati finanziari aziendali, puoi decidere che per le persone in determinati ruoli, non è appropriato per loro utilizzare il proprio dispositivo perché è troppo difficile controllarlo e i rischi sono troppo alti e va bene farlo. "

Tutto dipende dal valore dell'IT in gioco.

I dispositivi in ​​gioco

Non puoi semplicemente aprire le porte a tutti i dispositivi. Crea un elenco di dispositivi supportati dalla tua politica BYOD e dal team IT. Ciò può significare limitare il personale a un determinato sistema operativo o dispositivi che soddisfano i tuoi problemi di sicurezza. Prendi in considerazione il polling del tuo personale per sapere se sono interessati a BYOD e quali dispositivi utilizzerebbero.

William D. Pitney di FocusYou ha un piccolo staff di due nella sua società di pianificazione finanziaria e sono tutti migrati su iPhone, avendo precedentemente utilizzato un mix di Android, iOS e Blackberry.

"Prima di migrare su iOS, è stato più difficile. Dato che tutti hanno scelto di migrare su Apple, ha reso la gestione della sicurezza molto più semplice", ha affermato. "Inoltre, una volta al mese discutiamo di aggiornamenti iOS, installazione di app e altri protocolli di sicurezza."

Pulizia remota

Nel maggio 2014, il senato della California ha approvato la legislazione che renderà obbligatori i "kill switch" - e la possibilità di disabilitare i telefoni rubati - obbligatoria su tutti i telefoni venduti nello stato. Le politiche BYOD dovrebbero seguire l'esempio, ma il tuo team IT avrà bisogno delle capacità per farlo.

"Se hai bisogno di trovare il tuo iPhone ... è quasi istantaneo con il quadrante di livello GPS e puoi sostanzialmente cancellare il dispositivo da remoto se lo perdi. Lo stesso vale per un dispositivo aziendale. Puoi sostanzialmente rimuovere il contenitore aziendale da il dispositivo ", ha detto Lee.

La sfida con questa particolare politica è che spetta al proprietario segnalare quando manca il proprio dispositivo. Questo ci porta al prossimo punto ...

Sicurezza e cultura

Uno dei principali vantaggi di BYOD è che i dipendenti utilizzano un dispositivo con cui si sentono a proprio agio. Tuttavia, i dipendenti possono cadere in cattive abitudini e possono finire per trattenere informazioni sulla sicurezza non divulgando i problemi in modo tempestivo.

Le aziende non possono saltare a BYOD dal bracciale. I potenziali risparmi in denaro sono allettanti, ma i possibili disastri di sicurezza sono molto peggiori. Se la tua azienda è interessata all'utilizzo di BYOD, implementare un programma pilota è meglio che immergersi in testa.

Proprio come le riunioni mensili di FocusYou, le aziende dovrebbero controllare regolarmente ciò che funziona e ciò che non funziona, soprattutto perché qualsiasi perdita di dati è responsabilità dell'azienda, non dei dipendenti. "In genere sarà la società responsabile", afferma Melnik, anche se si tratta di un dispositivo personale in questione.

L'unica difesa che una società può avere è una "difesa da personale disonesto", in cui il dipendente agiva chiaramente al di fuori del proprio ruolo. "Ancora una volta, se agisci al di fuori della politica, allora devi attuare una politica", afferma Melnik. "Ciò non funzionerà se non esiste una politica e nessuna formazione su tale politica e nessuna indicazione che il dipendente fosse a conoscenza di tale politica."

Questo è il motivo per cui un'azienda dovrebbe avere polizze assicurative sulla violazione dei dati. "Il modo in cui si verificano continuamente violazioni, è rischioso per le aziende non avere una politica in atto", aggiunge Melnik. (Ulteriori informazioni in I 3 componenti chiave della sicurezza BYOD.)

Codificare la politica

Iynky Maheswaran, responsabile del settore mobile presso la Macquarie Telecom australiana e autore di un rapporto intitolato "Come creare una politica BYOD", incoraggia la pianificazione anticipata da un punto di vista legale e tecnologico. Questo ci riporta ad avere la squadra giusta.

Melnik ribadisce la necessità di sottoscrivere un accordo datore di lavoro / dipendente per garantire il rispetto delle politiche. Dice che deve essere "chiaramente articolato per loro che il loro dispositivo deve essere capovolto in caso di controversia, che renderanno disponibile il dispositivo, che useranno il dispositivo in conformità con la politica, dove tutti questi fattori sono riconosciuti in un documento firmato. "

Un tale accordo supporterà le vostre politiche e darà loro molto più peso e protezione.