7 điểm cần xem xét khi soạn thảo chính sách bảo mật BYOD

Tác Giả: Eugene Taylor
Ngày Sáng TạO: 10 Tháng Tám 2021
CậP NhậT Ngày Tháng: 22 Tháng Sáu 2024
Anonim
7 điểm cần xem xét khi soạn thảo chính sách bảo mật BYOD - Công Nghệ
7 điểm cần xem xét khi soạn thảo chính sách bảo mật BYOD - Công Nghệ

NộI Dung



Nguồn: Sue Harper / Dreamstime.com

Lấy đi:

Mang theo thiết bị của riêng bạn có thể mang lại lợi ích lớn cho doanh nghiệp của bạn, nhưng rủi ro bảo mật rất phong phú và các chính sách chặt chẽ là rất quan trọng.

Mang theo các thiết bị của riêng bạn (BYOD) đang gia tăng; vào năm 2017, một nửa nhân viên kinh doanh sẽ cung cấp các thiết bị của riêng họ, theo Gartner.

Việc triển khai chương trình BYOD không dễ dàng và các rủi ro bảo mật là rất thực tế, nhưng việc áp dụng chính sách bảo mật sẽ có nghĩa là tiềm năng cắt giảm chi phí và tăng năng suất trong thời gian dài. Dưới đây là bảy điều bạn cần xem xét khi soạn thảo chính sách bảo mật BYOD. (Tìm hiểu thêm về BYOD trong 5 điều cần biết về BYOD.)

Đội đúng

Trước khi đặt ra bất kỳ quy tắc loại nào cho BYOD tại nơi làm việc, bạn cần có đội ngũ phù hợp để soạn thảo các chính sách.

"Những gì tôi thấy là ai đó từ HR sẽ soạn thảo chính sách, nhưng họ không hiểu các yêu cầu kỹ thuật, vì vậy chính sách không phản ánh những gì các công ty làm", Tatiana Melnik, một luật sư tại Florida chuyên về quyền riêng tư dữ liệu và an ninh.

Chính sách này sẽ phản ánh thực tiễn của các doanh nghiệp và một người có nền tảng công nghệ cần phải lãnh đạo việc soạn thảo, trong khi các đại diện từ pháp lý và nhân sự có thể đưa ra lời khuyên và đề xuất.

"Một công ty nên xem xét nếu họ cần thêm các điều khoản và hướng dẫn bổ sung trong chính sách, ví dụ, liên quan đến việc sử dụng Wi-Fi và cho phép các thành viên gia đình và bạn bè sử dụng điện thoại", Melnik nói. "Một số công ty chọn giới hạn loại ứng dụng có thể được cài đặt và nếu họ đăng ký thiết bị nhân viên vào chương trình quản lý thiết bị di động, họ sẽ liệt kê các yêu cầu đó."

Mã hóa và Sandboxing

Các cog quan trọng đầu tiên cho bất kỳ chính sách bảo mật BYOD nào là mã hóa và sandbox dữ liệu. Mã hóa và chuyển đổi dữ liệu thành mã sẽ bảo mật thiết bị và thông tin liên lạc của thiết bị. Bằng cách sử dụng chương trình quản lý thiết bị di động, doanh nghiệp của bạn có thể phân chia dữ liệu thiết bị thành hai khía cạnh riêng biệt, kinh doanh và cá nhân và ngăn không cho chúng trộn lẫn, Nicholas Lee, giám đốc dịch vụ người dùng cuối tại Fujitsu America, người đứng đầu các chính sách của BYOD tại Fujitsu.

"Bạn có thể nghĩ về nó như một container," ông nói. "Bạn có khả năng chặn sao chép và dán và truyền dữ liệu từ thùng chứa đó sang thiết bị, vì vậy mọi thứ bạn có là thông minh của công ty sẽ nằm trong một thùng chứa đó."

Điều này đặc biệt hữu ích để loại bỏ quyền truy cập mạng cho một nhân viên đã rời khỏi công ty.

Hạn chế truy cập

Là một doanh nghiệp, bạn có thể cần phải tự hỏi mình cần bao nhiêu thông tin nhân viên tại một thời điểm nhất định. Cho phép truy cập vào s và lịch có thể hiệu quả, nhưng mọi người có cần truy cập vào thông tin tài chính không? Bạn phải xem xét bạn cần đi bao xa.

"Tại một số điểm, bạn có thể quyết định rằng đối với một số nhân viên nhất định, chúng tôi sẽ không cho phép họ sử dụng các thiết bị của riêng họ trên mạng", Melnik nói. "Vì vậy, ví dụ, bạn có một nhóm điều hành có quyền truy cập vào tất cả dữ liệu tài chính của công ty, bạn có thể quyết định rằng đối với mọi người trong một số vai trò nhất định, họ không thích hợp sử dụng thiết bị của mình vì quá khó kiểm soát và rủi ro quá cao và không sao để làm điều đó. "

Tất cả điều này phụ thuộc vào giá trị của CNTT đang bị đe dọa.

Các thiết bị tại Play

Bạn có thể chỉ cần mở lũ cho bất kỳ và tất cả các thiết bị. Tạo một danh sách ngắn các thiết bị mà chính sách BYOD và nhóm CNTT của bạn sẽ hỗ trợ. Điều này có thể có nghĩa là giới hạn nhân viên trong một hệ điều hành hoặc thiết bị nhất định đáp ứng mối quan tâm bảo mật của bạn. Xem xét việc thăm dò ý kiến ​​nhân viên của bạn về việc họ có quan tâm đến BYOD hay không và họ sẽ sử dụng thiết bị nào.

William D. Pitney của FocusYou có một đội ngũ nhỏ gồm hai nhân viên tại công ty lập kế hoạch tài chính của mình và tất cả họ đã chuyển sang iPhone, trước đây đã sử dụng kết hợp Android, iOS và Blackberry.

"Trước khi chuyển sang iOS, điều đó khó khăn hơn. Vì mọi người đều chọn chuyển sang Apple, nên nó đã giúp quản lý bảo mật dễ dàng hơn nhiều", ông nói. "Ngoài ra, mỗi tháng một lần, chúng tôi thảo luận về các bản cập nhật iOS, cài đặt ứng dụng và các giao thức bảo mật khác."

Xóa từ xa

Vào tháng 5 năm 2014, thượng viện California California đã phê chuẩn luật sẽ tạo ra "công tắc tiêu diệt" - và khả năng vô hiệu hóa điện thoại đã bị đánh cắp - bắt buộc trên tất cả các điện thoại được bán trong tiểu bang. Các chính sách của BYOD nên tuân theo, nhưng nhóm CNTT của bạn sẽ cần các khả năng để làm như vậy.

"Nếu bạn cần tìm iPhone của mình ... nó gần như ngay lập tức với góc phần tư cấp GPS và về cơ bản bạn có thể xóa thiết bị từ xa nếu bạn làm mất thiết bị. Điều tương tự cũng xảy ra với một thiết bị công ty. thiết bị, "Lee nói.

Thách thức với chính sách đặc biệt này là trách nhiệm thuộc về chủ sở hữu để báo cáo khi thiết bị của họ bị mất. Điều đó đưa chúng ta đến điểm tiếp theo ...

An ninh và văn hóa

Một trong những lợi ích chính của BYOD là nhân viên đang sử dụng một thiết bị mà họ rất thoải mái. Tuy nhiên, nhân viên có thể rơi vào những thói quen xấu và cuối cùng có thể giữ lại thông tin bảo mật bằng cách không tiết lộ các vấn đề kịp thời.

Các doanh nghiệp không thể nhảy sang BYOD. Các khoản tiết kiệm tiền tiềm năng đang hấp dẫn, nhưng thảm họa an ninh có thể tồi tệ hơn nhiều. Nếu doanh nghiệp của bạn quan tâm đến việc sử dụng BYOD, triển khai chương trình thí điểm sẽ tốt hơn là lặn đầu tiên.

Giống như các cuộc họp hàng tháng của FocusYou, các công ty nên thường xuyên kiểm tra xem những gì làm việc và những gì không có gì, đặc biệt là khi có bất kỳ rò rỉ dữ liệu nào là trách nhiệm của doanh nghiệp, chứ không phải nhân viên. Melnik nói, "Nói chung, nó sẽ là công ty chịu trách nhiệm," ngay cả khi nó là một thiết bị cá nhân.

Bảo vệ duy nhất mà một công ty có thể có là "bảo vệ nhân viên bất hảo", trong đó nhân viên rõ ràng đã hành động bên ngoài phạm vi vai trò của họ. "Một lần nữa, nếu bạn làm việc ngoài chính sách, thì bạn phải có chính sách," Melnik nói. "Điều đó đã giành được công việc của Keith nếu không có chính sách và không được đào tạo về chính sách đó và không có dấu hiệu nào cho thấy nhân viên nhận thức được chính sách đó."

Đây là lý do tại sao một công ty nên có chính sách bảo hiểm vi phạm dữ liệu. Melnik cho biết: "Cách thức vi phạm đang diễn ra mọi lúc, thật nguy hiểm khi các công ty không có chính sách tại chỗ". (Tìm hiểu thêm trong 3 Thành phần chính của BYOD Security.)

Chính sách hóa

Iynky Maheswaran, người đứng đầu doanh nghiệp di động tại Australia, Mac Macararie Telecom, đồng thời là tác giả của một báo cáo có tên "Cách tạo chính sách BYOD", khuyến khích lập kế hoạch trước từ góc độ pháp lý cũng như công nghệ. Điều này đưa chúng ta trở lại để có đội ngũ phù hợp.

Melnik tái khẳng định sự cần thiết phải có thỏa thuận sử dụng lao động / nhân viên đã ký để đảm bảo các chính sách được tuân thủ. Cô nói rằng phải "nói rõ cho họ biết rằng thiết bị của họ phải được lật lại trong trường hợp kiện tụng, rằng họ sẽ cung cấp thiết bị, rằng họ sẽ sử dụng thiết bị theo chính sách, nơi tất cả các yếu tố này được thừa nhận trong một tài liệu đã được ký kết. "

Một thỏa thuận như vậy sẽ sao lưu chính sách của bạn và cung cấp cho họ nhiều trọng lượng và bảo vệ hơn.