Inhoudsopgave:
- Het juiste team
- Versleuteling en sandboxing
- Toegang beperken
- The Devices at Play
- Wissen op afstand
- Veiligheid en cultuur
- Codificatie van het beleid
Breng uw eigen apparaat (BYOD) -praktijken zijn in opkomst; tegen 2017 zal de helft van de werknemers van het bedrijf hun eigen apparaten leveren, aldus Gartner.
Het uitrollen van een BYOD-programma is niet eenvoudig en de beveiligingsrisico's zijn zeer reëel, maar het instellen van een beveiligingsbeleid betekent op de lange termijn potentieel voor kostenbesparingen en productiviteitsverhoging. Hier zijn zeven dingen waarmee u rekening moet houden bij het opstellen van een BYOD-beveiligingsbeleid. (Meer informatie over BYOD in 5 dingen die u moet weten over BYOD.)
Het juiste team
Voordat u regels voor BYOD op de werkplek instelt, hebt u het juiste team nodig om het beleid op te stellen.
"Wat ik heb gezien, is dat iemand van HR het beleid opstelt, maar ze begrijpen de technische vereisten niet, dus het beleid weerspiegelt niet wat de bedrijven doen", zegt Tatiana Melnik, een advocaat in Florida, gespecialiseerd in gegevensprivacy en veiligheid.
Het beleid moet de bedrijfspraktijken weerspiegelen en iemand met een technologische achtergrond moet de redactie leiden, terwijl vertegenwoordigers van juridisch en HR advies en suggesties kunnen geven.
"Een bedrijf moet overwegen of ze aanvullende voorwaarden en richtlijnen in het beleid moeten toevoegen, bijvoorbeeld met betrekking tot het gebruik van wifi en het toestaan van familieleden en vrienden om de telefoon te gebruiken, " zei Melnik. "Sommige bedrijven kiezen ervoor om het soort apps dat kan worden geïnstalleerd te beperken en als ze het apparaat van de werknemer inschrijven voor een beheerprogramma voor mobiele apparaten, vermelden ze die vereisten."
Versleuteling en sandboxing
Het eerste essentiële tandwiel voor elk BYOD-beveiligingsbeleid is codering en sandboxing van de gegevens. Versleuteling en het omzetten van de gegevens in code beveiligt het apparaat en zijn communicatie. Door een mobiel apparaatbeheerprogramma te gebruiken, kan uw bedrijf apparaatgegevens segmenteren in twee verschillende kanten, zakelijk en persoonlijk, en voorkomen dat ze zich vermengen, legt Nicholas Lee uit, senior directeur van eindgebruikersdiensten bij Fujitsu America, die BYOD-beleid leidde bij Fujitsu.
"Je kunt het zien als een container, " zegt hij. "Je hebt de mogelijkheid om kopiëren en plakken te blokkeren en gegevens van die container naar het apparaat over te brengen, dus alles wat je zakelijk hebt, blijft in die ene container."
Dit is met name handig voor het verwijderen van netwerktoegang voor een medewerker die het bedrijf heeft verlaten.
Toegang beperken
Als bedrijf moet u zich misschien afvragen hoeveel informatie werknemers op een bepaald tijdstip nodig hebben. Het toestaan van toegang tot e-mails en agenda's kan efficiënt zijn, maar heeft iedereen toegang nodig tot financiële informatie? Je moet overwegen hoe ver je moet gaan.
"Op een gegeven moment kun je besluiten dat we voor bepaalde werknemers niet toestaan dat ze hun eigen apparaten op het netwerk gebruiken, " zei Melnik. "Dus je hebt bijvoorbeeld een directieteam dat toegang heeft tot alle financiële gegevens van bedrijven, je kunt besluiten dat het voor mensen in bepaalde rollen niet gepast is om hun eigen apparaat te gebruiken, omdat het te moeilijk is om het te beheersen en de risico's zijn te hoog en dat is OK om dat te doen. "
Dit hangt allemaal af van de waarde van de IT die op het spel staat.
The Devices at Play
Je kunt niet gewoon de sluizen openen voor alle apparaten. Maak een shortlist van apparaten die uw BYOD-beleid en IT-team zullen ondersteunen. Dit kan betekenen dat het personeel wordt beperkt tot een bepaald besturingssysteem of apparaten die voldoen aan uw beveiligingsproblemen. Overweeg om uw personeel te peilen of ze geïnteresseerd zijn in BYOD en welke apparaten ze zouden gebruiken.
William D. Pitney van FocusYou heeft een kleine staf van twee bij zijn bedrijf voor financiële planning en ze zijn allemaal naar de iPhone gemigreerd, waarbij ze eerder een combinatie van Android, iOS en Blackberry hadden gebruikt.
"Voordat ik naar iOS migreerde, was het uitdagender. Omdat iedereen ervoor koos om naar Apple te migreren, is het beheer van de beveiliging veel eenvoudiger geworden, " zei hij. "Daarnaast bespreken we eens per maand iOS-updates, het installeren van apps en andere beveiligingsprotocollen."
Wissen op afstand
In mei 2014 keurde de senaat van Californië wetgeving goed die "kill-switches" - en de mogelijkheid om gestolen telefoons uit te schakelen - verplicht maakt op alle telefoons die in de staat worden verkocht. BYOD-beleid moet volgen, maar uw IT-team heeft daarvoor de mogelijkheden nodig.
"Als u uw iPhone moet vinden … het is bijna onmiddellijk met het kwadrant op GPS-niveau en u kunt het apparaat in principe op afstand wissen als u het verliest. Hetzelfde geldt voor een bedrijfsapparaat. U kunt in feite de bedrijfscontainer verwijderen uit het apparaat, "zei Lee.
De uitdaging met dit specifieke beleid is dat het aan de eigenaar is om te melden wanneer hun apparaat ontbreekt. Dat brengt ons bij ons volgende punt …
Veiligheid en cultuur
Een van de grote voordelen van BYOD is dat werknemers een apparaat gebruiken waar ze zich prettig bij voelen. Medewerkers kunnen echter in slechte gewoonten vervallen en kunnen beveiligingsinformatie achterhouden door problemen niet tijdig bekend te maken.
Bedrijven kunnen niet van de manchet naar BYOD springen. De potentiële besparingen zijn aantrekkelijk, maar de mogelijke beveiligingsrampen zijn veel erger. Als uw bedrijf geïnteresseerd is in het gebruik van BYOD, is het uitrollen van een pilotprogramma beter dan eerst duiken.
Net als de maandelijkse vergaderingen van FocusYou, moeten bedrijven regelmatig controleren wat werkt en wat niet, vooral omdat een datalek de verantwoordelijkheid van het bedrijf is en niet van de werknemer. "Over het algemeen zal het het bedrijf zijn dat verantwoordelijk is", zegt Melnik, zelfs als het om een persoonlijk apparaat gaat.
De enige verdediging die een bedrijf kan hebben, is een 'malafide werknemersverdediging', waarbij de werknemer duidelijk buiten het kader van zijn rol handelde. "Nogmaals, als je buiten het beleid handelt, moet je een beleid hebben", zegt Melnik. "Dat zal niet werken als er geen beleid en geen training over dat beleid is en geen indicatie dat de werknemer op de hoogte was van dat beleid."
Dit is de reden waarom een bedrijf een datalekverzekering moet hebben. "De manier waarop er voortdurend inbreuken plaatsvinden, is voor bedrijven riskant om geen beleid te hebben", voegt Melnik toe. (Meer informatie in de 3 belangrijkste componenten van BYOD-beveiliging.)
Codificatie van het beleid
Iynky Maheswaran, hoofd van mobiel zakendoen bij Macquarie Telecom in Australië, en auteur van een rapport met de titel "Hoe een BYOD-beleid te maken", moedigt voorafgaande planning aan vanuit zowel juridisch als technologisch perspectief. Dit brengt ons terug bij het hebben van het juiste team.
Melnik bevestigt opnieuw de noodzaak van een ondertekende werkgevers- / werknemersovereenkomst om ervoor te zorgen dat het beleid wordt nageleefd. Ze zegt dat het 'duidelijk voor hen moet zijn geformuleerd dat hun apparaat moet worden omgedraaid in het geval van een rechtszaak, dat ze het apparaat beschikbaar zullen stellen, dat ze het apparaat zullen gebruiken in overeenstemming met het beleid, waar al deze factoren worden erkend in een ondertekend document. "
Een dergelijke overeenkomst ondersteunt uw beleid en geeft ze veel meer gewicht en bescherming.