Acasă Securitate 7 puncte de luat în considerare la elaborarea unei politici de securitate

7 puncte de luat în considerare la elaborarea unei politici de securitate

Cuprins:

Anonim

Aduceți propriul dispozitiv (BYOD) practicile sunt în creștere; până în 2017, jumătate dintre angajații de afaceri vor asigura propriile dispozitive, potrivit Gartner.


Elaborarea unui program BYOD nu este ușoară, iar riscurile de securitate sunt foarte reale, însă instituirea unei politici de securitate va însemna potențialul de reducere a costurilor și creșterea productivității pe termen lung. Iată șapte lucruri pe care trebuie să le luați în considerare atunci când redactați o politică de securitate BYOD. (Aflați mai multe despre BYOD în 5 lucruri de știut despre BYOD.)

Echipa potrivită

Înainte de a stabili orice reguli pentru BYOD la locul de muncă, aveți nevoie de echipa potrivită pentru a redacta politicile.


"Ceea ce am văzut este că cineva de la HR va redacta politica, dar nu înțeleg cerințele tehnice, deci politica nu reflectă ceea ce fac companiile", spune Tatiana Melnik, avocată din Florida specializată în confidențialitatea datelor și securitate.


Politica ar trebui să reflecte practicile întreprinderii, iar cineva cu pregătire tehnologică trebuie să conducă redactarea, în timp ce reprezentanții din domeniul juridic și al resurselor umane pot oferi sfaturi și sugestii.


"O companie ar trebui să ia în considerare dacă trebuie să adauge termeni și îndrumări suplimentare în cadrul politicii, de exemplu, referitoare la utilizarea Wi-Fi-ului și să permită membrilor familiei și prietenilor să utilizeze telefonul", a spus Melnik. "Unele companii aleg să limiteze tipul de aplicații care pot fi instalate și dacă înscriu dispozitivul angajatului într-un program de gestionare a dispozitivelor mobile, vor enumera aceste cerințe."

Criptare și Sandboxing

Primul cog vital al oricărei politici de securitate BYOD este criptarea și introducerea prin sablon a datelor. Criptarea și transformarea datelor în cod va asigura dispozitivul și comunicațiile sale. Utilizând un program de gestionare a dispozitivelor mobile, afacerea dvs. poate segmenta datele dispozitivului în două părți distincte, de afaceri și personale, și să le împiedice să se amestece, explică Nicholas Lee, director principal al serviciilor utilizatorilor finali la Fujitsu America, care a condus politicile BYOD la Fujitsu.


„Vă puteți gândi la el ca la un container”, spune el. „Aveți capacitatea de a bloca copierea și lipirea și transferul de date din acel container către dispozitiv, așa că tot ceea ce aveți care este înțelept corporativ va rămâne în acel singur container”.


Acest lucru este util în special pentru eliminarea accesului la rețea pentru un angajat care a părăsit compania.

Limitarea accesului

Ca afacere, poate fi necesar să vă întrebați cât de multe informații vor avea nevoie de angajați la un anumit moment. Permiterea accesului la e-mailuri și calendare poate fi eficientă, dar toată lumea are nevoie de acces la informații financiare? Trebuie să luați în considerare cât de departe trebuie să ajungeți.


"La un moment dat, puteți decide că pentru anumiți angajați, nu vom permite acestora să folosească propriile dispozitive în rețea", a spus Melnik. "Deci, de exemplu, aveți o echipă executivă care are acces la toate datele financiare ale companiei, puteți decide că pentru persoanele care au anumite roluri, nu este potrivit ca aceștia să folosească propriul dispozitiv, deoarece este prea dificil să îl controlați și riscurile sunt prea înalte și este OK să faci asta. "


Totul depinde de valoarea IT-ului în joc.

Dispozitivele în joc

Nu poți doar să deschizi portierele pentru toate dispozitivele. Realizați o listă scurtă de dispozitive pe care o vor suporta politica dvs. BYOD și echipa IT. Aceasta poate însemna restricționarea personalului la un anumit sistem de operare sau dispozitive care răspund problemelor dvs. de securitate. Luați în considerare sondarea personalului dvs. dacă este interesat de BYOD și ce dispozitive ar folosi.


William D. Pitney din FocusYou are un personal mic format din doi la firma sa de planificare financiară și toți au migrat la iPhone, folosind anterior un mix de Android, iOS și Blackberry.


"Înainte de a migra la iOS, a fost mai dificil. Deoarece toată lumea a ales să migreze către Apple, a făcut ca gestionarea securității să fie mult mai ușoară", a spus el. "În plus, o dată pe lună, discutăm despre actualizări iOS, instalarea aplicațiilor și alte protocoale de securitate."

Ștergerea de la distanță

În mai 2014, senatul din California a aprobat legislația care va face „comutarea uciderilor” - și posibilitatea de a dezactiva telefoanele care au fost furate - obligatoriu pe toate telefoanele vândute în stat. Politicile BYOD ar trebui să respecte, dar echipa dvs. de IT va avea nevoie de capacități pentru a face acest lucru.


"Dacă trebuie să-ți găsești iPhone-ul … este aproape instantaneu cu cadranul la nivel GPS și, practic, poți șterge dispozitivul de la distanță dacă îl pierzi. Același lucru este valabil și pentru un dispozitiv corporativ. Practic poți elimina containerul corporativ din dispozitivul ", a spus Lee.


Provocarea cu această politică specială este aceea că onus-ul este pe proprietar să raporteze când dispozitivul lor lipsește. Asta ne aduce la următorul nostru punct …

Securitate și cultură

Unul dintre avantajele majore ale BYOD este că angajații folosesc un dispozitiv cu care sunt confortabili. Cu toate acestea, angajații pot cădea în obiceiuri proaste și pot ajunge la reținerea informațiilor de securitate prin a nu dezvălui probleme în timp util.


Întreprinderile nu pot sări la BYOD de pe manșetă. Posibilele economii de bani sunt atrăgătoare, dar posibilele catastrofe de securitate sunt mult mai grave. Dacă afacerea dvs. este interesată să folosească BYOD, derularea unui program pilot este mai bună decât să vă scufundați în cap.


La fel ca întâlnirile lunare ale FocusYou, companiile ar trebui să verifice în mod regulat ce funcționează și ce nu, mai ales că orice scurgere de date este responsabilitatea afacerii, nu a angajatului. „În general va fi compania responsabilă”, spune Melnik, chiar dacă este un dispozitiv personal în cauză.


Singura apărare pe care o poate avea o companie este o „apărare necinstită a angajaților”, în care angajatul acționa în mod clar în afara sferei rolului lor. „Din nou, dacă acționați în afara politicii, atunci trebuie să aveți o politică în vigoare”, spune Melnik. "Acest lucru nu va funcționa dacă nu există politică și nu există instruire în acea politică și nici un indiciu că angajatul era conștient de acea politică."


Acesta este motivul pentru care o companie ar trebui să aibă polițe de asigurare privind încălcarea datelor. "Modul de încălcare se întâmplă tot timpul, este riscant pentru companii să nu aibă o politică în vigoare", adaugă Melnik. (Aflați mai multe în Cele 3 componente cheie ale securității BYOD.)

Codificarea politicii

Iynky Maheswaran, șeful afacerilor mobile la Macquarie Telecom din Australia și autorul unui raport numit „Cum să creezi o politică BYOD”, încurajează planificarea în avans atât din punct de vedere juridic, cât și tehnologic. Acest lucru ne readuce la a avea echipa potrivită.


Melnik reafirmă necesitatea de a avea un acord semnat angajator / angajat pentru a asigura respectarea politicilor. Ea spune că trebuie să fie „clar precizat pentru ei că dispozitivul lor trebuie redus în caz de litigiu, că vor pune dispozitivul la dispoziție, că vor utiliza dispozitivul în conformitate cu politica, unde toți acești factori sunt recunoscuți într-un document semnat. "


Un astfel de acord va sprijini politicile dvs. și le va oferi mult mai multă greutate și protecție.

7 puncte de luat în considerare la elaborarea unei politici de securitate