Korzystanie przez pracowników z własnych urządzeń: środki bezpieczeństwa w miejscu pracy

Najlepsze metody zapewnienia bezpieczeństwa BYOD

Każda skuteczna polityka BYOD obejmuje następujące elementy:

• Dopuszczalne rodzaje urządzeń
• Dopuszczalne użycie: do jakich aplikacji i zasobów pracownicy mają dostęp ze swoich urządzeń?
• Minimalne wymagania dotyczące kontroli bezpieczeństwa urządzeń: jakich środków bezpieczeństwa będzie wymagać firma w odniesieniu do urządzeń BYOD?
• Komponenty dostarczane przez firmę: np. certyfikaty SSL do uwierzytelniania urządzeń
• Prawa firmy dotyczące modyfikacji urządzeń: np. zdalne usunięcie danych w przypadku kradzieży lub utraty urządzenia
• Co dzieje się z firmowymi danymi na urządzeniach pracowników odchodzących z firmy?
• Kto jest właścicielem aplikacji i danych na urządzeniu? Czy firma będzie zwracać pracownikom koszty zakupu aplikacji lub miesięczne opłaty?
• Jakiego wsparcia IT udzieli właścicielom urządzeń?

Osoby decydujące o kształcie polityki muszą wziąć pod uwagę następujące kwestie, aby zapewnić jej optymalny kształt:

• Zasady zdrowego rozsądku: ograniczenie prywatnych rozmów i wideopołączeń w pracy, zakaz używania podczas prowadzenia samochodu
• Konserwacja i aktualizacje: przyjęte zasady powinny gwarantować, że pracownicy będą rzetelnie aktualizować oprogramowanie urządzeń i aplikacje
• Zasady dotyczące przesyłania danych: dane firmowe powinny być zaszyfrowane i chronione hasłem oraz przesyłane wyłącznie przy użyciu aplikacji dopuszczonych przez firmę
• Zasady dotyczące haseł: ochrona poufnych informacji wymaga obowiązkowego stosowania haseł; może być także wymagane uwierzytelnianie dwuskładnikowe

Zasady dotyczące ochrony prywatności: w jaki sposób firmy mogą pogodzić ochronę danych i prywatności pracowników z BYOD?

Polityka bezpieczeństwa BYOD

Jak najlepiej opracować spójne i bezpieczne praktyki BYOD? Każdy proces kształtowania polityki na taką skalę powinien obejmować zarówno pracowników, jak i interesariuszy. Opinie pracowników można poznać, przeprowadzając ankietę, która będzie doskonałą podstawą do planowania polityki. W zespole zarządzającym projektami BYOD powinni znaleźć się przedstawiciele kierownictwa oraz działów kadr, IT, finansowego i administracji (ochrona). Działy te powinny wnieść swój wkład.

Po rozesłaniu ankiety i otrzymaniu odpowiedzi warto przeprowadzić analizę w celu określenia, jakie dane i aplikacje są niezbędne na urządzeniach pracowników. Po wdrożeniu zasad opracowanej polityki istotnym etapem procesu są szkolenia. Pracownicy wszystkich szczebli muszą zapoznać się z protokołem postępowania z danymi, rozwiązywania problemów z urządzeniami, procedurami w przypadku zgubienia lub kradzieży urządzenia itp. Powinni także dowiedzieć się, jakich używać aplikacji, jak chronić się przed phishingiem oraz jak zachowywać czujność wobec innych cyberzagrożeń.

Powszechnie uważa się, że pracownicy nieprzeszkoleni w zakresie cyberbezpieczeństwa stanowią największe zagrożenie dla integralności danych organizacji. W 2014 r. 87% menedżerów IT uważało, że największym zagrożeniem dla organizacji są urządzenia mobilne używane przez nieostrożnych pracowników. W 2020 r. aż 96% ataków na urządzenia mobilne wykorzystywało w tym celu aplikacje. Przyczyną jest to, że większość aplikacji (blisko 4 na 5) korzysta z wbudowanych bibliotek innych dostawców, które mogą tworzyć luki w zabezpieczeniach.

Z jakich aplikacji powinna korzystać firma wdrażająca skuteczną politykę BYOD? Badanie wykazało, że pracownicy używają codziennie pięciu lub więcej aplikacji. Organizacje powinny posiadać dedykowaną bezpieczną platformę do przesyłania wiadomości, pocztę e-mail, oprogramowanie CRM i wszelkie inne aplikacje, których będą potrzebować pracownicy. Należy zadbać o to, aby aplikacje, które mogą stwarzać zagrożenie, były na pewno wyłączone.

Organizacje powinny mieć również określone procedury dla pracowników, którzy z jakiegoś powodu odchodzą z firmy. Gdy pracownik odchodzi, organizacja musi upewnić się, że z jego urządzeń zostały usunięte wszystkie dane, a także cofniętego dostęp do firmowych aplikacji. Obowiązek ten nastręcza jednak wiele trudności i często jest uważany za wystarczający powód do rezygnacji z polityki BYOD i zapewnienia przez firmę własnych urządzeń.

Skuteczność przyjętych zasad zależy od zdolności firmy do ich egzekwowania, co niestety oznacza konieczność poniesienia konsekwencji przez tych, którzy nie zdołają ich przestrzegać. Każda polityka powinna obejmować szczegółowe zasady dotyczące monitorowania, pomiaru i egzekwowania odpowiedzialności, aby wszyscy członkowie zespołu byli tego świadomi. Brak nadzoru jest jednym z głównych problemów związanych z wdrażaniem polityki BYOD. Firmy potrzebują wystarczającej liczby pracowników wsparcia IT, aby skonfigurować urządzenia pracowników i zapewnić im ciągłe wsparcie i monitoring.

Po zabezpieczeniu systemów i protokołów organizacje powinny nadać priorytet edukacji pracowników. Jeśli BYOD ma się powieść, konieczne jest uświadomienie pracownikom, jak ważne jest dopuszczalne użytkowanie i jakie znaczenie ma podstawowa higiena bezpieczeństwa danych.