Seorang karyawan memanfaatkan perangkat pribadi di meja kerjanya.

Bawa Perangkat Anda Sendiri: Tindakan Keamanan untuk Perangkat Pribadi di Tempat Kerja

Agt 2023

Beranda Blog

Setiap perusahaan yang mengizinkan karyawannya membawa ponsel, tablet, atau laptop pribadi ke tempat kerja membutuhkan kebijakan keamanan Bawa Perangkat Anda Sendiri (atau disingkat kebijakan BYOD). Hampir setiap karyawan membawa perangkat yang terhubung dengan Internet ke tempat kerja, sehingga meski perangkat tersebut tidak terhubung secara aktif ke jaringan perusahaan, tetapi masih dapat menimbulkan risiko keamanan.

Menggunakan perangkat pribadi untuk sesuatu yang tidak berbahaya seperti mengirim email kerja dapat menimbulkan kerentanan di jaringan organisasi. Organisasi baik besar maupun kecil menemukan tantangan pada masalah keamanan BYOD karena harus menerapkan kontrol tertentu terhadap ponsel dan tablet milik karyawannya. Bagaimanapun juga, 40% dari pembobolan data disebabkan oleh perangkat yang hilang atau dicuri. Namun, dalam budaya yang mementingkan kebebasan pribadi, kebijakan seperti ini dapat menghadapi perlawanan atau antipati dari karyawan. Pendekatan terbaik untuk masalah ini adalah dengan lembut, tetapi tegas.

Apa yang dapat dilakukan perusahaan untuk meningkatkan keamanan sibernya dalam kondisi seperti ini? Salah satu pilihan adalah dengan melarang BYOD sepenuhnya dan menerapkan kebijakan dengan keras. Namun, BYOD memiliki pasar global yang besar dan makin meningkat. Pasar tersebut pada 2022 diperkirakan bernilai $350 miliar. Tren bekerja dari rumah yang dipacu oleh pandemi telah mempercepat pertumbuhannya. Alternatifnya adalah dengan menitikberatkan pada praktiknya, sambil memberlakukan kebijakan dan keamanan BYOD yang logis untuk meningkatkan keamanan bagi perusahaan dan karyawan. Sebagian besar perusahaan menganggap opsi ini lebih mudah dilaksanakan dari opsi lainnya, namun bukan berarti kebijakan BYOD yang pantas tidak memerlukan upaya dan pertimbangan.

Risiko Keamanan BYOD

Secara nominal, BYOD menyebabkan berkurangnya pengeluaran perusahaan untuk perangkat keras dan perangkat lunak bagi karyawannya. Sebanyak 82% dari perusahaan mengizinkan karyawan menggunakan perangkat pribadi untuk bekerja. Sebanyak 71% dari pemberi kerja menemukan bahwa kebijakan ini membuat karyawan lebih nyaman saat menggunakan perangkatnya karena sangat terbiasa dengan ponsel pribadinya. Sebanyak 58% menemukan bahwa kebijakan ini lebih produktif. Namun, hanya 55% yang mengalami penurunan biaya karena kebijakan ini. Mengapa terjadi ketidaksesuaian ini? Kemungkinan besar penyebabnya adalah 50% dari perusahaan dengan kebijakan keamanan yang mengizinkan BYOD, secara mengejutkan, mengalami pembobolan data melalui perangkat milik karyawannya. Tidak mengherankan jika 26% dari perusahaan yang menentang penerapan kebijakan BYOD menyebutkan masalah keamanan sebagai alasan utama penolakannya.

Praktik Terbaik Keamanan BYOD

Beberapa rekan kerja menggunakan laptop, tablet, dan ponsel bersama-sama

Setiap kebijakan BYOD yang efektif akan mencakup beberapa elemen ini:

Jenis perangkat yang diizinkan
Penggunaan yang dapat diterima: apa saja aplikasi dan aset yang boleh diakses oleh karyawan dari perangkatnya?
Persyaratan minimum untuk kontrol keamanan perangkat: apa saja langkah keamanan yang akan diwajibkan oleh perusahaan bagi perangkat BYOD?
Komponen yang disediakan perusahaan: misalnya, sertifikat SSL untuk autentikasi perangkat
Hak perusahaan menyangkut modifikasi perangkat: misalnya, penghapusan dari jarak jauh dalam hal pencurian atau kehilangan perangkat.
Apa yang terjadi pada data perusahaan di perangkat karyawan yang keluar dari perusahaan?
Siapa yang memiliki aplikasi dan data pada perangkat? Apakah staf akan mendapatkan penggantian pembayaran dari perusahaan untuk biaya aplikasi atau bulanan?
Dukungan apa yang akan diberikan oleh TI kepada pemilik perangkat?

The following provisions will need to be considered by policymakers so that the best options can be delivered:

Common sense rules: a limit to personal calls and video at work, no use when driving
Maintenance and upgrades: any finalized policy should ensure that employees reliably keep devices and apps up to date
Data transfer provisions: company data should be encrypted, and password protected, and only transferred on company-mandated applications
Password provisions: password use is obviously non-negotiable in protecting sensitive information; two factor authentication may also be required

Privacy provisions: how can companies balance data protection and employee privacy with BYOD?

BYOD Security Policy

How best to go about devising coherent and secure BYOD practices? Any policy drafting of this scale should involve both employees and stakeholders. Employee input can be obtained through a survey, a great basis for planning policy. Execs, HR, IT operations, finance, and security should all be looped in and represented in a BYOD project management team. These departments have contributions to make.

Once a survey has been sent out and responses received, beneficial analyses to make include which data and apps are needed on employee devices. After introducing the completed policy, training is a vital stage of the process. Employees at all levels must be instructed on data handling protocol, device troubleshooting, procedure for lost or stolen devices, which apps to use, and anti-phishing measures, as well as broader instruction in vigilance against cyber threats.

It is widely believed that employees untrained in cybersecurity are the greatest hazard to organizational data integrity. In 2014, 87% of IT managers believed that the biggest threat to organizations were mobile devices used by careless employees. In 2020, a startling 96% of attacks on mobile devices used apps as a vector. This is because a supermajority of apps, nearly 4 in 5, embed third-party libraries that can create vulnerabilities.

Which apps should a company implementing a strong BYOD policy use? A study found that employees use five or more apps every day. Organizations should include a dedicated secure messaging platform, email, CRM, and whichever other apps they feel their employees will need. Make sure that apps which could be liabilities are explicitly off-limits.

Organizations should also have specific procedures in place for employees that leave the company, for whatever reason. When an employee leaves, an organization must ensure that all data is taken off their devices, and any access to company apps is similarly withdrawn. However, this duty presents many difficulties and is often considered reason enough to abandon BYOD policies and provide their own devices.

A policy is only as strong as the ability of a company to enforce it, which unfortunately requires that there be consequences for those who cannot abide by the policy. Any policy should have specific details concerning the tracking, measurement, and enforcement of accountability distributed so that all team members are aware. Lack of oversight is one of the major issues for BYOD implementation. Companies need enough IT support staff to get employees set up, with ongoing support and monitoring.

After systems and protocols have been secured, organizations should prioritize education for employees. If a BYOD is to succeed, impressing the importance of acceptable use and basic data security hygiene upon employees is essential.

Tiga orang terlihat dari atas sedang bekerja di sebuah meja dengan beberapa laptop, tablet, dan berkas.

Solusi Keamanan BYOD

Solusi keamanan yang harus dipertimbangkan untuk dimasukkan ke dalam kebijakan BYOD meliputi:

Enkripsi untuk data tidak bergerak dan data dalam perpindahan
Antivirus: baik yang disediakan perusahaan atau yang diwajibkan untuk diinstal oleh karyawan
Pemantauan: melacak lokasi GPS perangkat karyawan atau lalu lintas internet, dll.
Kontainerisasi: perangkat yang menerapkan segregasi data ke dalam kelompok pribadi atau keuangan dengan perlindungan kata sandi
Pelatihan praktik higiene kata sandi, termasuk persyaratan untuk diubah secara rutin
Memasukkan ke daftar hitam: memblokir atau membatasi aplikasi secara spesifik karena aplikasi tersebut berisiko terhadap keamanan operasional atau merugikan produktivitas. Langkah ini biasanya tidak dapat dilakukan pada perangkat milik karyawan kecuali dengan kontainerisasi
Memasukkan ke daftar putih: hanya mengizinkan akses ke aplikasi tertentu yang disetujui, biasanya lebih praktis untuk perangkat keras yang didistribusikan oleh organisasi
Persyaratan untuk pencadangan rutin, serta pembaruan aplikasi dan sistem operasi
Pelatihan dan pelatihan ulang secara berkala tentang cara menjaga keamanan data perusahaan terkait akses jaringan WiFi dari perangkat keras BYOD
Pembatasan akses data: untuk mencegah kebocoran data, akses data harus dikontrol dengan ketat sehingga hanya pihak yang membutuhkan akses ke kelompok data tertentu untuk pekerjaannya yang memiliki akses tersebut dari perangkat pribadinya

Alat pemantauan untuk lokasi data dan pola akses data, untuk mendeteksi perilaku yang mencurigakan seperti akses dari lokasi yang tidak aman atau mencurigakan (misalnya, Korea Utara).

Salah satu metode untuk meningkatkan keamanan sistem BYOD adalah membagikan Flash drive USB terenkripsi dan SSD terenkripsi kepada karyawan. Metode ini lebih ekonomis daripada menyediakan ponsel atau tablet untuk seluruh pekerja, dan jauh lebih terus terang daripada melakukan kontainerisasi pada setiap perangkat yang dibawa oleh pekerja ke tempat kerja. Data yang disimpan pada berbagai perangkat terenkripsi ini jauh lebih terlindungi daripada yang disimpan pada perangkat biasa. Dengan kualitas enkripsi yang memadai, pencuri yang berhasil memperoleh drive terenkripsi tidak akan bisa melanjutkan untuk mengakses data yang dilindungi.

#KingstonIsWithYou #KingstonIronKey

Kingston IronKey Vault Privacy 80 SSD Eksternal
Enkripsi XTS-AES 256-bit

USB 3.2 Gen 1

960GB, 1920GB, 3840GB, 7680GB

Kecepatan baca hingga 250MB/dtk, kecepatan tulis hingga 250MB/dtk
Pelajari lebih Beli
USB Flash Drive terenkripsi Perangkat Keras Kingston IronKey D500S
Keamanan tingkat militer FIPS 140-3 Level 3 (Dalam Proses)

Enkripsi perangkat keras XTS-AES 256-bit

USB 3.2 Gen 1

8GB, 16GB, 32GB, 64GB, 128GB, 256GB, 512GB

Baca hingga 310MB/dtk, tulis hingga 250MB/dtk
Pelajari lebih Beli
Flash Drive USB Seri Kingston IronKey Keypad 200
Keamanan tingkat militer FIPS 140-3 Level 3 (Dalam Proses)

Enkripsi perangkat keras XTS-AES 256-bit

Tersedia dalam USB Type-A and Type-C

Tidak Tergantung OS/Perangkat

8GB, 16GB, 32GB, 64GB, 128GB, 256GB, 512GB

Baca hingga 280MB/dtk, tulis hingga 200MB/dtk
Pelajari lebih Beli
Kingston IronKey Vault Privacy 50 Seri
Keamanan tingkat Perusahaan

Enkripsi perangkat keras XTS-AES 256-bit

Tersedia dalam USB Type-A and Type-C

USB 3.2 Gen 1

8GB, 16GB, 32GB, 64GB, 128GB, 256GB, 512GB

Baca hingga 310MB/dtk, tulis hingga 250MB/dtk
Pelajari lebih Beli
Flash Drive USB Kingston IronKey Locker+ 50
Keamanan tingkat konsumen

Enkripsi-perangkat keras XTS-AES

Backup Otomatis Cloud Pribadi

USB 3.2 Gen 1

16GB, 32GB, 64GB, 128GB, 256GB

Hingga 145MB/dtk baca, 115MB/dtk tulis
Pelajari lebih Beli
Flash Drive USB Terenkripsi Kingston IronKey S1000
Cryptochip bawaan

USB 3.1 Gen 1 (USB 3.0)

4GB, 8GB, 16GB, 32GB, 64GB, 128GB

Kecepatan Baca hingga 320MB/dtk, Kecepatan Tulis hingga 350MB/dtk

Keamanan kata sandi kompleks atau frasa sandi
Pelajari lebih Beli