Sommario:
- La squadra giusta
- Crittografia e sandbox
- Limitare l'accesso
- I dispositivi in gioco
- Pulizia remota
- Sicurezza e cultura
- Codificare la politica
Porta le pratiche del tuo dispositivo (BYOD) in aumento; entro il 2017, secondo Gartner, metà dei dipendenti aziendali fornirà i propri dispositivi.
La realizzazione di un programma BYOD non è facile e i rischi per la sicurezza sono molto reali, ma mettere in atto una politica di sicurezza significherà il potenziale per ridurre i costi e aumentare la produttività nel lungo periodo. Ecco sette cose da considerare quando si redige una politica di sicurezza BYOD. (Ulteriori informazioni su BYOD in 5 cose da sapere su BYOD.)
La squadra giusta
Prima di stabilire regole gentili per BYOD sul posto di lavoro, è necessario il team giusto per elaborare le politiche.
"Quello che ho visto è che qualcuno delle risorse umane redigerà la politica, ma non capisce i requisiti tecnici, quindi la politica non riflette ciò che fanno le aziende", afferma Tatiana Melnik, un avvocato in Florida specializzato nella privacy dei dati e sicurezza.
La politica dovrebbe riflettere le pratiche aziendali e qualcuno con un background tecnologico deve guidare la stesura, mentre i rappresentanti legali e delle risorse umane possono offrire consigli e suggerimenti.
"Una società dovrebbe prendere in considerazione la necessità, ad esempio, di aggiungere ulteriori termini e linee guida nella politica, relativa all'utilizzo del Wi-Fi e che consente a familiari e amici di utilizzare il telefono", ha affermato Melnik. "Alcune aziende scelgono di limitare il tipo di app che possono essere installate e se registrano il dispositivo del dipendente in un programma di gestione dei dispositivi mobili, elencheranno tali requisiti."
Crittografia e sandbox
Il primo ingranaggio fondamentale per qualsiasi politica di sicurezza BYOD è la crittografia e il sandbox dei dati. La crittografia e la conversione dei dati in codice proteggeranno il dispositivo e le sue comunicazioni. Utilizzando un programma di gestione dei dispositivi mobili, la tua azienda può segmentare i dati dei dispositivi in due parti distinte, aziendale e personale, e impedire che si mescolino, spiega Nicholas Lee, direttore senior dei servizi per gli utenti finali di Fujitsu America, che ha guidato le politiche BYOD presso Fujitsu.
"Puoi pensarlo come un contenitore", dice. "Hai la possibilità di bloccare il copia e incolla e il trasferimento di dati da quel contenitore al dispositivo, quindi tutto ciò che hai in ambito aziendale rimarrà all'interno di quel singolo contenitore."
Ciò è particolarmente utile per rimuovere l'accesso alla rete per un dipendente che ha lasciato l'azienda.
Limitare l'accesso
Come azienda, potresti doverti chiedere quante informazioni i dipendenti avranno bisogno in un determinato momento. Consentire l'accesso a e-mail e calendari può essere efficiente, ma tutti devono accedere alle informazioni finanziarie? Devi considerare fino a che punto devi andare.
"Ad un certo punto, potresti decidere che per alcuni dipendenti, non permetteremo loro di utilizzare i propri dispositivi sulla rete", ha detto Melnik. "Quindi, ad esempio, hai un team esecutivo che ha accesso a tutti i dati finanziari aziendali, puoi decidere che per le persone in determinati ruoli, non è appropriato per loro utilizzare il proprio dispositivo perché è troppo difficile controllarlo e i rischi sono troppo alti e va bene farlo. "
Tutto dipende dal valore dell'IT in gioco.
I dispositivi in gioco
Non puoi semplicemente aprire le porte a tutti i dispositivi. Crea un elenco di dispositivi supportati dalla tua politica BYOD e dal team IT. Ciò può significare limitare il personale a un determinato sistema operativo o dispositivi che soddisfano i tuoi problemi di sicurezza. Prendi in considerazione il polling del tuo personale per sapere se sono interessati a BYOD e quali dispositivi utilizzerebbero.
William D. Pitney di FocusYou ha un piccolo staff di due nella sua società di pianificazione finanziaria e sono tutti migrati su iPhone, avendo precedentemente utilizzato un mix di Android, iOS e Blackberry.
"Prima di migrare su iOS, è stato più difficile. Dato che tutti hanno scelto di migrare su Apple, ha reso la gestione della sicurezza molto più semplice", ha affermato. "Inoltre, una volta al mese discutiamo di aggiornamenti iOS, installazione di app e altri protocolli di sicurezza."
Pulizia remota
Nel maggio 2014, il senato della California ha approvato la legislazione che renderà obbligatori "kill switch" - e la possibilità di disabilitare i telefoni rubati - obbligatoria su tutti i telefoni venduti nello stato. Le politiche BYOD dovrebbero seguire l'esempio, ma il tuo team IT avrà bisogno delle capacità per farlo.
"Se hai bisogno di trovare il tuo iPhone … è quasi istantaneo con il quadrante di livello GPS e puoi sostanzialmente cancellare il dispositivo da remoto se lo perdi. Lo stesso vale per un dispositivo aziendale. Puoi sostanzialmente rimuovere il contenitore aziendale da il dispositivo ", ha detto Lee.
La sfida con questa particolare politica è che spetta al proprietario segnalare quando manca il proprio dispositivo. Questo ci porta al prossimo punto …
Sicurezza e cultura
Uno dei principali vantaggi di BYOD è che i dipendenti utilizzano un dispositivo con cui sono a proprio agio. Tuttavia, i dipendenti possono cadere in cattive abitudini e possono finire per trattenere informazioni sulla sicurezza non divulgando i problemi in modo tempestivo.
Le aziende non possono saltare a BYOD dal bracciale. I potenziali risparmi in denaro sono allettanti, ma i possibili disastri di sicurezza sono molto peggiori. Se la tua azienda è interessata all'utilizzo di BYOD, implementare un programma pilota è meglio che immergersi in prima persona.
Proprio come le riunioni mensili di FocusYou, le aziende dovrebbero controllare regolarmente cosa funziona e cosa no, soprattutto perché qualsiasi perdita di dati è responsabilità dell'azienda, non di quella dei dipendenti. "In genere sarà la società responsabile", afferma Melnik, anche se si tratta di un dispositivo personale in questione.
L'unica difesa che una società può avere è una "difesa da personale disonesto", in cui il dipendente agiva chiaramente al di fuori del proprio ruolo. "Ancora una volta, se agisci al di fuori della politica, allora devi avere una politica in atto", afferma Melnik. "Ciò non funzionerà se non esiste una politica e nessuna formazione su tale politica e nessuna indicazione che il dipendente fosse a conoscenza di tale politica."
Questo è il motivo per cui un'azienda dovrebbe avere polizze assicurative sulla violazione dei dati. "Il modo in cui si verificano continuamente violazioni, è rischioso per le aziende non adottare una politica", aggiunge Melnik. (Ulteriori informazioni in I 3 componenti chiave della sicurezza BYOD.)
Codificare la politica
Iynky Maheswaran, responsabile del settore mobile presso la Macquarie Telecom in Australia, e autore di un rapporto intitolato "Come creare una politica BYOD", incoraggia la pianificazione anticipata da un punto di vista legale e tecnologico. Questo ci riporta ad avere la squadra giusta.
Melnik ribadisce la necessità di sottoscrivere un accordo datore di lavoro / dipendente per garantire il rispetto delle politiche. Dice che deve essere "chiaramente articolato per loro che il loro dispositivo deve essere capovolto in caso di controversia, che renderanno disponibile il dispositivo, che useranno il dispositivo in conformità con la politica, dove tutti questi fattori sono riconosciuti in un documento firmato. "
Un tale accordo supporterà le vostre politiche e darà loro molto più peso e protezione.
