يشير مصطلح "إحضار جهازك الخاص" (BYOD) إلى السياسة التي تسمح للموظفين باستخدام أجهزتهم المحمولة الشخصية للوصول إلى شبكات وأنظمة الشركة. قد يفضل بعض الموظفين استخدام أجهزتهم الشخصية، مما يعرض المؤسسة لخطر الإضرار بسمعتها والملاحقة القانونية.
يتعين على الشركات وضع سياسة رسمية فيما يتعلق باستخدام الأجهزة الشخصية في العمل.
يشير مصطلح "إحضار جهازك الخاص" (BYOD) إلى هذا النوع من السياسات - التي تحدد الأجهزة المحمولة (إن وجدت) التي يمكن للموظفين استخدامها للوصول إلى شبكات/أنظمة الشركة.
ما الذي يجب أن تغطيه سياسة استخدام الأجهزة الشخصية في العمل؟
تحتاج الشركات إلى سياسة تحدد الأجهزة المسموح والممنوع توصيلها بشبكتها. كما تحتاج إلى إجراءات تضمن عدم إمكانية توصيل الأجهزة غير المعتمدة "عن طريق الخطأ". وأخيرًا، يجب وضع آليات مناسبة للحفاظ على أمن البيانات الشخصية التي قد تُخزن على الأجهزة المحمولة.
تدقيق الأجهزة الحالية وحقوق الوصول
تتمثل الخطوة الأولى في إجراء تدقيق للوضع الحالي. ما هي الأجهزة التي تستخدم الشبكة، ولأي غرض؟
ماذا يقول القانون؟
بصفتنا صاحب العمل (الذي هو مراقب البيانات)، هناك التزامات بموجب اللائحة العامة لحماية البيانات (GDPR) لاتخاذ التدابير التقنية والتنظيمية المناسبة ضد المعالجة غير المصرح بها أو غير القانونية للبيانات الشخصية وضد الفقدان العرضي أو التدمير أو التلف الذي يلحق بالبيانات الشخصية.
هناك خطر كبير يتمثل في إمكانية وصول البيانات السرية للشركات والعملاء إلى الأجهزة الشخصية - والتي عادة ما تكون غير آمنة للغاية ويمكن أن تضيع بسهولة أو تضيع أو تسرق.
مخاطر الإضرار بالسمعة
تخيل هذا السيناريو: يتلقى موظف بريدًا إلكترونيًا مرفقًا به قائمة بريدية بجميع العملاء وبيانات الاتصال الخاصة بهم، فيفتحها ويحفظها على جهازه المحمول. إذا فُقد هذا الجهاز، فقد تتسرب البيانات المخزنة عليه إلى العلن، أو تُساء استخدامها، أو تُباع لمنافس. والأسوأ من ذلك، أنه سيتعين إبلاغ مكتب مفوض المعلومات بفقدان البيانات، وكذلك كل فرد في تلك القائمة البريدية. وهذا قد يُلحق ضررًا بالغًا بسمعة الشركة، فضلًا عن غرامة مالية كبيرة.
ما هي الأجهزة المقبولة؟
بعد إجراء التدقيق، تتمثل المرحلة الثانية في تحديد ما يجب تضمينه أو استبعاده من سياسة BYOD، وعادة ما يتم ذلك على مستوى الجهاز.
- المستوى الأول – عدم التسامح مطلقاً
- قد يكون هذا هو الحل الأسرع والأسهل والأبسط، ولكنه قد لا يكون بالضرورة الأكثر واقعية أو عملية.
- وقد يؤدي ذلك أيضاً إلى عرقلة بعض الموظفين بدلاً من مساعدتهم على أداء مهام معينة، مما قد يؤدي إلى عدم الرضا الوظيفي وانخفاض الروح المعنوية.
- لذا، قد يثبت الحظر التام أنه يأتي بنتائج عكسية.
- كما يمكن أن يكون من الصعب للغاية (وبالتالي مكلفًا) التحكم في سياسة عدم التسامح مطلقًا ومراقبتها دون ضوابط أمنية قوية للشبكة.
- المستوى الثاني - الأجهزة المعتمدة
- يسمح هذا بقائمة محددة من الأجهزة، أو الأجهزة التي تعمل بنظام تشغيل معين (مثل أجهزة iOS فقط أو أجهزة Android وWindows فقط).
- قد يُسهّل نظام الأجهزة المعتمدة إدارة الوصول والتحكم فيه، ولكنه قد يُلحق الضرر ببعض الموظفين إذا لم يكن جهازهم مشمولاً بالنظام. كما قد يصعب إدارته نظراً لظهور طرازات وأجهزة جديدة يومياً.
- المستوى الثالث - أي جهاز
- وهذا يسمح بتوصيل أي جهاز.
- يُخالف هذا النهج تمامًا سياسة عدم التسامح مطلقًا، إذ يسمح بتوصيل أي جهاز في أي وقت. وتتمثل مزاياه في: أ) عدم تقييد الموظف بنوع الجهاز، و ب) عدم اضطرار الشركة إلى تحديث قائمة الأجهزة المعتمدة باستمرار.
ومع ذلك، يجب استخدام ضوابط صارمة مثل أنظمة إدارة الأجهزة المحمولة مع هذا النوع من النهج.
خيار بديل!
في اتجاه متزايد، قررت بعض الشركات التخلي عن سياسة إحضار الأجهزة الشخصية إلى العمل وسياسة عدم التسامح مطلقاً، لصالح توفير الأجهزة للموظفين.
ما هي الطلبات المقبولة؟
قد ترغب الشركة في تقييد الوصول إلى تطبيقات معينة، وغالبًا ما يقتصر ذلك على البريد الإلكتروني والإنترنت فقط. وينبغي تجنب الوصول الكامل إلى الشبكات والتطبيقات قدر الإمكان، إلا من أجهزة الكمبيوتر المكتبية أو المحمولة، وعندها فقط عبر شبكات موثوقة أو أدوات وصول عن بُعد آمنة.
الاستخدام التجاري مقابل الاستخدام الخاص
من المرجح أن تُستخدم الأجهزة الشخصية التي يمتلكها الموظف لأغراض العمل والأغراض الشخصية على حد سواء.
من جهة، يجب أن يكون الموظف واثقاً من أن الشركة لن تصل إلى المواد الشخصية المخزنة على الجهاز أو تستخدم أدوات مراقبة الجهاز، بينما من جهة أخرى، سترغب الشركة في حماية المعلومات السرية للشركة والعملاء والتي قد يتم تخزينها (أو عرضها) على الجهاز.
يجب على أصحاب العمل أيضًا أن يدركوا أن الأجهزة قد تُستخدم (لأغراض شخصية) ليس فقط من قبل الموظف، ولكن أيضًا من قبل أفراد الأسرة الآخرين.
أمان لاسلكي
أسهل وأسرع طريقة لربط الأجهزة بالشبكة هي أن يستخدم الموظفون أجهزتهم لتسجيل الدخول إلى الشبكة لاسلكيًا. بعض الشركات تنشر مفتاح الشبكة اللاسلكية لموظفيها دون أن تدرك أنهم يستخدمون هذا المفتاح على جميع أجهزتهم، بما في ذلك الأجهزة الشخصية.
تتمثل إحدى الطرق الشائعة لتوفير أمان الأجهزة في جعل مفتاح الأمان اللاسلكي قويًا جدًا (أي يصعب تذكره)، ولا يُسمح بإدخاله في الجهاز إلا من قِبل أحد أعضاء فريق دعم تكنولوجيا المعلومات، أو شخص مُعيّن آخر. وبذلك، يُمكن الحفاظ على التحكم على مستوى الجهاز بسهولة نسبية. مع ذلك، قد تستغرق هذه الطريقة وقتًا طويلاً، وذلك بحسب حجم المؤسسة أو مدى تعقيدها.
ستستخدم الأساليب الأكثر فعالية أجهزة الشبكة لإنشاء قوائم تحكم بالوصول لأجهزة محددة، والتي يجب تسجيلها أولاً والحصول على موافقة الشركة قبل السماح لها بالاتصال. وتتيح مزايا هذه الطريقة إمكانية التدقيق والتحكم في المناطق الزمنية، مثل تقييد الوصول اللاسلكي خلال ساعات العمل.
تسجيل الجهاز
تحتوي معظم الإصدارات الحالية من برامج تشغيل الشبكات (ويندوز وماك) على أدوات أمان مدمجة يمكن استخدامها للحفاظ على قائمة بالأجهزة "المعتمدة".
يتم ذلك من خلال عملية تسجيل تشبه إلى حد كبير عملية تسجيل أجهزة الشبكة، حيث يتم تقديم الجهاز وتسجيله على الشبكة.
في حالة فقدان جهاز أو مغادرة أحد الموظفين، يمكن حظر/إزالة الجهاز من قائمة الأجهزة المسجلة.
على الرغم من أن هذا النهج مفيد في منع الضيوف غير المرغوب فيهم والتحكم في الوصول إلى موارد الشبكة، إلا أن عيبه هو عدم القدرة على التحكم عند فقدان أو سرقة جهاز الاتصال.
إدارة الأجهزة المحمولة (MDM) / إدارة تطبيقات الأجهزة المحمولة (MAM)
يتمثل النهج الأكثر قوة لتوفير أمان الجهاز في استخدام خدمات إدارة الأجهزة المحمولة (MDM) - ويمكن توفير هذه الخدمات إما كجزء من برنامج تشغيل الشبكة، أو يمكن توفير هذه الخدمة من قبل طرف ثالث.
هناك مستويات مختلفة من هذا النوع من الخدمات تتراوح من خدمات التسجيل البسيطة وإعادة ضبط الجهاز، إلى عزل البيانات الشخصية وبيانات الشركات، مما يسمح بمسح بيانات الشركات بشكل منفصل فقط.
سيتعين على الموظفين الموافقة على أي نظام لإدارة الأجهزة المحمولة يتم استخدامه إذا كانوا يرغبون في اعتماد سياسة إحضار الأجهزة الشخصية (BYOD).
يجب على الموظفين أيضاً الموافقة على استخدام برامج إدارة الأجهزة المحمولة لمراقبة الجهاز، والأنشطة التي تتم مراقبتها، وما إذا كان يتم استخدام تحديد الموقع الجغرافي أم لا.
وأخيراً، سيحتاج الموظفون إلى فهم ما سيحدث لبياناتهم الشخصية المخزنة على الجهاز، في حالة اضطرارهم إلى تعطيل الجهاز.
تتميز هذه الطريقة بسهولة استخدامها من وجهة نظر المستخدم النهائي، مع توفيرها مستوى عالٍ من الأمان من وجهة نظر الشركة. كما تتيح للشركة إمكانية تنفيذ عمليات مثل تحديد موقع الأجهزة في حال فقدانها أو سرقتها، أو حظرها ومسح بياناتها عن بُعد.
تشفير البيانات
لا توفر سياسة استخدام الأجهزة الشخصية في العمل وحدها ضمانات كافية. يجب تشفير جميع البيانات السرية/الشخصية. إن مجرد جعل المستند/جدول البيانات للقراءة فقط، أو إنشاء كلمة مرور لفتحه، لا يُعدّ تشفيرًا للبيانات.
يتعين على الشركات تقييم البيانات الشخصية التي يتم نقلها من وإلى أي الأجهزة. ثم إجراء تقييم للمخاطر المتعلقة باحتمالية تسريب البيانات إلى المجال العام، ثم استخدام أساليب التشفير المناسبة لحماية تلك البيانات السرية/الشخصية.
قضايا أخرى يجب مراعاتها
- حماية الجهاز بكلمة مرور - يجب أن يحتوي كل جهاز من أجهزة BYOD على كلمة مرور/رقم تعريف شخصي (PIN) عند بدء التشغيل، ويجب قفله إذا لم يكن نشطًا لعدد محدد من الدقائق، أو إذا تم إدخال كلمة مرور/رقم تعريف شخصي (PIN) غير صحيح لعدد معين من المحاولات.
- الأجهزة المفقودة - كجزء من سياسة BYOD، سيحتاج الموظف إلى معرفة من يتصل به وماذا سيحدث للجهاز في حالة فقدانه (أي ما هي البيانات التي قد يتم مسحها من الجهاز).
- التكلفة – قد توافق الشركة أو لا توافق على دفع رسوم معينة على الأجهزة المحمولة أو تكلفة استبدال الأجهزة المفقودة/المسروقة أو التالفة عند استخدامها لأغراض العمل
- سياسة الاستخدام المقبول – ستحرص الشركة على ضمان أن أي سياسة استخدام مقبول تنطبق أيضًا على أجهزة BYOD
- لا ينبغي السماح باستخدام الأجهزة التي تم عمل روت لها أو كسر حمايتها، ويجب وضع سياسة صارمة تمنع عمل روت أو كسر حماية أي جهاز تم إعداده لسياسة إحضار الأجهزة الشخصية (BYOD) لاحقاً.
- وسائط التخزين – قد ترغب الشركة في تحديد النهج المتبع فيما يتعلق ببطاقات الذاكرة/بطاقات SD، ولا سيما ما إذا كانت مشفرة أو ما إذا كان من الممكن تخزين البيانات عليها.
تطبيق سياسة إحضار الأجهزة الشخصية
يمكن صياغة سياسة BYOD إما كسياسة منفصلة، أو إضافتها إلى سياسة الاستخدام المقبول الحالية، أو إضافتها إلى سياسة الإنترنت والبريد الإلكتروني الحالية أو سياسة وسائل التواصل الاجتماعي.
ستخضع أجهزة الشركة، بشكل افتراضي، لنطاق سياسة إحضار الأجهزة الشخصية (BYOD).
ينبغي منح الموظفين الذين يمتلكون أجهزتهم الشخصية فرصة اختيار عدم الالتزام بسياسة استخدام الأجهزة الشخصية في العمل أو الالتزام بها:
- الانسحاب - رفض الاشتراك في سياسة استخدام الأجهزة الشخصية في العمل - وفي هذه الحالة لن يتمكن الموظف من استخدام أي أجهزة شخصية لأغراض العمل
- الاشتراك - الموافقة على التسجيل في سياسة BYOD - وفي هذه الحالة، سيحتاج جهازهم إلى التسجيل في الشبكة، وكذلك، إذا كان ذلك ممكناً، مع خدمة إدارة الأجهزة المحمولة.
اطلع على ملخصنا لمعرفة خطواتنا الأربع السهلة في تحديد وتنفيذ سياسة BYOD.
ملخص
من المهم أن يلتزم صاحب العمل (بصفته مراقب البيانات) بأحكام اللائحة العامة لحماية البيانات (GDPR) فيما يتعلق بمعالجة البيانات الشخصية. في حال حدوث خرق أمني، يجب أن يكون صاحب العمل قادرًا على إثبات أن جميع البيانات الشخصية المخزنة على جهاز معين مؤمنة، أو خاضعة للرقابة، أو محذوفة. إن وجود سياسة استخدام الأجهزة الشخصية في العمل (BYOD) يُسهم بشكل كبير في تحقيق هذا الهدف.
أربع خطوات لتحديد وتطبيق سياسة إحضار جهازك الخاص
- الخطوة الأولى - تدقيق الأجهزة والاستخدام
-
- ما هي الأجهزة المسموح لها حاليًا بالاتصال بالشبكة؟
- ما هي حقوق الوصول التي يتمتعون بها؟
- ما هي التطبيقات التي يستخدمونها؟
- ما هي البيانات التي ينبغي عليهم تخزينها؟
- الخطوة الثانية - مستوى استخدام الأجهزة الشخصية
-
- لا توجد أجهزة
- القائمة المعتمدة
- جميع/أي أجهزة
- حدد التطبيقات التي يمكن الوصول إليها من الأجهزة المحمولة.
- الخطوة الثالثة - سياسة إحضار جهازك الخاص
-
- صياغة وكتابة سياسة استخدام الأجهزة الشخصية في العمل.
- قم بإجراء التغييرات الأمنية المناسبة على البنية التحتية للشبكة، وقم بتوفير أي خدمات إضافية (مثل إدارة الأجهزة المحمولة).
- حدد ما إذا كانت هناك حاجة إلى إجراءات أمنية إضافية، مثل أدوات تشفير البيانات.
- حدد تاريخًا لتنفيذ السياسة وقم بإبلاغه
- الخطوة الرابعة - تاريخ التنفيذ
-
- قم بإزالة جميع الأجهزة الحالية وتأكد من أنها لا تحتوي على بيانات.
- تسجيل الأجهزة المعتمدة
- يوقع الموظفون الذين يمتلكون هذه الأجهزة على سياسة إحضار الأجهزة الشخصية (BYOD).
