BYOD उस नीति को संदर्भित करता है जिसके तहत कर्मचारी कंपनी के नेटवर्क/सिस्टम तक पहुंचने के लिए अपने निजी मोबाइल उपकरणों का उपयोग कर सकते हैं। कुछ कर्मचारी अपने निजी मोबाइल उपकरण का उपयोग करना पसंद करते हैं, जिससे संगठन की प्रतिष्ठा को नुकसान पहुंचने और कानूनी कार्यवाही का खतरा पैदा हो सकता है।
कंपनियों को कार्यस्थल पर व्यक्तिगत उपकरणों के उपयोग के संबंध में एक औपचारिक नीति बनानी होगी।
ब्रिंग योर ओन डिवाइस (BYOD) इस प्रकार की नीति को संदर्भित करता है - जो यह परिभाषित करती है कि कर्मचारी कंपनी के नेटवर्क/सिस्टम तक पहुंचने के लिए किन मोबाइल उपकरणों (यदि कोई हो) का उपयोग कर सकते हैं।
BYOD पॉलिसी में क्या-क्या शामिल होना चाहिए?
कंपनियों को एक ऐसी नीति की आवश्यकता है जो यह निर्धारित करे कि कौन से उपकरण उनके नेटवर्क से कनेक्ट हो सकते हैं और कौन से नहीं। साथ ही, यह सुनिश्चित करने के लिए प्रक्रियाएं भी होनी चाहिए कि अनधिकृत उपकरण गलती से भी कनेक्ट न हो जाएं। अंत में, मोबाइल उपकरणों पर संग्रहीत व्यक्तिगत डेटा की सुरक्षा बनाए रखने के लिए उचित व्यवस्थाएं स्थापित की जानी चाहिए।
मौजूदा उपकरणों और पहुंच अधिकारों का ऑडिट
पहला कदम मौजूदा स्थिति का ऑडिट करना है। कौन से उपकरण नेटवर्क का उपयोग करते हैं, और किसलिए?
कानून क्या कहता है?
नियोक्ता (जो डेटा नियंत्रक है) के रूप में, GDPR के तहत यह दायित्व है कि वह व्यक्तिगत डेटा के अनधिकृत या गैरकानूनी प्रसंस्करण और व्यक्तिगत डेटा के आकस्मिक नुकसान या विनाश या क्षति के खिलाफ उचित तकनीकी और संगठनात्मक उपाय करे।
इस बात का बहुत अधिक खतरा है कि गोपनीय कॉर्पोरेट और ग्राहक डेटा व्यक्तिगत उपकरणों तक पहुंच सकता है - जो आमतौर पर बहुत सुरक्षित नहीं होते हैं और आसानी से खो सकते हैं, गुम हो सकते हैं या चोरी हो सकते हैं।
प्रतिष्ठा को नुकसान पहुंचने का खतरा
इस स्थिति की कल्पना कीजिए। एक कर्मचारी को एक ईमेल मिलता है जिसमें सभी ग्राहकों की संपर्क जानकारी सहित एक ईमेल अटैचमेंट होता है। कर्मचारी उस ईमेल को खोलकर अपने मोबाइल डिवाइस में सेव कर लेता है। अगर वह डिवाइस गुम हो जाता है, तो उसमें स्टोर किया गया डेटा सार्वजनिक हो सकता है, उसका दुरुपयोग हो सकता है या उसे किसी प्रतिस्पर्धी को बेचा जा सकता है। इससे भी बुरी बात यह है कि डेटा के गुम होने की सूचना सूचना आयुक्त कार्यालय को देनी होगी, साथ ही उस ईमेल सूची में शामिल प्रत्येक व्यक्ति को भी। इससे कंपनी की प्रतिष्ठा को भारी नुकसान हो सकता है और साथ ही भारी आर्थिक जुर्माना भी लग सकता है।
कौन से उपकरण स्वीकार्य हैं?
ऑडिट करने के बाद, दूसरा चरण यह तय करना है कि BYOD नीति में क्या शामिल किया जाए या क्या बाहर रखा जाए, और यह आमतौर पर डिवाइस स्तर पर किया जाता है।
- स्तर एक – शून्य-सहनशीलता
- यह सबसे तेज़, सबसे आसान और सबसे सरल समाधान हो सकता है, लेकिन जरूरी नहीं कि यह सबसे व्यावहारिक या कारगर भी हो।
- यह कुछ कर्मचारियों को कुछ कार्यों को करने में मदद करने के बजाय बाधा भी बन सकता है, जिससे नौकरी से असंतोष और मनोबल में गिरावट आ सकती है।
- इसलिए, पूर्ण प्रतिबंध लगाना उल्टा पड़ सकता है।
- मजबूत नेटवर्क सुरक्षा नियंत्रणों के बिना शून्य-सहिष्णुता नीति को नियंत्रित करना और उस पर निगरानी रखना काफी मुश्किल (और इसलिए महंगा) हो सकता है।
- स्तर दो – अनुमोदित उपकरण
- यह उपकरणों की एक निर्धारित सूची, या विशिष्ट ऑपरेटिंग सॉफ़्टवेयर वाले उपकरणों (जैसे केवल iOS उपकरण या केवल Android और Windows उपकरण) की अनुमति देता है।
- अनुमोदित डिवाइस प्रणाली से प्रबंधन और नियंत्रण आसान हो सकता है, लेकिन यदि किसी कर्मचारी का डिवाइस इसके अंतर्गत नहीं आता है तो उसे नुकसान हो सकता है। साथ ही, नए मॉडल और डिवाइस प्रतिदिन सामने आने के कारण इसका प्रबंधन करना भी कठिन हो सकता है।
- तीसरा स्तर – कोई भी उपकरण
- इससे किसी भी डिवाइस को "प्लग इन" किया जा सकता है।
- यह दृष्टिकोण शून्य-सहिष्णुता के बिल्कुल विपरीत है और किसी भी समय किसी भी उपकरण को "प्लग इन" करने की अनुमति देता है। इसके लाभ हैं: क) कर्मचारी को उपकरण संबंधी कोई प्रतिबंध नहीं होता, और ख) कंपनी को स्वीकृत उपकरणों की सूची को बार-बार अपडेट करने की आवश्यकता नहीं होती।
हालांकि, इस प्रकार के दृष्टिकोण के साथ मोबाइल डिवाइस प्रबंधन प्रणालियों जैसे मजबूत नियंत्रणों को लागू करने की आवश्यकता है।
एक वैकल्पिक विकल्प!
एक बढ़ते रुझान के तहत, कुछ कंपनियों ने अपने ग्राहकों को डिवाइस उपलब्ध कराने के पक्ष में BYOD और शून्य-सहिष्णुता नीति को छोड़ने का फैसला किया है।
कौन से आवेदन स्वीकार्य हैं?
कंपनी कुछ खास एप्लिकेशन तक पहुंच को सीमित करना चाह सकती है – आमतौर पर केवल ईमेल और इंटरनेट तक ही। पीसी या लैपटॉप के अलावा, जहां तक संभव हो, नेटवर्क और एप्लिकेशन तक पूरी पहुंच से बचना चाहिए, और वह भी केवल विश्वसनीय नेटवर्क या सुरक्षित रिमोट एक्सेस टूल के माध्यम से।
व्यावसायिक उपयोग बनाम निजी उपयोग
किसी कर्मचारी के स्वामित्व वाले BYOD उपकरणों का उपयोग व्यावसायिक और निजी दोनों उद्देश्यों के लिए किए जाने की संभावना है।
एक तरफ तो कर्मचारी को इस बात का भरोसा होना चाहिए कि कंपनी डिवाइस पर संग्रहीत व्यक्तिगत सामग्री तक नहीं पहुंचेगी या डिवाइस की निगरानी करने वाले उपकरणों का उपयोग नहीं करेगी, वहीं दूसरी तरफ कंपनी कॉर्पोरेट और ग्राहक की गोपनीय जानकारी की रक्षा करना चाहेगी जो डिवाइस पर संग्रहीत (या दिखाई दे सकती है) हो सकती है।
नियोक्ताओं को इस बात का भी ध्यान रखना चाहिए कि उपकरणों का उपयोग (निजी उद्देश्यों के लिए) न केवल कर्मचारी द्वारा, बल्कि परिवार के अन्य सदस्यों द्वारा भी किया जा सकता है।
वायरलेस सुरक्षा
नेटवर्क से डिवाइस को जोड़ने का सबसे आसान और तेज़ तरीका यह है कि कर्मचारी अपने डिवाइस का उपयोग करके वायरलेस तरीके से नेटवर्क में लॉग इन करें। कुछ कंपनियाँ कर्मचारियों को यह एहसास किए बिना ही अपनी वायरलेस कुंजी प्रकाशित कर देती हैं कि वे इस कुंजी का उपयोग व्यक्तिगत डिवाइस सहित सभी डिवाइसों पर कर रहे हैं।
डिवाइस सुरक्षा प्रदान करने का एक सामान्य तरीका वायरलेस कुंजी को बहुत मजबूत (यानी याद रखना मुश्किल) बनाना है, और इसे केवल आईटी सहायता टीम के सदस्य या किसी अन्य नामित व्यक्ति द्वारा ही डिवाइस में दर्ज करना है। इस प्रकार डिवाइस स्तर पर नियंत्रण अपेक्षाकृत आसानी से बनाए रखा जा सकता है। हालांकि, संगठन के आकार या जटिलता के आधार पर यह तरीका काफी समय लेने वाला हो सकता है।
अधिक सुदृढ़ दृष्टिकोण नेटवर्क हार्डवेयर का उपयोग करके विशिष्ट उपकरणों के लिए एक्सेस कंट्रोल सूचियाँ तैयार करेंगे, जिन्हें कनेक्ट होने से पहले व्यवसाय द्वारा पंजीकृत और अनुमोदित किया जाना आवश्यक है। इस विधि के लाभों में ऑडिटिंग और समय क्षेत्र नियंत्रण शामिल हैं, जैसे कि कार्यालय समय के दौरान वायरलेस एक्सेस को प्रतिबंधित करना।
डिवाइस पंजीकरण
नेटवर्क ऑपरेटिंग सॉफ्टवेयर (विंडोज और मैक) के अधिकांश मौजूदा संस्करणों में अंतर्निहित सुरक्षा उपकरण होते हैं जिनका उपयोग "अनुमोदित" उपकरणों की सूची बनाए रखने के लिए किया जा सकता है।
यह पंजीकरण प्रक्रिया के माध्यम से किया जाता है, ठीक उसी तरह जैसे नेटवर्क हार्डवेयर पंजीकरण होता है, जिसमें डिवाइस को नेटवर्क पर प्रस्तुत और पंजीकृत किया जाता है।
यदि कोई डिवाइस गुम हो जाता है या कोई कर्मचारी नौकरी छोड़ देता है, तो उस डिवाइस को पंजीकृत डिवाइसों की सूची से ब्लॉक/हटाया जा सकता है।
हालांकि यह दृष्टिकोण अवांछित मेहमानों को रोकने और नेटवर्क संसाधनों तक पहुंच को नियंत्रित करने में उपयोगी है, लेकिन इसका नुकसान यह है कि कनेक्टिंग डिवाइस के खो जाने या चोरी हो जाने पर नियंत्रण का अभाव रहता है।
मोबाइल डिवाइस प्रबंधन (एमडीएम) / मोबाइल एप्लिकेशन प्रबंधन (एमएएम)
डिवाइस सुरक्षा प्रदान करने का एक अधिक मजबूत तरीका एमडीएम सेवाओं का उपयोग करना है - ये सेवाएं या तो नेटवर्क ऑपरेटिंग सॉफ्टवेयर के हिस्से के रूप में प्रदान की जा सकती हैं, या यह सेवा किसी तीसरे पक्ष द्वारा प्रदान की जा सकती है।
इस प्रकार की सेवा के विभिन्न स्तर हैं, जिनमें साधारण पंजीकरण और डिवाइस रीसेट सेवाओं से लेकर व्यक्तिगत और कॉर्पोरेट डेटा की सैंडबॉक्सिंग तक शामिल हैं, जो केवल कॉर्पोरेट डेटा को अलग से मिटाने की अनुमति देगा।
यदि कर्मचारी BYOD को अपनाना चाहते हैं, तो उन्हें उपयोग में लाए जाने वाले किसी भी मोबाइल डिवाइस प्रबंधन प्रणाली के लिए सहमति/अनुमति देनी होगी।
यदि डिवाइस की निगरानी के लिए एमडीएम सॉफ्टवेयर का उपयोग किया जाता है, तो कर्मचारियों को इस बात पर सहमति/अनुमति देनी होगी कि किन गतिविधियों की निगरानी की जाती है और क्या जियो-लोकेशन का उपयोग किया जाता है या नहीं।
अंत में, कर्मचारियों को यह समझने की आवश्यकता होगी कि डिवाइस को निष्क्रिय करने की स्थिति में डिवाइस पर संग्रहीत उनके व्यक्तिगत डेटा का क्या होगा।
यह विधि अंतिम उपयोगकर्ता के दृष्टिकोण से उपयोग में आसान होने के साथ-साथ व्यावसायिक दृष्टिकोण से अत्यंत सुरक्षित भी है। व्यवसाय खोए या चोरी हुए उपकरणों का पता लगाने या दूरस्थ रूप से ब्लॉक और डेटा मिटाने जैसे कार्य भी कर सकता है।
डेटा एन्क्रिप्शन
केवल BYOD नीति से पर्याप्त सुरक्षा नहीं मिलती। सभी गोपनीय/व्यक्तिगत डेटा को एन्क्रिप्ट किया जाना चाहिए। किसी दस्तावेज़/स्प्रेडशीट को केवल पढ़ने योग्य बनाना या उसे खोलने के लिए पासवर्ड बनाना डेटा को एन्क्रिप्ट करने के बराबर नहीं है।
कंपनियों को यह आकलन करना होगा कि कौन सा व्यक्तिगत डेटा किन उपकरणों से और किन उपकरणों पर स्थानांतरित किया जा रहा है। इसके बाद, डेटा के सार्वजनिक होने की संभावना का जोखिम आकलन करें और फिर उस गोपनीय/व्यक्तिगत डेटा की सुरक्षा के लिए उपयुक्त एन्क्रिप्शन विधियों का उपयोग करें।
विचार करने योग्य अन्य मुद्दे
- डिवाइस पासवर्ड सुरक्षा – प्रत्येक BYOD डिवाइस में एक स्टार्ट-अप पासवर्ड/पिन होना चाहिए और निर्दिष्ट मिनटों तक निष्क्रिय रहने पर यह लॉक हो जाना चाहिए, या गलत पासवर्ड/पिन बार-बार दर्ज करने पर लॉक हो जाना चाहिए।
- खोए हुए उपकरण – BYOD नीति के तहत, कर्मचारी को यह जानना आवश्यक होगा कि उपकरण खो जाने की स्थिति में किससे संपर्क करना है और उपकरण का क्या होगा (अर्थात उपकरण से कौन सा डेटा मिटाया जा सकता है)।
- लागत – कंपनी व्यावसायिक उद्देश्यों के लिए उपयोग किए जाने वाले कुछ मोबाइल उपकरणों के शुल्क या खोए/चोरी हुए या क्षतिग्रस्त उपकरणों के प्रतिस्थापन की लागत का भुगतान करने के लिए सहमत हो भी सकती है और नहीं भी।
- स्वीकार्य उपयोग नीति – कंपनी यह सुनिश्चित करना चाहेगी कि कोई भी स्वीकार्य उपयोग नीति BYOD उपकरणों पर भी लागू हो।
- रूट किए गए/जेलब्रेक किए गए उपकरणों की अनुमति नहीं दी जानी चाहिए और एक सख्त नीति लागू होनी चाहिए कि BYOD के लिए सेटअप किए गए किसी भी उपकरण को बाद में रूट/जेलब्रेक न किया जाए।
- स्टोरेज मीडिया – कंपनी मेमोरी/एसडी कार्ड के संबंध में अपना दृष्टिकोण स्पष्ट करना चाह सकती है, विशेष रूप से यह कि क्या वे एन्क्रिप्टेड हैं या क्या उन पर डेटा संग्रहीत किया जा सकता है।
BYOD नीति को लागू करना
BYOD को या तो एक अलग नीति के रूप में तैयार किया जा सकता है, मौजूदा स्वीकार्य उपयोग नीति में जोड़ा जा सकता है, या मौजूदा इंटरनेट और ईमेल नीति या सोशल मीडिया नीति में जोड़ा जा सकता है।
कंपनी के उपकरण, डिफ़ॉल्ट रूप से, BYOD के दायरे में आएंगे।
जिन कर्मचारियों के पास अपने निजी उपकरण हैं, उन्हें BYOD नीति से बाहर निकलने या उसमें शामिल होने का अवसर दिया जाना चाहिए:-
- ऑप्ट-आउट - BYOD नीति के लिए साइन अप करने से इनकार करें - इस स्थिति में कर्मचारी काम के लिए किसी भी व्यक्तिगत उपकरण का उपयोग नहीं कर पाएगा।
- ऑप्ट-इन - BYOD नीति के लिए साइन-अप करने के लिए सहमति दें - इस स्थिति में उनके डिवाइस को नेटवर्क पर और यदि लागू हो, तो मोबाइल डिवाइस प्रबंधन सेवा के साथ पंजीकृत करने की आवश्यकता होगी।
BYOD नीति को परिभाषित करने और लागू करने के लिए हमारे चार आसान चरणों का सारांश देखें।
सारांश
यह महत्वपूर्ण है कि नियोक्ता (जो डेटा नियंत्रक है) व्यक्तिगत डेटा के प्रसंस्करण के संबंध में GDPR का अनुपालन करता रहे। सुरक्षा उल्लंघन की स्थिति में, नियोक्ता को यह साबित करना होगा कि किसी विशेष डिवाइस पर संग्रहीत सभी व्यक्तिगत डेटा सुरक्षित, नियंत्रित या हटा दिया गया है। BYOD नीति का होना इस उद्देश्य को पूरा करने में काफी सहायक होगा।
BYOD को परिभाषित करने और लागू करने के चार चरण
- पहला चरण – उपकरणों और उनके उपयोग का ऑडिट करें
-
- नेटवर्क पर वर्तमान में किन उपकरणों की अनुमति है?
- उनके पास कौन-कौन से पहुंच अधिकार हैं?
- वे कौन से एप्लिकेशन इस्तेमाल करते हैं?
- उन्हें कौन सा डेटा संग्रहित करना चाहिए?
- चरण दो – BYOD का स्तर
-
- कोई उपकरण नहीं
- अनुमोदित सूची
- सभी/कोई भी उपकरण
- यह परिभाषित करें कि कौन से एप्लिकेशन मोबाइल उपकरणों के लिए सुलभ हैं।
- तीसरा चरण – BYOD नीति
-
- BYOD नीति तैयार करें और लिखें।
- नेटवर्क इन्फ्रास्ट्रक्चर की सुरक्षा में उचित बदलाव करें और अतिरिक्त सेवाएं (जैसे कि एमडीएम) प्राप्त करें।
- यह तय करें कि अतिरिक्त सुरक्षा की आवश्यकता है या नहीं, जैसे कि डेटा एन्क्रिप्शन उपकरण।
- नीति को लागू करने की तिथि निर्धारित करें और सूचित करें।
- चरण चार – कार्यान्वयन तिथि
-
- सभी मौजूदा उपकरणों को हटा दें और सुनिश्चित करें कि उनमें कोई डेटा संग्रहीत न हो।
- स्वीकृत उपकरणों को पंजीकृत करें
- जिन कर्मचारियों के पास ऐसे उपकरण हैं, वे BYOD पर हस्ताक्षर करते हैं।
