Przynieś własne urządzenie

Firmy muszą mieć formalną politykę dotyczącą korzystania z urządzeń prywatnych w pracy.

BYOD (ang. Bring Your Own Device) to określenie tego typu polityki, która określa, z których urządzeń mobilnych (jeśli w ogóle) pracownicy mogą korzystać w celu uzyskania dostępu do sieci/systemów firmowych.

Co powinna obejmować polityka BYOD?

Firmy potrzebują polityki określającej, które urządzenia mogą lub nie mogą być podłączone do sieci. Będą również potrzebować procedur, które zapewnią, że urządzenia niezatwierdzone nigdy nie zostaną „przypadkowo” podłączone. Wreszcie, konieczne jest wdrożenie odpowiednich mechanizmów zapewniających bezpieczeństwo danych osobowych, które mogą być przechowywane na urządzeniach mobilnych.

Audyt istniejących urządzeń i praw dostępu

Pierwszym krokiem jest przeprowadzenie audytu aktualnej sytuacji. Które urządzenia korzystają z sieci i w jakim celu?

Co mówi prawo?

Jako pracodawca (będący Administratorem Danych) na mocy RODO jesteśmy zobowiązani do podjęcia odpowiednich środków technicznych i organizacyjnych zapobiegających nieautoryzowanemu lub niezgodnemu z prawem przetwarzaniu danych osobowych oraz przypadkowej utracie, zniszczeniu lub uszkodzeniu danych osobowych.

Istnieje duże ryzyko, że poufne dane korporacyjne i klientów mogą przedostać się na urządzenia osobiste, które zazwyczaj nie są zbyt bezpieczne i można je łatwo zgubić, zgubić lub ukraść.

Ryzyko utraty reputacji

Wyobraź sobie taką sytuację. Pracownik otrzymuje e-mail z załącznikiem zawierającym listę mailingową wszystkich klientów i ich dane kontaktowe, który otwiera i zapisuje na swoim urządzeniu mobilnym. Jeśli urządzenie zniknie, przechowywane na nim dane mogą przedostać się do domeny publicznej, zostać wykorzystane niezgodnie z przeznaczeniem lub sprzedane konkurencji. Co gorsza, Biuro Komisarza ds. Informacji (ICC) będzie musiało zostać powiadomione o utracie danych, podobnie jak każda osoba z listy mailingowej. Może to spowodować poważne szkody wizerunkowe, a także wysoką karę finansową.

Które urządzenia są akceptowane?

Po przeprowadzeniu audytu drugim etapem jest decyzja, co uwzględnić, a co wykluczyć z polityki BYOD. Zazwyczaj odbywa się to na poziomie urządzenia.

Poziom pierwszy – zero tolerancji

Może to być najszybsze, najłatwiejsze i najprostsze rozwiązanie, ale niekoniecznie najbardziej praktyczna czy uniwersalna opcja.

Może to również utrudniać, a nie ułatwiać, niektórym pracownikom wykonywanie określonych zadań, co może prowadzić do niezadowolenia z pracy i obniżenia morale.

Dlatego też całkowity zakaz mógłby okazać się nieskuteczny.

Kontrola i egzekwowanie polityki zerowej tolerancji może być również trudne (a zatem kosztowne) bez solidnych mechanizmów kontroli bezpieczeństwa sieci.

Poziom drugi – urządzenia zatwierdzone

Umożliwia to utworzenie określonej listy urządzeń lub urządzeń z określonym oprogramowaniem operacyjnym (np. tylko urządzenia z systemem iOS lub tylko urządzenia z systemem Android i Windows).

Zatwierdzone podejście do urządzeń może ułatwić zarządzanie i kontrolę dostępu, ale może narazić niektórych pracowników na straty, jeśli ich urządzenie nie będzie objęte ochroną. Może być również trudne w zarządzaniu, ponieważ codziennie pojawiają się nowe modele i urządzenia.

Poziom trzeci – dowolne urządzenie

Dzięki temu możliwe jest „podłączenie” dowolnego urządzenia.

To podejście jest całkowicie odwrotne od zasady zerowej tolerancji i pozwala na „podłączenie” dowolnego urządzenia w dowolnym momencie. Korzyści są następujące: a) dla pracownika, który nie jest ograniczony przez urządzenie, oraz b) dla firmy, która nie musi na bieżąco aktualizować listy zatwierdzonych urządzeń.

Jednak w przypadku tego typu podejścia konieczne jest wdrożenie solidnych mechanizmów kontroli, takich jak systemy zarządzania urządzeniami mobilnymi.

Alternatywna opcja!

Coraz więcej firm decyduje się na odejście od BYOD i wprowadzenie polityki zerowej tolerancji wobec takich praktyk na rzecz zapewnienia pracownikom urządzeń mobilnych.

Które wnioski są akceptowane?

Firma może chcieć ograniczyć dostęp do niektórych aplikacji – najczęściej tylko do poczty e-mail i dostępu do internetu. W miarę możliwości należy unikać pełnego dostępu do sieci i aplikacji, z wyjątkiem komputerów stacjonarnych lub laptopów, a także wyłącznie za pośrednictwem zaufanych sieci lub bezpiecznych narzędzi dostępu zdalnego.

Użytek biznesowy a prywatny

Urządzenia BYOD będące własnością pracowników będą prawdopodobnie wykorzystywane zarówno do celów służbowych, jak i prywatnych.

Z jednej strony pracownik musi mieć pewność, że firma nie uzyska dostępu do osobistych materiałów przechowywanych na urządzeniu ani nie skorzysta z narzędzi do monitorowania urządzenia, z drugiej strony firma będzie chciała chronić poufne informacje korporacyjne i klientów, które również mogą być przechowywane (lub widoczne) na urządzeniu.

Pracodawcy muszą mieć świadomość, że urządzenia mogą być wykorzystywane (do celów prywatnych) nie tylko przez pracownika, ale także przez innych członków rodziny.

Bezpieczeństwo bezprzewodowe

Najprostszym i najszybszym sposobem podłączenia urządzeń do sieci jest bezprzewodowe logowanie się pracowników za pomocą ich urządzeń. Niektóre firmy udostępniają pracownikom swój klucz bezprzewodowy, nie zdając sobie sprawy, że używają go na wszystkich urządzeniach, w tym na urządzeniach prywatnych.

Powszechną metodą zapewnienia bezpieczeństwa urządzeń jest użycie bardzo silnego (tj. trudnego do zapamiętania) klucza bezprzewodowego, który może być wprowadzany do urządzenia wyłącznie przez członka zespołu wsparcia IT lub inną wyznaczoną osobę. W ten sposób kontrola na poziomie urządzenia może być stosunkowo łatwa. Jednak takie podejście może być bardzo czasochłonne, w zależności od wielkości i złożoności organizacji.

Bardziej zaawansowane metody wykorzystują sprzęt sieciowy do tworzenia list kontroli dostępu dla określonych urządzeń, które muszą zostać najpierw zarejestrowane, a tym samym zatwierdzone przez firmę, zanim będą mogły się połączyć. Zalety tej metody pozwalają na audyt i kontrolę stref czasowych, np. ograniczenie dostępu bezprzewodowego do godzin pracy.

Rejestracja urządzenia

Większość obecnych wersji oprogramowania sieciowego (Windows i Mac) ma wbudowane narzędzia zabezpieczające, które można wykorzystać do prowadzenia listy „zatwierdzonych” urządzeń.

Odbywa się to poprzez proces rejestracji podobny do rejestracji sprzętu sieciowego, po czym urządzenie zostaje zaprezentowane i zarejestrowane w sieci.

Jeśli urządzenie zostanie zgubione lub pracownik odejdzie, urządzenie może zostać zablokowane lub usunięte z listy zarejestrowanych urządzeń.

Choć takie podejście jest przydatne w blokowaniu nieproszonych gości i kontrolowaniu dostępu do zasobów sieciowych, jego wadą jest brak kontroli w przypadku zgubienia lub kradzieży urządzenia łączącego się.

Zarządzanie urządzeniami mobilnymi (MDM) / Zarządzanie aplikacjami mobilnymi (MAM)

Skuteczniejszym sposobem zapewnienia bezpieczeństwa urządzeń jest korzystanie z usług MDM – mogą one być dostarczane jako część oprogramowania operacyjnego sieci lub też usługa ta może być świadczona przez podmiot zewnętrzny.

Usługi tego typu oferują różne poziomy – od prostych usług rejestracji i resetowania urządzenia, po izolowanie danych osobowych i firmowych, co pozwala na oddzielne czyszczenie wyłącznie danych firmowych.

Pracownicy będą musieli wyrazić zgodę na wybór systemu zarządzania urządzeniami mobilnymi, jeśli zechcą wdrożyć BYOD.

Pracownicy muszą również wyrazić zgodę na to, czy oprogramowanie MDM będzie wykorzystywane do monitorowania urządzenia, jakie działania będą monitorowane oraz czy będzie wykorzystywana geolokalizacja.

Na koniec pracownicy będą musieli zrozumieć, co stanie się z ich danymi osobowymi zapisanymi na urządzeniu w przypadku jego wyłączenia.

Ta metoda ma wszystkie zalety: jest łatwa w użyciu z perspektywy użytkownika końcowego, a jednocześnie bardzo bezpieczna z perspektywy biznesowej. Firma może również wykonywać operacje takie jak lokalizowanie urządzeń w przypadku ich zgubienia lub kradzieży, a także zdalne blokowanie i czyszczenie danych.

Szyfrowanie danych

Sama polityka BYOD nie zapewnia wystarczających zabezpieczeń. Wszystkie poufne/osobiste dane muszą być szyfrowane. Samo ustawienie dokumentu/arkusza kalkulacyjnego jako tylko do odczytu lub utworzenie hasła do jego otwarcia nie jest równoznaczne z szyfrowaniem danych.

Firmy muszą ocenić, jakie dane osobowe są przesyłane z i na jakie urządzenia. Następnie należy przeprowadzić ocenę ryzyka przedostania się danych do domeny publicznej i zastosować odpowiednie metody szyfrowania w celu ochrony tych poufnych/osobowych danych.

Inne kwestie do rozważenia

• ochrona urządzenia hasłem – każde urządzenie BYOD musi mieć hasło startowe/kod PIN i powinno się zablokować, jeśli nie będzie aktywne przez określoną liczbę minut lub jeśli zostanie wprowadzone nieprawidłowe hasło/kod PIN przez określoną liczbę prób
• zgubione urządzenia – zgodnie z polityką BYOD pracownik będzie musiał wiedzieć, z kim się skontaktować i co stanie się z urządzeniem w przypadku jego zgubienia (tj. jakie dane mogą zostać usunięte z urządzenia)
• koszt – firma może lub nie zgodzić się na zapłacenie niektórych opłat za urządzenia mobilne lub kosztów wymiany zgubionych/skradzionych lub uszkodzonych urządzeń wykorzystywanych w celach biznesowych
• polityka akceptowalnego użytkowania – firma będzie chciała mieć pewność, że polityka akceptowalnego użytkowania będzie miała zastosowanie również do urządzeń BYOD
• nie należy zezwalać na urządzenia zrootowane/z jailbreakiem, a także należy wdrożyć rygorystyczną politykę, aby żadne urządzenie skonfigurowane pod kątem BYOD nie było następnie rootowane/z jailbreakiem
• nośniki danych – firma może chcieć określić podejście w odniesieniu do kart pamięci/SD, w szczególności czy są one szyfrowane lub czy można na nich przechowywać dane

Wdrażanie polityki BYOD

BYOD można sformułować jako osobną politykę, dodać do istniejącej polityki akceptowalnego użytkowania lub do istniejącej polityki dotyczącej Internetu i poczty e-mail lub mediów społecznościowych.

Urządzenia firmowe domyślnie będą objęte BYOD.

Pracownicy posiadający własne urządzenia osobiste powinni mieć możliwość wyrażenia zgody lub rezygnacji z polityki BYOD:

• rezygnacja – odmowa zapisania się do polityki BYOD – w takim przypadku pracownik nie będzie mógł korzystać z żadnych urządzeń osobistych w pracy
• opt-in – zgoda na przystąpienie do polityki BYOD – w takim przypadku urządzenie będzie musiało zostać zarejestrowane w sieci, a także, jeśli ma to zastosowanie, w usłudze zarządzania urządzeniami mobilnymi.

Zobacz nasze podsumowanie czterech prostych kroków definiowania i wdrażania polityki BYOD.

Streszczenie

Ważne jest, aby pracodawca (będący administratorem danych) przestrzegał przepisów RODO w zakresie przetwarzania danych osobowych. W przypadku naruszenia bezpieczeństwa pracodawca musi być w stanie wykazać, że wszystkie dane osobowe przechowywane na danym urządzeniu są zabezpieczone, kontrolowane lub usunięte. Posiadanie polityki BYOD w znacznym stopniu przyczyni się do osiągnięcia tego celu.

Cztery kroki do zdefiniowania i wdrożenia BYOD

Krok pierwszy – audyt urządzeń i ich wykorzystania

• Jakie urządzenia mogą obecnie korzystać z sieci?
• Jakie mają prawa dostępu?
• Z jakich aplikacji korzystają?
• Jakie dane powinni przechowywać?

Krok drugi – poziom BYOD

1. brak urządzeń
2. zatwierdzona lista
3. wszystkie/dowolne urządzenia
4. określić, które aplikacje są dostępne dla urządzeń mobilnych.

Krok trzeci – polityka BYOD

• Sformułuj i zapisz politykę BYOD.
• Wprowadź odpowiednie zmiany w zabezpieczeniach infrastruktury sieciowej i zamów wszelkie dodatkowe usługi (takie jak MDM)
• Zdecyduj, czy potrzebne są dodatkowe zabezpieczenia, np. narzędzia do szyfrowania danych
• Określ i przekaż datę wdrożenia polityki

Krok czwarty – data wdrożenia

• Odłącz wszystkie obecne urządzenia i upewnij się, że nie przechowują one danych.
• Zarejestruj zatwierdzone urządzenia
• Pracownicy posiadający takie urządzenia podpisują się pod BYOD.

INFORMACJE KONTAKTOWE

E: info@facadecreations.co.uk

T: +44 (0) 116 289 3343