BYOD, çalışanların şirket ağlarına/sistemlerine erişmek için kendi kişisel mobil cihazlarını kullanmalarına olanak tanıyan politikayı ifade eder. Bazı çalışanlar kendi kişisel mobil cihazlarını kullanmayı tercih edebilir; bu da kuruluşu itibar kaybı ve yasal işlemler riskiyle karşı karşıya bırakabilir.
Şirketlerin, iş yerinde kişisel cihazların kullanımıyla ilgili resmi bir politikaya sahip olmaları gerekmektedir.
Kendi Cihazını Getir (BYOD), çalışanların şirket ağlarına/sistemlerine erişmek için hangi mobil cihazları (varsa) kullanabileceğini tanımlayan bu tür bir politikayı ifade eder.
BYOD (Kendi Cihazını Getir) sigorta poliçesi neleri kapsamalıdır?
Şirketlerin, ağlarına bağlanabilecek veya bağlanamayacak cihazları belirleyen bir politikaya ihtiyaçları vardır. Ayrıca, onaylanmamış cihazların asla 'kazara' bağlanmamasını sağlayacak prosedürlere de ihtiyaç duyacaklardır. Son olarak, mobil cihazlarda saklanabilecek kişisel verilerin güvenliğini sağlamak için uygun mekanizmalar oluşturulmalıdır.
Mevcut cihazların ve erişim haklarının denetimi
İlk adım, mevcut durumun denetimini gerçekleştirmektir. Hangi cihazlar ağı kullanıyor ve ne amaçla?
Kanun ne diyor?
İşveren olarak (Veri Sorumlusu sıfatıyla), GDPR kapsamında kişisel verilerin yetkisiz veya yasa dışı işlenmesine ve kişisel verilerin kaz accidental kaybına, yok olmasına veya zarar görmesine karşı uygun teknik ve organizasyonel önlemler alma yükümlülüğünüz bulunmaktadır.
Gizli kurumsal ve müşteri verilerinin kişisel cihazlara sızma riski oldukça yüksektir; bu cihazlar genellikle çok güvenli değildir ve kolayca kaybolabilir, yanlış yere konulabilir veya çalınabilir.
İtibar kaybı riskleri
Şöyle bir senaryo düşünün: Bir çalışan, tüm müşterilerinin ve iletişim bilgilerinin yer aldığı bir posta listesi içeren bir e-posta alıyor, dosyayı açıp mobil cihazına kaydediyor. Eğer bu cihaz kaybolursa, üzerinde depolanan veriler kamuya açık hale gelebilir, kötüye kullanılabilir veya bir rakibe satılabilir. Daha da kötüsü, veri kaybı konusunda Bilgi Komiserliği Ofisi'ne ve posta listesindeki her bireye bildirimde bulunulması gerekecektir. Bu durum, büyük itibar kaybına ve büyük bir mali cezaya yol açabilir.
Hangi cihazlar kabul edilebilir?
Denetim işlemi tamamlandıktan sonra, ikinci aşama BYOD politikasına nelerin dahil edileceğine veya hariç tutulacağına karar vermektir ve bu genellikle cihaz düzeyinde yapılır.
- Seviye bir – sıfır tolerans
- Bu, en hızlı, en kolay ve en basit çözüm olabilir, ancak mutlaka en pragmatik veya pratik çözüm olmayabilir.
- Bu durum, bazı çalışanların belirli görevleri yerine getirmelerine yardımcı olmaktan ziyade engelleyici bir etkiye de sahip olabilir; bu da iş tatminsizliğine ve moral bozukluğuna yol açabilir.
- Dolayısıyla, tamamen yasaklamak ters tepebilir.
- Güçlü ağ güvenliği kontrolleri olmadan sıfır tolerans politikasını kontrol etmek ve denetlemek oldukça zor (ve dolayısıyla pahalı) olabilir.
- İkinci seviye – onaylı cihazlar
- Bu, belirli bir cihaz listesinin veya belirli işletim sistemine sahip cihazların (örneğin yalnızca iOS cihazları veya yalnızca Android ve Windows cihazları) kullanımına olanak tanır.
- Onaylı cihaz yaklaşımı, erişimi yönetmeyi ve kontrol etmeyi kolaylaştırabilir, ancak cihazları kapsama alanı dışında kalan bazı çalışanları dezavantajlı duruma düşürebilir. Ayrıca, her gün yeni modeller ve cihazlar ortaya çıktığı için yönetimi de zorlaşabilir.
- Üçüncü seviye – herhangi bir cihaz
- Bu, herhangi bir cihazın "takılıp bağlanmasına" olanak tanır.
- Bu yaklaşım, sıfır tolerans politikasına tamamen zıttır ve herhangi bir cihazın her an "takılmasına" olanak tanır. Avantajları şunlardır: a) Cihaz kısıtlaması olmayan çalışan için ve b) Onaylanmış cihazların listesini sürekli güncellemek zorunda olmayan şirket için.
Ancak, bu tür bir yaklaşımda mobil cihaz yönetim sistemleri gibi güçlü kontrollerin kullanılması gerekmektedir.
Alternatif bir seçenek!
Giderek artan bir eğilim olarak, bazı firmalar BYOD (Kendi Cihazını Getir) ve sıfır tolerans politikasından vazgeçerek, çalışanlarına cihaz sağlamayı tercih ediyor.
Hangi başvurular kabul edilebilir?
Şirket, belirli uygulamalara erişimi kısıtlamak isteyebilir; bu kısıtlama genellikle yalnızca e-posta ve internet erişimiyle sınırlıdır. Bilgisayarlar veya dizüstü bilgisayarlar dışında, ağlara ve uygulamalara tam erişimden mümkün olduğunca kaçınılmalıdır; bu durumda bile erişim yalnızca güvenilir ağlar veya güvenli uzaktan erişim araçları aracılığıyla sağlanabilir.
Ticari kullanım ile özel kullanım arasındaki fark
Çalışanlara ait BYOD cihazlarının hem iş hem de özel amaçlarla kullanılması muhtemeldir.
Bir yandan çalışan, şirketin cihazda saklanan kişisel bilgilere erişmeyeceğinden veya cihaz izleme araçları kullanmayacağından emin olmak zorundadır; diğer yandan şirket de cihazda saklanabilecek (veya görülebilecek) kurumsal ve müşteri gizli bilgilerini korumak isteyecektir.
İşverenler ayrıca cihazların (kişisel amaçlarla) sadece çalışan tarafından değil, diğer aile üyeleri tarafından da kullanılabileceğinin farkında olmalıdır.
Kablosuz güvenlik
Cihazların bir ağa bağlanmasının en kolay ve hızlı yolu, çalışanların cihazlarını kullanarak kablosuz olarak ağa giriş yapmalarıdır. Bazı firmalar, kablosuz ağ anahtarlarını çalışanlarına yayınlar ancak çalışanların bu anahtarı kişisel cihazlar da dahil olmak üzere tüm cihazlarda kullandıklarının farkında olmazlar.
Cihaz güvenliğini sağlamanın yaygın bir yöntemi, kablosuz şifreyi çok güçlü (yani hatırlanması zor) hale getirmek ve yalnızca BT destek ekibinin bir üyesi veya yetkilendirilmiş başka bir kişi tarafından cihaza girilmesini sağlamaktır. Böylece kontrol, cihaz düzeyinde nispeten kolay bir şekilde sağlanabilir. Ancak bu yaklaşım, kuruluşun büyüklüğüne veya karmaşıklığına bağlı olarak çok zaman alıcı olabilir.
Daha sağlam yaklaşımlar, öncelikle kayıt altına alınması ve dolayısıyla işletme tarafından onaylanması gereken belirli cihazlara karşı erişim kontrol listeleri oluşturmak için ağ donanımını kullanacaktır. Bu yöntemin avantajları arasında denetim ve zaman dilimi kontrolleri (örneğin kablosuz erişimi ofis saatleriyle sınırlandırmak) yer almaktadır.
Cihaz kaydı
Ağ işletim sistemlerinin (Windows ve Mac) en güncel sürümlerinde, "onaylanmış" cihazların listesini tutmak için kullanılabilecek yerleşik güvenlik araçları bulunur.
Bu işlem, ağ donanımı kaydına çok benzer bir şekilde, cihazın ağa tanıtılıp kaydedilmesi yoluyla gerçekleştirilir.
Bir cihaz kaybolursa veya bir çalışan işten ayrılırsa, cihaz kayıtlı cihazlar listesinden engellenebilir/kaldırılabilir.
Bu yaklaşım, istenmeyen misafirleri engellemek ve ağ kaynaklarına erişimi kontrol etmek açısından faydalı olsa da, dezavantajı bağlantı kuran bir cihazın kaybolması veya çalınması durumunda kontrolün olmamasıdır.
Mobil cihaz yönetimi (MDM) / Mobil uygulama yönetimi (MAM)
Cihaz güvenliğini sağlamanın daha sağlam bir yolu, MDM hizmetlerini kullanmaktır; bu hizmetler ağ işletim yazılımının bir parçası olarak sunulabileceği gibi, üçüncü bir tarafça da sağlanabilir.
Bu tür hizmetlerin farklı seviyeleri vardır; basit kayıt ve cihaz sıfırlama hizmetlerinden, kişisel ve kurumsal verilerin ayrı olarak silinmesine olanak tanıyan sanal ortam (sandboxing) hizmetlerine kadar uzanır.
BYOD'yi benimsemek isteyen çalışanların, kullanılan mobil cihaz yönetim sistemine onay vermeleri/kabul etmeleri gerekecektir.
Çalışanların ayrıca, cihazın izlenmesi için MDM yazılımının kullanılıp kullanılmayacağına, izlenen faaliyetlere ve coğrafi konum belirleme özelliğinin kullanılıp kullanılmayacağına onay vermeleri/rıza göstermeleri gerekmektedir.
Son olarak, çalışanların, cihazın devre dışı bırakılması durumunda cihazda saklanan kişisel verilerine ne olacağını anlamaları gerekecektir.
Bu yöntem, son kullanıcı açısından kullanım kolaylığı avantajlarına sahipken, işletme açısından da son derece güvenlidir. İşletme ayrıca, kaybolan veya çalınan cihazların yerini tespit etme veya uzaktan engelleme ve silme gibi işlemleri de gerçekleştirebilir.
Veri şifreleme
BYOD (Kendi Cihazını Getir) politikası tek başına yeterli güvenlik önlemi sağlamaz. Tüm gizli/kişisel veriler şifrelenmelidir. Bir belgeyi/elektronik tabloyu salt okunur olarak ayarlamak veya belgeyi/elektronik tabloyu açmak için parola oluşturmak, verileri şifrelemekle aynı şey değildir.
Şirketler, hangi kişisel verilerin hangi cihazlardan hangi cihazlara aktarıldığını değerlendirmelidir. Ardından, verilerin kamuya açık hale gelme olasılığını risk değerlendirmesine tabi tutmalı ve daha sonra bu gizli/kişisel verileri korumak için uygun şifreleme yöntemlerini kullanmalıdır.
Dikkate alınması gereken diğer hususlar
- Cihaz parola koruması – Her BYOD cihazının bir başlangıç parolası/PIN'i olmalı ve belirtilen süre boyunca etkin değilse veya yanlış parola/PIN girilmesi durumunda kilitlenmelidir.
- Kaybolan cihazlar – BYOD politikasının bir parçası olarak, çalışan, cihazın kaybolması durumunda kiminle iletişime geçeceğini ve cihaza ne olacağını (örneğin cihazdan hangi verilerin silinebileceğini) bilmelidir.
- Maliyet – firma, iş amaçlı kullanımda belirli mobil cihaz ücretlerini veya kayıp/çalınan veya hasar gören cihazların değiştirme maliyetini ödemeyi kabul edebilir veya etmeyebilir.
- Kabul edilebilir kullanım politikası – firma, kabul edilebilir kullanım politikasının BYOD cihazları için de geçerli olduğundan emin olmak isteyecektir.
- Rootlanmış/jailbreak yapılmış cihazlara izin verilmemeli ve BYOD için kurulan herhangi bir cihazın daha sonra rootlanmaması/jailbreak yapılmaması konusunda katı bir politika uygulanmalıdır.
- Depolama ortamları – firma, özellikle bellek/SD kartlarla ilgili olarak, bunların şifrelenip şifrelenmediği veya üzerlerine veri depolanıp depolanamayacağı konusunda yaklaşımını belirtmek isteyebilir.
BYOD politikasının uygulanması
BYOD (Kendi Cihazını Getir) politikası ayrı bir politika olarak formüle edilebilir, mevcut kabul edilebilir kullanım politikasına eklenebilir veya mevcut internet ve e-posta politikasına veya sosyal medya politikasına eklenebilir.
Şirket cihazları, varsayılan olarak BYOD (Kendi Cihazını Getir) kapsamına girecektir.
Kişisel cihazlarını kullanan çalışanlara, BYOD politikasına dahil olma veya olmama seçeneği sunulmalıdır:
- BYOD politikasına kaydolmayı reddetme - bu durumda çalışan, iş için hiçbir kişisel cihazını kullanamayacaktır.
- Katılım seçeneği – BYOD politikasına kaydolmayı kabul etmek – bu durumda cihazlarının ağa ve ayrıca, geçerliyse, bir mobil cihaz yönetim hizmetine kaydedilmesi gerekecektir.
BYOD politikasını tanımlama ve uygulama konusunda dört kolay adımı özetleyen bölümümüze göz atın.
Özet
İşverenin (Veri Sorumlusu olan tarafın) kişisel verilerin işlenmesiyle ilgili olarak GDPR'ye uyumlu kalması önemlidir. Bir güvenlik ihlali durumunda, işveren belirli bir cihazda saklanan tüm kişisel verilerin güvende olduğunu, kontrol edildiğini veya silindiğini gösterebilmelidir. BYOD (Kendi Cihazını Getir) politikasına sahip olmak bu amaca ulaşmada büyük ölçüde yardımcı olacaktır.
BYOD'u tanımlama ve uygulama için dört adım
- Birinci adım – cihazları ve kullanımını denetlemek
-
- Şu anda ağa hangi cihazların bağlanmasına izin veriliyor?
- Ne tür erişim haklarına sahipler?
- Hangi uygulamaları kullanıyorlar?
- Hangi verileri saklamalılar?
- İkinci adım – BYOD seviyesi
-
- cihaz yok
- onaylı liste
- tüm/herhangi bir cihaz
- Mobil cihazlardan hangi uygulamalara erişilebileceğini tanımlayın.
- Üçüncü adım – BYOD politikası
-
- BYOD (Kendi Cihazını Getir) politikasını formüle edin ve yazın.
- Uygun ağ altyapısı güvenlik değişikliklerini yapın ve ek hizmetler (örneğin MDM) temin edin.
- Veri şifreleme araçları gibi ek güvenlik önlemlerine ihtiyaç olup olmadığına karar verin.
- Politikanın uygulanma tarihini belirleyin ve bildirin.
- Dördüncü adım – uygulama tarihi
-
- Mevcut tüm aygıtları çıkarın ve içlerinde veri bulunmadığından emin olun.
- Onaylı cihazları kaydedin
- Bu tür cihazlara sahip olan çalışanlar BYOD (Kendi Cihazını Getir) sözleşmesini imzalarlar.
