ہمارا بروشر
ہمارا بروشر

اپنا آلہ لے کر آئیں

BYOD سے مراد وہ پالیسی ہے جس کے ذریعے ملازمین کمپنی کے نیٹ ورکس/سسٹم تک رسائی کے لیے اپنے ذاتی موبائل آلات استعمال کر سکتے ہیں۔ کچھ ملازمین اپنا ذاتی موبائل ڈیوائس استعمال کرنے کو ترجیح دیں گے جو تنظیم کو ساکھ کو پہنچنے والے نقصان اور قانونی کارروائی سے خطرہ میں ڈالتا ہے۔.

فرموں کو کام پر ذاتی آلات کے استعمال کے حوالے سے ایک رسمی پالیسی کی ضرورت ہوتی ہے۔.

Bry your Own Device (BYOD) سے مراد اس قسم کی پالیسی ہے – جو اس بات کی وضاحت کرتی ہے کہ کون سے موبائل آلات (اگر کوئی ہیں)، ملازمین کمپنی کے نیٹ ورکس/سسٹم تک رسائی کے لیے استعمال کر سکتے ہیں۔.

BYOD پالیسی کو کس چیز کا احاطہ کرنا چاہیے؟

فرموں کو ایسی پالیسی کی ضرورت ہوتی ہے جو ان آلات کو متعین کرتی ہے جو اس کے نیٹ ورک سے منسلک ہو سکتے ہیں یا نہیں۔ اسے یہ یقینی بنانے کے لیے طریقہ کار کی بھی ضرورت ہوگی کہ غیر منظور شدہ آلات کبھی بھی 'حادثاتی طور پر' منسلک نہیں ہوسکتے ہیں۔ آخر میں، ذاتی ڈیٹا پر حفاظت کو برقرار رکھنے کے لیے مناسب میکانزم کا ہونا ضروری ہے، جو موبائل آلات پر محفوظ کیا جا سکتا ہے۔.

موجودہ آلات اور رسائی کے حقوق کا آڈٹ

پہلا قدم موجودہ صورتحال کا آڈٹ کرنا ہے۔ کون سے آلات نیٹ ورک استعمال کرتے ہیں، اور کس کے لیے؟

قانون کیا کہتا ہے؟

آجر (جو ڈیٹا کنٹرولر ہے) کی حیثیت سے GDPR کے تحت ذاتی ڈیٹا کی غیر مجاز یا غیر قانونی کارروائی کے خلاف اور ذاتی ڈیٹا کے حادثاتی نقصان یا تباہی یا نقصان کے خلاف مناسب تکنیکی اور تنظیمی اقدامات کرنے کی ذمہ داریاں ہیں۔.

اس بات کا خطرہ بہت زیادہ ہے کہ خفیہ کارپوریٹ اور کلائنٹ کا ڈیٹا ذاتی ڈیوائسز تک پہنچ سکتا ہے – جو عام طور پر زیادہ محفوظ نہیں ہوتے ہیں اور آسانی سے کھو سکتے ہیں، یا گمراہ ہو سکتے ہیں، یا چوری ہو سکتے ہیں۔.

ساکھ کو پہنچنے والے نقصان کے خطرات

اس منظر نامے کا تصور کریں۔ ایک ملازم کو ایک اٹیچمنٹ کے ساتھ ایک ای میل موصول ہوتا ہے جس میں تمام کلائنٹس کی میلنگ لسٹ اور ان کے رابطے کی تفصیلات ہوتی ہیں، جسے وہ اپنے موبائل ڈیوائس پر کھول کر محفوظ کرتے ہیں۔ اگر وہ آلہ غائب ہوجاتا ہے تو اس پر ذخیرہ شدہ ڈیٹا عوامی ڈومین میں داخل ہوسکتا ہے، یا غلط استعمال کیا جاسکتا ہے، یا کسی مدمقابل کو فروخت کیا جاسکتا ہے۔ اس سے بدتر بات یہ ہے کہ انفارمیشن کمشنر کے دفتر کو ڈیٹا کے ضائع ہونے کے بارے میں مطلع کرنے کی ضرورت ہوگی، جیسا کہ اس میلنگ لسٹ میں شامل ہر فرد کو ہوگا۔ اس سے شہرت کو بڑے نقصان کے ساتھ ساتھ ایک بڑا مالی جرمانہ بھی ہو سکتا ہے۔.

کون سے آلات قابل قبول ہیں؟

آڈٹ کرنے کے بعد، دوسرا مرحلہ یہ فیصلہ کرنا ہے کہ BYOD پالیسی میں کیا شامل کیا جائے یا خارج کیا جائے، اور یہ عام طور پر ڈیوائس کی سطح پر کیا جاتا ہے۔.

سطح ایک - صفر رواداری
یہ سب سے تیز، آسان اور آسان حل ہو سکتا ہے، لیکن ضروری نہیں کہ یہ سب سے زیادہ عملی یا عملی ہو۔.
یہ کچھ ملازمین کو بعض کاموں کو انجام دینے میں مدد کرنے کے بجائے رکاوٹ کا باعث بھی بن سکتا ہے، جو ملازمت میں عدم اطمینان اور حوصلے کو پست کرنے کا باعث بن سکتا ہے۔.
لہٰذا، ایک صریح پابندی غیر نتیجہ خیز ثابت ہو سکتی ہے۔.
مضبوط نیٹ ورک سیکیورٹی کنٹرول کے بغیر صفر رواداری کی پالیسی کو کنٹرول کرنا اور پولیس کرنا کافی مشکل (اور اس وجہ سے مہنگا) بھی ہوسکتا ہے۔.
سطح دو - منظور شدہ آلات
یہ آلات کی ایک سیٹ فہرست کی اجازت دیتا ہے، یا مخصوص آپریٹنگ سافٹ ویئر والے آلات (جیسے صرف iOS آلات یا صرف Android اور Windows آلات)۔.
منظور شدہ ڈیوائس اپروچ رسائی کو منظم اور کنٹرول کرنا آسان بنا سکتا ہے، لیکن اگر کچھ ملازمین کے ڈیوائس کا احاطہ نہیں کیا جاتا ہے تو اس سے محروم رہ سکتا ہے۔ اس کا انتظام کرنا بھی مشکل ہو سکتا ہے، کیونکہ روزانہ کی بنیاد پر نئے ماڈل اور نئے آلات سامنے آتے ہیں۔.
سطح تین – کوئی بھی ڈیوائس
یہ کسی بھی ڈیوائس کو "پلگ ان" ہونے کی اجازت دیتا ہے۔.
یہ نقطہ نظر صفر رواداری کے بالکل برعکس ہے اور کسی بھی ڈیوائس کو کسی بھی وقت "پلگ ان" ہونے کی اجازت دیتا ہے۔ فوائد ہیں a) اس ملازم کے لیے جو ڈیوائس کے ذریعے محدود نہیں ہے، اور b) کمپنی کے لیے، جس کو منظور شدہ آلات کی فہرست کو اپ ڈیٹ کرنے کی ضرورت نہیں ہے۔.

تاہم، اس قسم کے نقطہ نظر کے ساتھ مضبوط کنٹرول جیسے کہ موبائل ڈیوائس مینجمنٹ سسٹم کو استعمال کرنے کی ضرورت ہے۔.

ایک متبادل آپشن!

بڑھتے ہوئے رجحان میں، کچھ فرموں نے BYOD کو ترک کرنے اور ملازمین کو آلات فراہم کرنے کے حق میں صفر رواداری کی پالیسی اختیار کرنے کا فیصلہ کیا ہے۔.

کون سی درخواستیں قابل قبول ہیں؟

فرم کچھ ایپلی کیشنز تک رسائی کو محدود کرنا چاہتی ہے - اکثر صرف ای میل اور انٹرنیٹ تک رسائی۔ پی سی یا لیپ ٹاپ کے علاوہ اور پھر صرف قابل اعتماد نیٹ ورکس یا محفوظ ریموٹ رسائی ٹولز کے ذریعے نیٹ ورکس اور ایپلیکیشنز تک مکمل رسائی سے گریز کیا جانا چاہیے۔.

کاروبار بمقابلہ نجی استعمال

ایک ملازم کی ملکیت والے BYOD ڈیوائسز کاروباری اور نجی دونوں مقاصد کے لیے استعمال کیے جانے کا امکان ہے۔.

ایک طرف ملازم کو یہ یقین رکھنا ہوتا ہے کہ کمپنی ڈیوائس پر محفوظ کردہ ذاتی مواد تک رسائی حاصل نہیں کرے گی یا ڈیوائس مانیٹرنگ ٹولز کا استعمال نہیں کرے گی، جب کہ دوسری طرف کمپنی کارپوریٹ اور کلائنٹ کی خفیہ معلومات کی حفاظت کرنا چاہے گی جو ڈیوائس پر محفوظ (یا نظر آنے والی) بھی ہوسکتی ہے۔.

آجروں کو اس بات سے بھی آگاہ ہونے کی ضرورت ہے کہ آلات (ذاتی مقاصد کے لیے) نہ صرف ملازم، بلکہ خاندان کے دیگر افراد بھی استعمال کر سکتے ہیں۔.

وائرلیس سیکیورٹی

آلات کو نیٹ ورک سے منسلک کرنے کا سب سے آسان اور تیز ترین طریقہ یہ ہے کہ ملازمین اپنے آلے کو کسی نیٹ ورک پر لاگ ان کرنے کے لیے استعمال کریں۔ کچھ فرمیں ملازمین کو اپنی وائرلیس کلید شائع کرتی ہیں اس بات کا احساس کیے بغیر کہ وہ ذاتی آلات سمیت تمام آلات پر کلید استعمال کر رہے ہیں۔.

ڈیوائس سیکیورٹی فراہم کرنے کا ایک عام طریقہ یہ ہے کہ وائرلیس کلید کو بہت مضبوط بنایا جائے (یعنی یاد رکھنا مشکل)، اور صرف IT سپورٹ ٹیم کے کسی رکن، یا دوسرے نامزد فرد کے ذریعے آلہ میں داخل کیا جائے۔ اس طرح آلہ کی سطح پر نسبتاً آسانی سے کنٹرول کو برقرار رکھا جا سکتا ہے۔ تاہم تنظیم کے سائز یا پیچیدگی کے لحاظ سے یہ طریقہ بہت وقت طلب ہو سکتا ہے۔.

مزید مضبوط نقطہ نظر نیٹ ورک ہارڈویئر کو مخصوص آلات کے خلاف رسائی کنٹرول فہرستیں بنانے کے لیے استعمال کریں گے جنہیں پہلے رجسٹرڈ ہونا چاہیے اور اس لیے کاروبار سے منسلک ہونے سے پہلے اس کی منظوری لینی چاہیے۔ اس طریقہ کار کے فوائد آڈیٹنگ اور ٹائم زون کنٹرولز کی اجازت دیتے ہیں جیسے کہ دفتری اوقات تک وائرلیس رسائی کو محدود کرنا۔.

ڈیوائس کی رجسٹریشن

نیٹ ورک آپریٹنگ سافٹ ویئر کے زیادہ تر موجودہ ورژن (ونڈوز اور میک) میں ان بلٹ سیکیورٹی ٹولز ہیں جو "منظور شدہ" آلات کی فہرست کو برقرار رکھنے کے لیے استعمال کیے جا سکتے ہیں۔.

یہ رجسٹریشن کے عمل کے ذریعے بالکل اسی طرح کیا جاتا ہے جیسے نیٹ ورک ہارڈویئر رجسٹریشن، جس کے تحت ڈیوائس کو نیٹ ورک پر پیش اور رجسٹر کیا جاتا ہے۔.

اگر کوئی ڈیوائس گمراہ ہو جاتی ہے یا کوئی ملازم چلا جاتا ہے، تو ڈیوائس کو رجسٹرڈ ڈیوائسز کی فہرست سے بلاک/ ہٹایا جا سکتا ہے۔.

جب کہ یہ نقطہ نظر ناپسندیدہ مہمانوں کو روکنے اور نیٹ ورک کے وسائل تک رسائی کو کنٹرول کرنے میں کارآمد ہے جب کہ رابطہ کرنے والا آلہ کھو یا چوری ہو جاتا ہے تو اس کا نقصان کنٹرول کی کمی ہے۔.

موبائل ڈیوائس مینجمنٹ (MDM) / موبائل ایپلیکیشنز مینجمنٹ (MAM)

ڈیوائس سیکیورٹی فراہم کرنے کا ایک زیادہ مضبوط طریقہ MDM سروسز کا استعمال کرنا ہے – یہ یا تو نیٹ ورک آپریٹنگ سافٹ ویئر کے حصے کے طور پر فراہم کی جا سکتی ہیں، یا یہ سروس کسی تیسرے فریق کے ذریعے فراہم کی جا سکتی ہے۔.

اس قسم کی سروس کی مختلف سطحیں ہیں جن میں سادہ رجسٹریشن اور ڈیوائس ری سیٹ سروسز سے لے کر ذاتی اور کارپوریٹ ڈیٹا کو سینڈ باکسنگ کرنا شامل ہے، جو صرف کارپوریٹ ڈیٹا کو الگ کرنے کی اجازت دے گی۔.

اگر وہ BYOD کو اپنانا چاہتے ہیں تو ملازمین کو موبائل ڈیوائس مینجمنٹ سسٹم کے جو بھی استعمال کیا جائے اس سے اتفاق/ رضامندی دینا ہوگی۔.

اگر MDM سافٹ ویئر ڈیوائس کی نگرانی کے لیے استعمال کیا جاتا ہے، جن سرگرمیوں کی نگرانی کی جاتی ہے اور جغرافیائی محل وقوع کا استعمال کیا جاتا ہے یا نہیں، ملازمین کو بھی اس بات سے اتفاق/ رضامندی دینا چاہیے۔.

آخر میں، ملازمین کو یہ سمجھنے کی ضرورت ہوگی کہ ڈیوائس پر ذخیرہ شدہ ان کے اپنے ذاتی ڈیٹا کا کیا ہوگا، اگر ڈیوائس کو غیر فعال کرنا پڑے۔.

یہ طریقہ استعمال کرنے میں آسان ہونے کے تمام فوائد رکھتا ہے، آخر صارف کے نقطہ نظر سے، جب کہ کاروباری نقطہ نظر سے بہت محفوظ ہے۔ کاروبار ایسے آپریشنز بھی انجام دے سکتا ہے جیسے آلات کا پتہ لگانا، اگر وہ گم ہو جائیں یا چوری ہو جائیں، یا بلاک کو انجام دیں اور دور سے صاف کریں۔.

ڈیٹا کی خفیہ کاری

BYOD پالیسی بذات خود خاطر خواہ تحفظات فراہم نہیں کرتی ہے۔ تمام خفیہ/ذاتی ڈیٹا کو انکرپٹ کیا جانا چاہیے۔ صرف ایک دستاویز/اسپریڈشیٹ کو صرف پڑھنے کے لیے سیٹ کرنا، یا دستاویز/اسپریڈ شیٹ کو کھولنے کے لیے پاس ورڈ بنانا ڈیٹا کو خفیہ کرنے جیسا نہیں ہے۔.

فرموں کو اس بات کا اندازہ لگانا چاہیے کہ کون سے ذاتی ڈیٹا اور کن آلات سے منتقل کیا جا رہا ہے۔ اس کے بعد ڈیٹا کے عوامی ڈومین میں آنے کے امکانات کے خطرے کا اندازہ لگائیں، اور پھر اس خفیہ/ذاتی ڈیٹا کی حفاظت کے لیے مناسب خفیہ کاری کے طریقے استعمال کریں۔.

غور کرنے کے لیے دیگر مسائل

  • ڈیوائس کے پاس ورڈ سے تحفظ - ہر BYOD ڈیوائس میں ایک اسٹارٹ اپ پاس ورڈ/پن ہونا چاہیے اور اگر مقررہ منٹ کے لیے فعال نہ ہو تو اسے لاک کر دینا چاہیے، یا اگر اتنی کوششوں کے لیے غلط پاس ورڈ/پن درج کیا گیا ہے تو اسے لاک کر دینا چاہیے۔
  • گمراہ شدہ ڈیوائسز - BYOD پالیسی کے حصے کے طور پر ملازم کو یہ جاننے کی ضرورت ہوگی کہ کس سے رابطہ کرنا ہے اور اگر ڈیوائس کو گمراہ کیا جاتا ہے تو اس کا کیا ہوگا (یعنی ڈیوائس سے کون سا ڈیٹا صاف کیا جاسکتا ہے)
  • لاگت - فرم کچھ موبائل ڈیوائس چارجز یا گمشدہ/چوری شدہ یا خراب شدہ آلات کو تبدیل کرنے کی لاگت کی ادائیگی پر متفق ہو سکتی ہے جب کاروباری مقاصد کے لیے استعمال ہو
  • قابل قبول استعمال کی پالیسی - فرم اس بات کو یقینی بنانا چاہے گی کہ استعمال کی کوئی بھی قابل قبول پالیسی BYOD آلات پر بھی لاگو ہو۔
  • ایسے آلات کی اجازت نہیں دی جانی چاہیے جن کی روٹ/جیل ٹوٹی ہوئی ہے اور ایک سخت پالیسی ہونی چاہیے کہ BYOD کے لیے کوئی بھی ڈیوائس سیٹ اپ بعد میں روٹ/جیل بروک نہ ہو۔
  • اسٹوریج میڈیا - فرم میموری/ایس ڈی کارڈز کے حوالے سے نقطہ نظر کی وضاحت کرنا چاہتی ہے، خاص طور پر کہ آیا وہ انکرپٹڈ ہیں یا ان پر ڈیٹا محفوظ کیا جا سکتا ہے۔

BYOD پالیسی کو نافذ کرنا

BYOD کو یا تو ایک علیحدہ پالیسی کے طور پر بنایا جا سکتا ہے، موجودہ قابل قبول استعمال کی پالیسی میں شامل کیا جا سکتا ہے، یا موجودہ انٹرنیٹ اور ای میل پالیسی یا سوشل میڈیا پالیسی میں شامل کیا جا سکتا ہے۔.

کمپنی کے آلات، بطور ڈیفالٹ، BYOD کے دائرہ کار میں آئیں گے۔.

اپنے ذاتی آلات والے ملازمین کو BYOD پالیسی سے آپٹ آؤٹ یا آپٹ ان کرنے کا موقع دیا جانا چاہیے:-

  • آپٹ آؤٹ - BYOD پالیسی کے لیے سائن اپ کرنے سے انکار کریں - ایسی صورت میں ملازم کام کے لیے کوئی ذاتی ڈیوائس استعمال نہیں کر سکے گا۔
  • آپٹ ان - BYOD پالیسی کے لیے سائن اپ کرنے سے اتفاق کریں - ایسی صورت میں ان کے آلے کو نیٹ ورک پر رجسٹر کرنے کی ضرورت ہوگی اور اگر قابل اطلاق ہو تو، موبائل ڈیوائس مینجمنٹ سروس کے ساتھ۔.

BYOD پالیسی کی وضاحت اور نفاذ کے لیے ہمارے چار آسان اقدامات کے لیے ہمارا خلاصہ دیکھیں۔.

خلاصہ

یہ ضروری ہے کہ آجر (جو ڈیٹا کنٹرولر ہے) ذاتی ڈیٹا کی پروسیسنگ کے حوالے سے GDPR کے مطابق رہے۔ سیکیورٹی کی خلاف ورزی کی صورت میں، آجر کو یہ ظاہر کرنے کے قابل ہونا چاہیے کہ کسی مخصوص ڈیوائس پر ذخیرہ کردہ تمام ذاتی ڈیٹا کو محفوظ، کنٹرول یا حذف کر دیا گیا ہے۔ BYOD پالیسی کا ہونا اس مقصد کو پورا کرنے کی طرف ایک طویل سفر طے کرے گا۔.

BYOD کی وضاحت اور نفاذ کے چار مراحل

پہلا مرحلہ - آڈٹ آلات اور استعمال
  • نیٹ ورک پر فی الحال کن آلات کی اجازت ہے؟
  • ان کے پاس رسائی کے کیا حقوق ہیں؟
  • وہ کون سی ایپلی کیشنز استعمال کرتے ہیں؟
  • انہیں کون سا ڈیٹا ذخیرہ کرنا چاہئے؟
دوسرا مرحلہ - BYOD کی سطح
  1. کوئی آلات نہیں
  2. منظور شدہ فہرست
  3. تمام/کوئی بھی آلات
  4. وضاحت کریں کہ کون سی ایپلی کیشنز موبائل آلات تک قابل رسائی ہیں۔.
تیسرا مرحلہ - BYOD پالیسی
  • BYOD پالیسی بنائیں اور لکھیں۔.
  • نیٹ ورک کے بنیادی ڈھانچے کی حفاظت میں مناسب تبدیلیاں کریں اور کوئی بھی اضافی خدمات حاصل کریں (جیسے MDM)
  • فیصلہ کریں کہ آیا اضافی سیکیورٹی کی ضرورت ہے، جیسے ڈیٹا انکرپشن ٹولز
  • پالیسی کو لاگو کرنے کے لیے ایک تاریخ کی وضاحت اور بات کریں۔
چوتھا مرحلہ - نفاذ کی تاریخ
  • تمام موجودہ آلات کو ہٹا دیں اور یقینی بنائیں کہ ان میں ڈیٹا نہیں ہے۔.
  • منظور شدہ آلات کو رجسٹر کریں۔
  • ایسے آلات کے مالک ملازمین BYOD پر دستخط کرتے ہیں۔.
 

2 + 14 =

رابطہ کی معلومات

ای: info@facadecreations.co.uk

T: +44 (0) 116 289 3343