7 คะแนนที่ควรพิจารณาเมื่อร่างนโยบายความปลอดภัยของ byod

นำการปฏิบัติอุปกรณ์ของคุณเอง (BYOD) กำลังเพิ่มขึ้น ภายในปี 2560 พนักงานธุรกิจครึ่งหนึ่งจะให้บริการอุปกรณ์ของตัวเองตาม Gartner

การเปิดตัวโปรแกรม BYOD ไม่ใช่เรื่องง่ายและความเสี่ยงด้านความปลอดภัยเป็นเรื่องจริง แต่การวางนโยบายความปลอดภัยในสถานที่นั้นหมายถึงศักยภาพในการลดต้นทุนและเพิ่มผลผลิตในระยะยาว นี่คือเจ็ดสิ่งที่คุณต้องพิจารณาเมื่อร่างนโยบายความปลอดภัยของ BYOD (เรียนรู้เพิ่มเติมเกี่ยวกับ BYOD ใน 5 สิ่งที่ต้องรู้เกี่ยวกับ BYOD)

ทีมที่เหมาะสม

ก่อนที่จะกำหนดกฎชนิดใด ๆ สำหรับ BYOD ในที่ทำงานคุณต้องมีทีมที่เหมาะสมในการร่างนโยบาย

“ สิ่งที่ฉันเห็นคือบุคคลจากฝ่ายทรัพยากรบุคคลจะร่างนโยบาย แต่พวกเขาไม่เข้าใจข้อกำหนดทางเทคนิคดังนั้นนโยบายจึงไม่สะท้อนสิ่งที่ บริษัท ทำ” Tatiana Melnik ทนายความในฟลอริดาที่เชี่ยวชาญเรื่องความเป็นส่วนตัวของข้อมูลกล่าว และความปลอดภัย

นโยบายดังกล่าวควรสะท้อนให้เห็นถึงแนวปฏิบัติทางธุรกิจและบุคคลที่มีพื้นฐานทางเทคโนโลยีจำเป็นต้องเป็นผู้นำในการร่างขณะที่ตัวแทนจากฝ่ายกฎหมายและฝ่ายทรัพยากรบุคคลสามารถให้คำแนะนำและข้อเสนอแนะได้

"บริษัท ควรพิจารณาว่าพวกเขาต้องการเพิ่มข้อกำหนดและคำแนะนำเพิ่มเติมในนโยบายเช่นเกี่ยวข้องกับการใช้ Wi-Fi และอนุญาตให้สมาชิกในครอบครัวและเพื่อนใช้โทรศัพท์ได้หรือไม่" Melnik กล่าว "บริษัท บางแห่งเลือกที่จะ จำกัด ประเภทของแอพที่สามารถติดตั้งได้และหากพวกเขาลงทะเบียนอุปกรณ์ของพนักงานในโปรแกรมการจัดการอุปกรณ์มือถือพวกเขาจะแสดงรายการข้อกำหนดเหล่านั้น"

การเข้ารหัสและ Sandbox

ฟันเฟืองที่สำคัญแรกสำหรับนโยบายความปลอดภัยของ BYOD คือการเข้ารหัสและการแซนด์บ็อกซ์ข้อมูล การเข้ารหัสและการแปลงข้อมูลเป็นรหัสจะทำให้อุปกรณ์และการสื่อสารปลอดภัย ด้วยการใช้โปรแกรมการจัดการอุปกรณ์มือถือธุรกิจของคุณสามารถแบ่งส่วนข้อมูลอุปกรณ์ออกเป็นสองด้านชัดเจนธุรกิจและส่วนบุคคลและป้องกันไม่ให้พวกเขาผสมกัน Nicholas Lee ผู้อำนวยการอาวุโสฝ่ายบริการผู้ใช้ของฟูจิตสึอเมริกาอธิบายนโยบาย BYOD ที่ ฟูจิตสึ

“ คุณสามารถคิดว่ามันเป็นภาชนะบรรจุ” เขากล่าว "คุณมีความสามารถในการบล็อกการคัดลอกและวางและถ่ายโอนข้อมูลจากคอนเทนเนอร์นั้นไปยังอุปกรณ์ดังนั้นทุกสิ่งที่คุณมีที่เป็น บริษัท ที่ชาญฉลาดจะอยู่ภายในคอนเทนเนอร์เดียว"

สิ่งนี้มีประโยชน์อย่างยิ่งสำหรับการลบการเข้าถึงเครือข่ายสำหรับพนักงานที่ออกจาก บริษัท

การ จำกัด การเข้าถึง

ในฐานะธุรกิจคุณอาจต้องถามตัวเองว่าพนักงานต้องการข้อมูลเท่าใดในเวลาหนึ่ง การอนุญาตให้เข้าถึงอีเมลและปฏิทินอาจมีประสิทธิภาพ แต่ทุกคนต้องการการเข้าถึงข้อมูลทางการเงินหรือไม่ คุณต้องพิจารณาว่าคุณต้องไปไกลแค่ไหน

"ในบางจุดคุณอาจตัดสินใจว่าสำหรับพนักงานบางคนเราจะไม่อนุญาตให้พวกเขาใช้อุปกรณ์ของตัวเองในเครือข่าย" Melnik กล่าว "ตัวอย่างเช่นคุณมีทีมผู้บริหารที่สามารถเข้าถึงข้อมูลทางการเงินทั้งหมดขององค์กรคุณอาจตัดสินใจว่าสำหรับคนที่มีบทบาทบางอย่างมันไม่เหมาะสำหรับพวกเขาที่จะใช้อุปกรณ์ของตัวเองเพราะมันยากเกินไปที่จะควบคุมและความเสี่ยง สูงเกินไปและไม่เป็นไรที่จะทำเช่นนั้น "

ทั้งหมดนี้ขึ้นอยู่กับมูลค่าของไอทีที่ถือหุ้น

อุปกรณ์ที่เล่น

คุณไม่สามารถเปิดประตูระบายน้ำให้กับทุกอุปกรณ์ได้ ทำรายการสั้น ๆ ของอุปกรณ์ที่นโยบาย BYOD ของคุณและทีมไอทีจะให้การสนับสนุน นี่อาจหมายถึงการ จำกัด พนักงานให้กับระบบปฏิบัติการหรืออุปกรณ์บางอย่างที่ตรงกับข้อกังวลด้านความปลอดภัยของคุณ พิจารณาการสำรวจเจ้าหน้าที่ของคุณว่าพวกเขาสนใจ BYOD หรือไม่และใช้อุปกรณ์ใดบ้าง

William D. Pitney แห่ง FocusYou มีพนักงานสองคนขนาดเล็กที่ บริษัท วางแผนการเงินของพวกเขาและพวกเขาทั้งหมดย้ายไปยัง iPhone โดยก่อนหน้านี้เคยใช้ Android, iOS และ Blackberry มาผสมผสานกัน

“ ก่อนที่จะย้ายไปยัง iOS มันเป็นเรื่องที่ท้าทายมากขึ้นเนื่องจากทุกคนเลือกที่จะย้ายไปที่ Apple มันทำให้การจัดการความปลอดภัยง่ายขึ้นมาก” เขากล่าว "นอกจากนี้เราจะหารือเกี่ยวกับการอัปเดต iOS เดือนละครั้งติดตั้งแอพและโปรโตคอลความปลอดภัยอื่น ๆ "

การเช็ดจากระยะไกล

ในเดือนพฤษภาคมปี 2014 วุฒิสภาของรัฐแคลิฟอร์เนียได้อนุมัติกฎหมายที่จะทำให้ "สวิตช์ฆ่า" - และความสามารถในการปิดการใช้งานโทรศัพท์ที่ถูกขโมย - จำเป็นสำหรับโทรศัพท์ทุกรุ่นที่จำหน่ายในรัฐ นโยบาย BYOD ควรเป็นไปตามความเหมาะสม แต่ทีมไอทีของคุณจะต้องมีความสามารถในการทำเช่นนั้น

"ถ้าคุณต้องการหา iPhone ของคุณ … มันแทบจะทันทีด้วย Quad-level Quadrant และคุณสามารถเช็ดอุปกรณ์จากระยะไกลได้ถ้าคุณทำมันหายไปสิ่งเดียวกันนี้เกิดขึ้นกับอุปกรณ์ขององค์กรคุณสามารถนำคอนเทนเนอร์ขององค์กรออกจาก อุปกรณ์ "ลีพูด

ความท้าทายของนโยบายนี้คือความรับผิดชอบของเจ้าของที่จะรายงานเมื่ออุปกรณ์ของพวกเขาหายไป นั่นนำเราไปสู่จุดต่อไปของเรา …

ความปลอดภัยและวัฒนธรรม

หนึ่งในประโยชน์ที่สำคัญของ BYOD คือพนักงานใช้อุปกรณ์ที่พวกเขาพอใจ อย่างไรก็ตามพนักงานสามารถตกอยู่ในนิสัยที่ไม่ดีและอาจปิดบังข้อมูลความปลอดภัยโดยไม่เปิดเผยปัญหาในเวลาที่กำหนด

ธุรกิจไม่สามารถข้ามไปที่ BYOD ได้ การออมเงินที่มีศักยภาพกำลังดึงดูดความสนใจ แต่ภัยพิบัติด้านความปลอดภัยที่อาจเกิดขึ้นนั้นเลวร้ายกว่ามาก หากธุรกิจของคุณมีความสนใจในการใช้ BYOD การเปิดตัวโครงการนำร่องดีกว่าการดำน้ำในอันดับแรก

เช่นเดียวกับการประชุมรายเดือนของ FocusYou บริษัท ควรตรวจสอบสิ่งที่ทำงานเป็นประจำและสิ่งที่ไม่เป็นประจำโดยเฉพาะอย่างยิ่งเมื่อมีการรั่วไหลของข้อมูลเป็นความรับผิดชอบของธุรกิจไม่ใช่ของพนักงาน “ โดยทั่วไป บริษัท จะเป็นผู้รับผิดชอบ” Melnik กล่าวแม้ว่าจะเป็นอุปกรณ์ส่วนตัวที่มีปัญหา

การป้องกันเพียงอย่างเดียวที่ บริษัท อาจมีคือ "การป้องกันลูกจ้างโกง" ซึ่งพนักงานทำหน้าที่อย่างชัดเจนนอกขอบเขตของบทบาทของพวกเขา "อีกครั้งถ้าคุณทำหน้าที่นอกเหนือนโยบายคุณต้องมีนโยบายในตัว" Melnik กล่าว "นั่นจะไม่ทำงานหากไม่มีนโยบายและไม่มีการฝึกอบรมเกี่ยวกับนโยบายนั้นและไม่มีข้อบ่งชี้ว่าพนักงานทราบถึงนโยบายนั้น"

นี่คือเหตุผลที่ บริษัท ควรมีนโยบายการละเมิดข้อมูล “ วิธีการรั่วไหลเกิดขึ้นตลอดเวลามันมีความเสี่ยงสำหรับ บริษัท ที่จะไม่มีนโยบายในตัว” Melnik กล่าวเสริม (เรียนรู้เพิ่มเติมใน 3 องค์ประกอบหลักของความปลอดภัย BYOD)

ประมวลนโยบายนี้

Iynky Maheswaran หัวหน้าธุรกิจโทรศัพท์มือถือที่ Macquarie Telecom ของออสเตรเลียและผู้เขียนรายงานที่เรียกว่า "วิธีการสร้างนโยบาย BYOD" กระตุ้นให้เกิดการวางแผนล่วงหน้าจากมุมมองทางกฎหมายและเทคโนโลยี สิ่งนี้ทำให้เรากลับมามีทีมที่เหมาะสม

Melnik ยืนยันอีกครั้งถึงความจำเป็นที่จะต้องมีข้อตกลงนายจ้าง / ลูกจ้างที่ได้ลงนามแล้วเพื่อให้มั่นใจว่ามีการปฏิบัติตามนโยบาย เธอกล่าวว่าต้อง "ชัดเจนชัดเจนสำหรับพวกเขาว่าอุปกรณ์ของพวกเขาจะต้องถูกพลิกกลับในกรณีที่มีการฟ้องร้องว่าพวกเขากำลังจะทำให้อุปกรณ์พร้อมใช้งานและพวกเขาจะใช้อุปกรณ์ตามนโยบาย ซึ่งปัจจัยเหล่านี้ทั้งหมดได้รับการยอมรับในเอกสารที่ลงชื่อแล้ว "

ข้อตกลงดังกล่าวจะสำรองนโยบายของคุณและให้น้ำหนักและการป้องกันที่มากขึ้น