Использование собственных устройств сотрудников: меры защиты личных устройств на рабочем месте

Рекомендации по безопасности устройств BYOD

Любая стоящая политика BYOD будет охватывать следующие элементы:

• Разрешенные типы устройств
• Допустимое использование: к каким приложениям и активам сотрудники могут получить доступ со своих устройств?
• Минимальные требования к обеспечению безопасности устройств: какие меры безопасности потребуются компании для устройств BYOD?
• Компоненты, предоставленные компанией: например, сертификаты SSL для аутентификации устройств
• Права компании в отношении модификации устройства: например, дистанционное стирание в случае кражи или утери устройства
• Что происходит с корпоративными данными на устройствах сотрудников, увольняющихся из компании?
• Кому принадлежат приложения и данные на устройстве? Будет ли компания возмещать сотрудникам расходы на приложения или ежемесячные платежи?
• Какую поддержку будет оказывать ИТ-отдел владельцам устройств?

Разработчикам политики потребуется учесть следующие положения, чтобы можно было реализовать оптимальные варианты.

• Правила здравого смысла: ограничение на личные звонки и видео на работе, не использовать за рулем.
• Обслуживание и обновления: любая окончательная политика должна гарантировать, что сотрудники надежно обновляют устройства и приложения.
• Положения о передаче данных: данные компании должны быть зашифрованы, защищены паролем и передаваться только в приложениях, разрешенных компанией.
• Положения в отношении паролей: использование пароля для защиты конфиденциальной информации, очевидно, не подлежит обсуждению; также может потребоваться двухфакторная аутентификация.

Положения в отношении конфиденциальности: как компании могут сбалансировать защиту данных и конфиденциальность сотрудников при использовании устройств BYOD?

Политика безопасности устройств BYOD

Как лучше всего приступить к разработке согласованных и безопасных практик использования устройств BYOD? В разработке любой политики такого масштаба должны участвовать как сотрудники, так и заинтересованные стороны. Вклад сотрудников можно обеспечить с помощью опроса, который станет отличной основой для планирования политики. Руководители, отделы кадров, ИТ, финансов и безопасности должны быть объединены и представлены в команде управления проектом BYOD. Эти подразделения должны внести свой вклад.

После отправки опроса и получения ответов можно провести эффективный анализ, в том числе определить, какие данные и приложения необходимы на устройствах сотрудников. После внедрения готовой политики жизненно важным этапом процесса является обучение. Сотрудники всех уровней должны получить инструкции о протоколе обращения с данными, устранении неполадок устройств, порядке действий в случае утери или кражи устройств, используемых приложениях и мерах защиты от фишинга, а также более широкие инструкции о бдительности в отношении киберугроз.

Широко распространено мнение, что сотрудники, не прошедшие обучение по вопросам кибербезопасности, представляют наибольшую опасность для целостности данных организации. В 2014 году 87% ИТ-руководителей считали, что наибольшую угрозу для организаций представляют мобильные устройства, которыми пользуются беспечные сотрудники. В 2020 году пугающие 96% атак на мобильные устройства использовали приложения в качестве вектора. Это связано с тем, что подавляющее большинство приложений (почти 4 из 5) содержат встроенные сторонние библиотеки, которые могут создавать уязвимости.

Какие приложения следует использовать компании, реализующей строгую политику BYOD? Исследование показало, что сотрудники используют пять или более приложений ежедневно. Организации должны использовать специальную защищенную платформу обмена сообщениями, электронную почту, систему управления взаимоотношениями с клиентами и любые другие приложения, которые, по их мнению, потребуются их сотрудникам. Убедитесь, что приложения, которые могут представлять денежные обязательства, явно запрещены.

В организациях также должны быть предусмотрены специальные процедуры для сотрудников, покидающих компанию по любой причине. При увольнении сотрудника организация должна обеспечить удаление всех данных с его устройств, а также прекратить любой его доступ к корпоративным приложениям. Однако эта обязанность сопряжена со многими трудностями и часто считается достаточной причиной для отказа от политики BYOD и разрешения использования собственных устройств сотрудников.

Политика действенна только настолько, насколько компания способна обеспечить ее соблюдение. К сожалению, это требует принятия мер в отношении тех, кто нарушает политику. Любая политика должна содержать конкретные сведения об отслеживании, измерении и обеспечении подотчетности, доступные для всех сотрудников. Отсутствие надзора — одна из основных проблем внедрения BYOD. Компаниям требуется достаточное количество специалистов ИТ-поддержки, чтобы обеспечить помощь в настройке, постоянную поддержку и контроль сотрудников.

После того, как будет обеспечена защита систем и протоколов, организациям следует уделить первоочередное внимание обучению сотрудников. Для успеха реализации BYOD важно убедить сотрудников в важности допустимого использования и базовых правил в отношении безопасности данных.