Спросите специалиста
Планирование правильного решения требует понимания целей безопасности вашего проекта. Позвольте специалистам Kingston помочь вам.
Спросите специалистаЛюбой компании, сотрудники которой могут приносить на рабочее место смартфоны, планшеты или личные ноутбуки, нужна политика безопасности при использовании собственных устройств сотрудников (или, для краткости, политика BYOD). Почти каждый сотрудник приносит на работу подключенное к Интернету устройство. И даже в отсутствие активного подключения к сети компании такое устройство все равно может представлять угрозу безопасности.
Использование личного устройства для чего-то столь безобидного, как отправка рабочей электронной почты, может создать уязвимости в сети организации. Организации любого размера сталкиваются с проблемой безопасности устройств BYOD, поскольку компании должны иметь определенный контроль над смартфонами и планшетами, принадлежащими их сотрудникам. В конце концов, 40% утечек данных происходят из-за потерянных или украденных устройств. Однако в культурах, делающих упор на личную свободу, подобная политика может встретить сопротивление или недовольство со стороны сотрудников. Лучше всего использовать деликатный, но твердый подход к этому вопросу.
Что могут предпринять компании для повышения своей кибербезопасности в этих условиях? Один из вариантов — полностью запретить устройства BYOD и жестко применять эту политику. Однако, мировой рынок устройств BYOD велик и продолжает расти. В 2022 году он оценивался в 350 млрд долларов. Тенденция к переходу на работу из дома, вызванная пандемией, ускорила его рост. Альтернативный вариант — разрешить использование устройств BYOD и внедрить разумные политики и меры безопасности, чтобы сделать их более безопасными как для компаний, так и для сотрудников. Большинство компаний считают, что это более простой из двух вариантов реализации. Однако нельзя сказать, что практичная политика BYOD не требует усилий и внимания.
Концепция BYOD означает, что номинально компании тратят меньше на аппаратное и программное обеспечение для своих сотрудников. 82% компаний разрешают сотрудникам использовать личные устройства для работы. 71% этих работодателей считают, что это позволяет людям чувствовать себя более комфортно при использовании устройств, поскольку они лучше всего знакомы со своими личными телефонами. 58% считают, что это более продуктивно. Однако только 55% считают, что это снижает затраты. Откуда это несоответствие? Вероятно, из-за того, что поразительные 50% компаний, чья политика безопасности разрешает использование устройств BYOD, сталкиваются с утечкой данных через устройства, принадлежащие сотрудникам. Неудивительно, что среди компаний, выступающих против внедрения политики BYOD, 26% в качестве основной причины называют проблемы безопасности.
Любая стоящая политика BYOD будет охватывать следующие элементы:
Разработчикам политики потребуется учесть следующие положения, чтобы можно было реализовать оптимальные варианты.
Положения в отношении конфиденциальности: как компании могут сбалансировать защиту данных и конфиденциальность сотрудников при использовании устройств BYOD?
Как лучше всего приступить к разработке согласованных и безопасных практик использования устройств BYOD? В разработке любой политики такого масштаба должны участвовать как сотрудники, так и заинтересованные стороны. Вклад сотрудников можно обеспечить с помощью опроса, который станет отличной основой для планирования политики. Руководители, отделы кадров, ИТ, финансов и безопасности должны быть объединены и представлены в команде управления проектом BYOD. Эти подразделения должны внести свой вклад.
После отправки опроса и получения ответов можно провести эффективный анализ, в том числе определить, какие данные и приложения необходимы на устройствах сотрудников. После внедрения готовой политики жизненно важным этапом процесса является обучение. Сотрудники всех уровней должны получить инструкции о протоколе обращения с данными, устранении неполадок устройств, порядке действий в случае утери или кражи устройств, используемых приложениях и мерах защиты от фишинга, а также более широкие инструкции о бдительности в отношении киберугроз.
Широко распространено мнение, что сотрудники, не прошедшие обучение по вопросам кибербезопасности, представляют наибольшую опасность для целостности данных организации. В 2014 году 87% ИТ-руководителей считали, что наибольшую угрозу для организаций представляют мобильные устройства, которыми пользуются беспечные сотрудники. В 2020 году пугающие 96% атак на мобильные устройства использовали приложения в качестве вектора. Это связано с тем, что подавляющее большинство приложений (почти 4 из 5) содержат встроенные сторонние библиотеки, которые могут создавать уязвимости.
Какие приложения следует использовать компании, реализующей строгую политику BYOD? Исследование показало, что сотрудники используют пять или более приложений ежедневно. Организации должны использовать специальную защищенную платформу обмена сообщениями, электронную почту, систему управления взаимоотношениями с клиентами и любые другие приложения, которые, по их мнению, потребуются их сотрудникам. Убедитесь, что приложения, которые могут представлять денежные обязательства, явно запрещены.
В организациях также должны быть предусмотрены специальные процедуры для сотрудников, покидающих компанию по любой причине. При увольнении сотрудника организация должна обеспечить удаление всех данных с его устройств, а также прекратить любой его доступ к корпоративным приложениям. Однако эта обязанность сопряжена со многими трудностями и часто считается достаточной причиной для отказа от политики BYOD и разрешения использования собственных устройств сотрудников.
Политика действенна только настолько, насколько компания способна обеспечить ее соблюдение. К сожалению, это требует принятия мер в отношении тех, кто нарушает политику. Любая политика должна содержать конкретные сведения об отслеживании, измерении и обеспечении подотчетности, доступные для всех сотрудников. Отсутствие надзора — одна из основных проблем внедрения BYOD. Компаниям требуется достаточное количество специалистов ИТ-поддержки, чтобы обеспечить помощь в настройке, постоянную поддержку и контроль сотрудников.
После того, как будет обеспечена защита систем и протоколов, организациям следует уделить первоочередное внимание обучению сотрудников. Для успеха реализации BYOD важно убедить сотрудников в важности допустимого использования и базовых правил в отношении безопасности данных.
Вот решения по обеспечению безопасности, которые следует рассмотреть для включения в политику BYOD:
Инструменты мониторинга местоположения данных и шаблонов доступа к данным для обнаружения подозрительного поведения, такого как доступ из небезопасных или подозрительных местоположений (например, в Северной Корее).
Одним из способов повышения безопасности систем BYOD является выдача сотрудникам USB-накопителей и твердотельных накопителей с шифрованием. Более экономично по сравнению с предоставлением телефонов или планшетов для всех сотрудников. И значительно проще, чем контейнеризация каждого устройства, которое сотрудники приносят на работу. Данные, хранящиеся на этих накопителях, гораздо лучше защищены, чем на обычном устройстве. При достаточно качественном шифровании вор, который может получить зашифрованный накопитель, не сможет получить доступ к привилегированным данным.
#KingstonIsWithYou #KingstonIronKey
Планирование правильного решения требует понимания целей безопасности вашего проекта. Позвольте специалистам Kingston помочь вам.
Спросите специалиста