Kendi Cihazını Getir: İş Yerindeki Kişisel Cihazlar için Güvenlik Önlemleri

BYOD için En İyi Güvenlik Uygulamaları

Tüm BYOD politikaları bu unsurları kapsayacaktır:

• İzin verilen cihaz tipleri
• Kabul edilebilir kullanım: çalışanlar cihazlarından hangi uygulamalara ve varlıklara erişebilir?
• Cihaz güvenlik kontrolleri için minimum gereksinimler: şirket BYOD cihazları için hangi güvenlik önlemlerini zorunlu kılacaktır?
• Şirket tarafından sağlanan bileşenler: örneğin, cihaz kimlik doğrulaması için SSL sertifikaları
• Cihaz üzerindeki değişikliklere ilişkin şirket hakları: örneğin, bir cihazın çalınması veya kaybolması durumunda uzaktan silme
• Şirketten ayrılan çalışanların cihazlarındaki şirket verilerine ne olur?
• Cihazdaki uygulamaların ve verilerin sahibi kim? Personele, uygulamalar veya aylık ücretleri karşılamak için şirket tarafından ödeme yapılacak mı?
• IT bölümü cihaz sahiplerine ne tür destek sağlayacak?

En iyi seçeneklerin sunulabilmesi için politika yapıcılar tarafından aşağıdaki hükümlerin dikkate alınması gerekecektir:

• Makul kurallar: iş yerinde kişisel arama ve video görüşme sınırı, araç kullanırken kullanım yok
• Bakım ve yükseltmeler: tamamlanmış tüm politikalar, çalışanların cihazları ve uygulamaları güvenilir bir şekilde güncel tutmasını sağlamalıdır
• Veri transferi hükümleri: şirket verileri şifrelenmeli, parola ile korunmalı ve yalnızca şirket tarafından izin verilen uygulamalarda transfer edilmelidir
• Parola hükümleri: hassas bilgilerin korunmasında parola kullanımı kesinlikle tartışılamaz; iki faktörlü kimlik doğrulaması da gerekebilir

Gizlilik hükümleri: şirketler BYOD ile veri koruma ve çalışan gizliliğini nasıl dengeleyebilir?

BYOD Güvenlik Politikası

Qual è il modo migliore per definire metodi di gestione BYOD coerenti e sicuri? Qualunque regolamento di questa portata deve coinvolgere personale e azionisti. L’input dei dipendenti può essere ottenuto attraverso un’indagine, una solida base per la pianificazione dei regolamenti. Il personale dirigente, e quello dei reparti HR, IT, operazioni, finanza e sicurezza, devono essere in contatto, coinvolti e rappresentati all’interno di un team di gestione dei progetti BYOD. Questi reparti sono in grado di offrire importanti contributi.

Anlaşılır ve güvenli BYOD uygulamaları geliştirmenin en iyi yolu nedir? Bu ölçekteki politika taslaklarının oluşturulmasında hem çalışanlar hem de paydaşlar yer almalıdır. Çalışanların katkıları, politika planlaması için harika bir temel olan bir anket yoluyla elde edilebilir. Yöneticiler, İK, IT, finans ve güvenlik birimlerinin tümü BYOD proje yönetim ekibinde yer almalı ve temsil edilmelidir. Bu departmanlar, katkıda bulunacaktır.

Anket gönderildikten ve yanıtlar alındıktan sonra, çalışan cihazlarında hangi veri ve uygulamalara ihtiyaç duyulduğunu içeren fayda sağlayacak analizler yapılmalıdır. Tamamlanan politikayı uygulamaya koyduktan sonra eğitim, sürecin hayati bir aşamasıdır. Her seviyeden çalışanlara veri kullanma protokolü, cihaz sorunlarının giderilmesi, kayıp veya çalıntı cihazlarla ilgili prosedür, hangi uygulamaların kullanılacağı ve kimlik avcılığına karşı önlemlerin yanı sıra siber tehditlere karşı tetikte olma konusunda daha geniş kapsamlı talimatlar verilmelidir.

Genellikle siber güvenlik konusunda eğitim almamış çalışanların kurumsal veri bütünlüğü için en büyük tehlike olduğuna inanılmaktadır. 2014 yılında IT yöneticilerinin %87'si kuruluşlara yönelik en büyük tehdidin dikkatsiz çalışanlar tarafından kullanılan mobil cihazlar olduğuna inanıyordu. 2020'de mobil cihazlardaki saldırıların ürkütücü bir oran olan %96'sında uygulamalar kullanıldı. Bunun nedeni, uygulamaların büyük bir çoğunluğunun, yaklaşık 5'te 4'ünün, güvenlik açıkları oluşturabilecek üçüncü taraf kütüphaneleri içeriyor olmasıdır.

Güçlü bir BYOD politikası uygulayan bir şirket hangi uygulamaları kullanmalıdır? Yapılan bir araştırmada, çalışanların her gün beş veya daha fazla uygulama kullandığı ortaya konmuştur. Kuruluşlar özel bir güvenli mesajlaşma platformu, e-posta, CRM; ve çalışanlarının ihtiyaç duyacağını düşündükleri diğer uygulamaları dahil etmelidir. Yükümlülük oluşturabilecek uygulamaların açıkça yasaklandığından emin olun.

Kuruluşlar, her ne sebeple olursa olsun şirketten ayrılan çalışanlara özel prosedürlere sahip olmalıdır. Bir çalışan ayrıldığında, kuruluşlar tüm verilerin cihazlarından alındığından ve şirket uygulamalarına erişimin benzer şekilde iptal edildiğinden emin olmalıdır. Ancak bu görev birçok zorluğu beraberinde getirmekte ve bu zorluklar genellikle BYOD politikalarından vazgeçmek ve kendi cihazlarını sağlamak için yeterli bir neden olarak görülmektedir.
Bir politika ancak bir şirketin onu uygulama kabiliyeti kadar güçlüdür ve bu da maalesef politikaya uymayanlar için olumsuz sonuçlar doğurmasını gerektirir. Tüm politikalar, tüm ekip üyelerinin haberdar olması için izleme, ölçüm; ve hesap verebilirliğin uygulanmasıyla ilgili spesifik detaylara sahip olmalıdır. Gözetim eksikliği, BYOD uygulaması açısından en önemli sorunlardan biridir. Şirketler, çalışanların hazır duruma getirilmesini sağlamak, sürekli destek ve izleme için yeterli IT destek personeline ihtiyaç duyar.

Sistemler ve protokoller belirlendikten sonra, kuruluşlar çalışanlar için eğitime öncelik vermelidir. BYOD'un başarılı olması için kabul edilebilir kullanımın ve temel veri güvenliği hijyeninin önemini çalışanlara benimsetmek zorunludur.