Зверніться до експерта
Планування правильного рішення вимагає розуміння цілей безпеки вашого проєкту. Дозвольте експертам Kingston допомогти вам.
Будь-яка компанія, працівники якої можуть приносити власні смартфони, планшети або ноутбуки на роботу, має розробити політику використання таких пристроїв на робочому місці («Принеси власний пристрій» або скорочено BYOD). Майже всі працівники приносять на роботу власні пристрої, які мають вихід в Інтернет; і навіть якщо пристрій не є активно підключеним до корпоративної мережі, він все одно може становити ризик для безпеки.
Використання власного пристрою для чогось, на перший погляд, абсолютно невинного – наприклад, надсилання листа з робочої пошти – може створити вразливості у мережі організації. Дотримання безпеки при застосуванні концепції BYOD є непростим для організації будь-якого розміру, оскільки компанії повинні певною мірою контролювати смартфони та планшети, що належать їхнім працівникам. Зрештою, 40% всіх зламів даних стаються через втрату або крадіжку пристроїв. Але в культурах, де особливо ціниться особиста свобода, такі політики можуть викликати опір або роздратування з боку працівників. Тут необхідно дотримуватися обережного, але твердого підходу.
Як в таких умовах компанії можуть зміцнити кібербезпеку? Один варіант – повністю заборонити працівникам користуватися власними пристроями на роботі. Однак глобальні масштаби поширення BYOD є значними та продовжують зростати. Станом на 2022 рік цей сегмент оцінювався у 350 млрд. доларів США. Його зростання прискорилося через тенденцію роботи з дому, яку каталізувала пандемія. Альтернативне рішення – впровадження заснованих на засадах здорового глузду безпекових політик щодо використання власного пристрою на роботі, щоби захистити і компанію, і працівників. Більшість компаній надають перевагу саме такому підходу, хоча дієва політика BYOD має бути добре продуманою.
Концепція BYOD означає, що, номінально, компанії менше витрачають на обладнання та програмне забезпечення для своїх працівників. 82% компаній дозволяють працівникам використовувати особисті пристрої в робочих цілях. 71% таких працівників вважають, що людям зручніше використовувати власні пристрої, оскільки вони є більш звичними. На думку 58%, це є більш продуктивним. При цьому лише 55% вважають, що це зменшує витрати. В чому причина? Ймовірно, в тому, що 50% тих компаній, які дозволяють працювати на власних пристроях, стикаються з крадіжкою даних через пристрої працівників. Тому не дивно, що 26% компаній, що виступають проти концепції BYOD, називають безпекові міркування основною причиною для цього.
Будь-яка дієва політика BYOD має містити наведені нижче елементи:
Для формування оптимального варіанту необхідно враховувати наведені нижче міркування:
Правила щодо приватності: як досягти балансу між захистом даних та приватністю працівників, які використовують на роботі власні пристрої?
Як розробити дієві та надійні практики користування власними пристроями на роботі? До розробки такої політики необхідно залучати як працівників, так і стейкхолдерів. Гарною ідеєю є збір думок працвників через проведення опитування. Керівництво, відділ кадрів, ІТ-фахівці, фінансисти та експерти з питань безпеки – все вони мають бути представлені у групи з управління BYOD. Представники цих функціональних напрямків мають пропонувати свій внесок.
Після отримання результатів опитування необхідно проаналізувати, які дані та застосунки мають бути на пристроях працівників. Після розробки та запровадження політики важливим кроком є проведення навчання щодо неї. Працівники всіх рівнів мають пройти інструктаж щодо протоколу поводження із даними, усунення несправностей на пристроях, порядку дій у разі втрати або викрадення пристроїв, використання програмних застосунків, протидії фішингу та кіберзагрозам.
Існує поширена думка, що неосвідчені в питаннях кібербезпеки працівники є найбільшою загрозою для цілісності даних компанії. У 2014 році 87% ІТ-керівників вважали, що найбільшу загрозу для організацій становили мобільні пристрої, власниками яких були легковажні працівники. У 2020 році частка атак на мобільні пристрої через застосунки становила вражаючі 96%. Причина полягає в тому, що майже 4 з 5 застосунків містять сторонні бібліотеки, які можуть створювати вразливості.
Які застосунки варто використовувати компанії, яка впроваджує виважену політику BYOD? Результати дослідження свідчать про те, що працівники щоденно користуються як мінімум п’ятьма застосунками. Дозвіл має поширюватися на узгоджену та захищену програму обміну повідомленнями, електронну пошту, CRM та інші застосунки, які можуть бути необхідними працівникам. Сумнівні застосунки мають бути під суворою забороною.
Також необхідно розробити конкретну процедуру для працівників, які звільняються з компанії (незалежно від причин). Необхідно переконатися, що всі дані компанії вилучено із пристроїв таких працівників та що вони не мають доступу до застосунків компанії. Однак з цим пов’язано багато проблем і саме через це роботодавця часто відмовляються від концепції BYOD.
Успішність політики напряму залежить від здатності компанії її впроваджувати, що, на жаль, передбачають наслідки для її порушників. Будь-яка політика має містити конкретні вимоги щодо відстеження, вимірювання та застосування підзвітності, що мають бути доведені до всіх працівників. Відсутність контролю є однією із найбільших проблем при впровадження концепції BYOD. Компанія повинна мати в штаті достатню кількість ІТ-фахівців для забезпечення постійної підтримки та моніторингу.
Наступним кроком після організації захисту систем та протоколів є проведення навчання для працівників. Запорукою успішного функціонування концепції BYOD є донесення до працівників важливості допустимого користування та базових правил цифрової гігієни.
Приклади безпекових рішень, які можна розглянути для впровадження політики BYOD:
Інструменти моніторингу місцезнаходження даних та шаблонів доступу до даних для виявлення підозрілої поведінки – наприклад, доступ із підозрілих локацій (наприклад, Північної Кореї).
Одним із інструментом посилення безпеки у разі використання працівниками власних пристроїв на роботі є видача їм USB- та SSD-накопичувачів з шифруванням даних. Це є більш економічно доцільним, аніж забезпечення всього штату працівників телефонами або планшетами, і значно простішим, аніж контейнеризація кожного пристрою, які працівники приносять на роботу; окрім цього, дані, що зберігаються на таких пристроях, будуть набагато більш захищеними. За наявності на накопичувачі шифрування достатньої якості навіть його потрапляння у руки крадія не поставить важливі дані під загрозу.
#KingstonIsWithYou #KingstonIronKey
Планування правильного рішення вимагає розуміння цілей безпеки вашого проєкту. Дозвольте експертам Kingston допомогти вам.