Принеси власний пристрій: Заходи безпеки при використанні особистих пристроїв на роботі

Поради щодо використання власних пристроїв на роботі

Будь-яка дієва політика BYOD має містити наведені нижче елементи:

• Дозволені типи пристроїв
• Допустиме використання: якими програмами працівники можуть користуватися із власних пристроїв?
• Мінімальні вимоги щодо безпеки пристроїв: які запобіжні заходи компанія встановить для власних пристроїв працівників?
• Засоби, що надаються компанією: наприклад, SSL-сертифікати для автентифікації пристроїв
• Права компанії щодо внесення змін до пристрою: наприклад, дистанційне стирання даних у разі втрати або викрадення пристрою
• Що буде із даними компанії, які зберігаються на пристроях працівників, які звільняються?
• Кому належать програми та дані на пристрої? Чи отримують працівники відшкодування за вартість програм або щомісячну плату за їх використання?
• Яка ІТ-підтримка надається власникам пристроїв?

Для формування оптимального варіанту необхідно враховувати наведені нижче міркування:

• Правила здорового глузду: обмеження на особисті телефонні та відеоздвінки на робочому місці, заборона на використання пристрою за кермом
• Технічне обслуговування та оновлення: політика має забезпечувати підтримання працівниками пристроїв та програм у належному технічному стані
• Правила щодо передачі даних: дані компанії мають бути зашифровані та мати захист паролем, а передаватися лише через визначені компанією застосунки
• Правила щодо паролів: використання паролю є обов’язковим для захисту чутливої інформації; також можна встановити двоетапну автентифікацію

Правила щодо приватності: як досягти балансу між захистом даних та приватністю працівників, які використовують на роботі власні пристрої?

Безпекова політика щодо BYOD

Як розробити дієві та надійні практики користування власними пристроями на роботі? До розробки такої політики необхідно залучати як працівників, так і стейкхолдерів. Гарною ідеєю є збір думок працвників через проведення опитування. Керівництво, відділ кадрів, ІТ-фахівці, фінансисти та експерти з питань безпеки – все вони мають бути представлені у групи з управління BYOD. Представники цих функціональних напрямків мають пропонувати свій внесок.

Після отримання результатів опитування необхідно проаналізувати, які дані та застосунки мають бути на пристроях працівників. Після розробки та запровадження політики важливим кроком є проведення навчання щодо неї. Працівники всіх рівнів мають пройти інструктаж щодо протоколу поводження із даними, усунення несправностей на пристроях, порядку дій у разі втрати або викрадення пристроїв, використання програмних застосунків, протидії фішингу та кіберзагрозам.

Існує поширена думка, що неосвідчені в питаннях кібербезпеки працівники є найбільшою загрозою для цілісності даних компанії. У 2014 році 87% ІТ-керівників вважали, що найбільшу загрозу для організацій становили мобільні пристрої, власниками яких були легковажні працівники. У 2020 році частка атак на мобільні пристрої через застосунки становила вражаючі 96%. Причина полягає в тому, що майже 4 з 5 застосунків містять сторонні бібліотеки, які можуть створювати вразливості.

Які застосунки варто використовувати компанії, яка впроваджує виважену політику BYOD? Результати дослідження свідчать про те, що працівники щоденно користуються як мінімум п’ятьма застосунками. Дозвіл має поширюватися на узгоджену та захищену програму обміну повідомленнями, електронну пошту, CRM та інші застосунки, які можуть бути необхідними працівникам. Сумнівні застосунки мають бути під суворою забороною.

Також необхідно розробити конкретну процедуру для працівників, які звільняються з компанії (незалежно від причин). Необхідно переконатися, що всі дані компанії вилучено із пристроїв таких працівників та що вони не мають доступу до застосунків компанії. Однак з цим пов’язано багато проблем і саме через це роботодавця часто відмовляються від концепції BYOD.

Успішність політики напряму залежить від здатності компанії її впроваджувати, що, на жаль, передбачають наслідки для її порушників. Будь-яка політика має містити конкретні вимоги щодо відстеження, вимірювання та застосування підзвітності, що мають бути доведені до всіх працівників. Відсутність контролю є однією із найбільших проблем при впровадження концепції BYOD. Компанія повинна мати в штаті достатню кількість ІТ-фахівців для забезпечення постійної підтримки та моніторингу.

Наступним кроком після організації захисту систем та протоколів є проведення навчання для працівників. Запорукою успішного функціонування концепції BYOD є донесення до працівників важливості допустимого користування та базових правил цифрової гігієни.