Будинки Безпека 7 Точок, які слід враховувати при розробці політики безпеки

7 Точок, які слід враховувати при розробці політики безпеки

Зміст:

Anonim

Запропонуйте практику власного пристрою (BYOD); до 2017 року половина працівників бізнесу надаватимуть власні пристрої, повідомляє Gartner.


Розгортання програми BYOD непросте, і ризики для безпеки є дуже реальними, але встановлення політики безпеки означатиме потенціал для скорочення витрат та підвищення продуктивності в довгостроковій перспективі. Ось сім речей, які потрібно враховувати при розробці політики безпеки BYOD. (Дізнайтеся більше про BYOD у 5 речах, які потрібно знати про BYOD.)

Правильна команда

Перш ніж встановлювати будь-які правила для BYOD на робочому місці, вам потрібна правильна команда для розробки правил.


"Я бачив, що хтось із персоналу розробляє політику, але він не розуміє технічних вимог, тому політика не відображає те, що роблять компанії", - каже Тетяна Мельник, адвокат у штаті Флорида, що спеціалізується на конфіденційності даних та безпека.


Політика повинна відображати практику бізнесу, і хтось із технологічним походженням повинен очолити розробку, в той час як представники юридичних та кадрових служб можуть пропонувати поради та пропозиції.


"Компанія повинна розглянути питання, чи потрібно їм додавати додаткові умови та вказівки в політику, наприклад, стосовно використання Wi-Fi та дозволу членам сім'ї та друзям користуватися телефоном", - сказав Мельник. "Деякі компанії вирішують обмежити тип програм, які можна встановити, і якщо вони зареєструють пристрій працівника в програмі управління мобільними пристроями, вони перерахують ці вимоги."

Шифрування та пісочниця

Першим важливим гвинтиком будь-якої політики безпеки BYOD є шифрування та пісочниця даних. Шифрування та перетворення даних у код забезпечать пристрій та його зв'язок. Використовуючи програму управління мобільними пристроями, ваш бізнес може сегментувати дані пристроїв на дві різні сторони - ділову та особисту та запобігти їх змішанню, пояснює Ніколас Лі, старший директор служби кінцевих користувачів Fujitsu America, який очолив політику BYOD у Фуджіцу.


"Ви можете думати про це як про контейнер", - каже він. "Ви маєте можливість блокувати копіювання та вставлення та передачу даних з цього контейнера на пристрій, тож усе, що у вас є, корпоративне, залишатиметься в одному контейнері."


Це особливо корисно для усунення доступу до мережі для працівника, який покинув компанію.

Обмеження доступу

Як бізнес, можливо, вам доведеться запитати себе, скільки інформації знадобиться працівникам за певний час. Дозвіл на доступ до електронних листів та календарів може бути ефективним, але чи всім потрібен доступ до фінансової інформації? Ви повинні розглянути, як далеко вам потрібно пройти.


"В якийсь момент ви можете вирішити, що певним працівникам ми не збираємось дозволяти їм використовувати власні пристрої в мережі", - сказав Мельник. "Так, наприклад, у вас є виконавча команда, яка має доступ до всіх корпоративних фінансових даних. Ви можете вирішити, що людям, які перебувають у певних ролях, їм не підходить користуватися власним пристроєм, оскільки надто важко контролювати це та ризики занадто високі, і це нормально для цього ".


Все це залежить від вартості ІТ.

Пристрої в грі

Ви не можете просто відкрити шлюзи на будь-яких пристроях. Створіть короткий список пристроїв, які підтримуватиме ваша політика BYOD та ІТ-команда. Це може означати обмеження персоналу певною операційною системою або пристроями, які відповідають вашим проблемам безпеки. Поміркуйте, чи опитуєте своїх співробітників, чи зацікавлені вони в BYOD та якими пристроями вони будуть користуватися.


У Вільяма Д. Пітні з FocusYou є невеликий персонал у його фінансовій компанії з планування, і всі вони перейшли на iPhone, попередньо використовуючи суміш Android, iOS та Blackberry.


"Перед переходом на iOS це було складніше. Оскільки всі вирішили перейти на Apple, це значно спрощує управління безпекою", - сказав він. "Крім того, раз на місяць ми обговорюємо оновлення iOS, встановлюємо додатки та інші протоколи безпеки."

Віддалене протирання

У травні 2014 року сенат Каліфорнії затвердив законодавство, яке зробить "вмикаючі комутатори" - а можливість вимкнення викрадених телефонів - обов'язковими для всіх телефонів, що продаються в штаті. Політика BYOD повинна відповідати цьому, але ваша ІТ-команда потребує можливостей для цього.


"Якщо вам потрібно знайти свій iPhone … це майже миттєво з квадрантом рівня GPS, і ви в основному зможете видалити пристрій віддалено, якщо втратите його. Те ж саме стосується корпоративного пристрою. Ви в основному можете видалити корпоративний контейнер з пристрій », - сказав Лі.


Завдання цієї конкретної політики полягає в тому, що відповідальність зобов’язана власника повідомити про відсутність їх пристрою. Це приводить нас до наступного моменту …

Безпека та культура

Однією з головних переваг BYOD є те, що працівники користуються пристроєм, яким вони комфортні. Однак працівники можуть впасти в шкідливі звички і можуть утримати інформацію про безпеку, не вчасно розкриваючи проблеми.


Підприємства не можуть стрибати на БЮД з манжети. Потенційні заощадження грошей привабливі, але можливі катастрофи безпеки значно гірші. Якщо ваш бізнес зацікавлений у використанні BYOD, розгортання пілотної програми краще, ніж пірнання в голову першими.


Подібно до щомісячних зустрічей FocusYou, компанії повинні регулярно перевіряти, що працює, а що ні, тим більше, що будь-які витоки даних - це відповідальність бізнесу, а не працівника. "Зазвичай це буде відповідальна компанія", - каже Мельник, навіть якщо мова йде про особистий пристрій.


Єдиний захист, який може мати компанія, - це "захист працівника-шахрая", коли працівник явно діяв поза межами своєї ролі. "Знову ж таки, якщо ви дієте поза політикою, тоді вам доведеться мати політику", - каже Мельник. "Це не спрацює, якщо не буде політики та не проводиться тренінг з цієї політики та не вказується на те, що працівник знав про цю політику".


Ось чому компанія повинна мати страхові поліси щодо порушення даних. "Те, як порушення відбуваються постійно, для підприємств ризиковано не проводити політику", - додає Мельник. (Дізнайтеся більше у 3 ключових компонентах безпеки BYOD.)

Кодифікація політики

Ійнкі Махесваран, керівник мобільного бізнесу австралійського Macquarie Telecom та автор доповіді під назвою "Як створити політику BYOD", рекомендує заздалегідь планувати з юридичної та технологічної точки зору. Це повертає нас до створення правильної команди.


Мельник підтверджує необхідність укладання підписаної угоди роботодавець / працівник, щоб забезпечити дотримання політики. Вона каже, що для них повинно бути "чітко сформульовано, що їх пристрій повинен бути перевернутий у разі судових спорів, що вони збираються зробити доступний пристрій, що вони будуть використовувати пристрій відповідно до політики" де всі ці фактори визнаються у підписаному документі. "


Така угода створить резервну копію вашої політики та надасть їм набагато більше ваги та захисту.

7 Точок, які слід враховувати при розробці політики безпеки