Innehållsförteckning:
- Rätt team
- Kryptering och sandboxning
- Begränsar åtkomst
- Devices at Play
- Avlägsna borttorkning
- Säkerhet och kultur
- Kodifiera policyn
Ta med din egen enhet (BYOD) -praxis ökar; år 2017 kommer hälften av företagets anställda att tillhandahålla sina egna enheter, enligt Gartner.
Att rulla ut ett BYOD-program är inte lätt och säkerhetsriskerna är mycket verkliga, men att sätta en säkerhetspolicy kommer att innebära potential för att sänka kostnaderna och öka produktiviteten på lång sikt. Här är sju saker du måste tänka på när du utarbetar en BYOD-säkerhetspolicy. (Läs mer om BYOD i 5 saker att veta om BYOD.)
Rätt team
Innan du fastställer några slags regler för BYOD på arbetsplatsen, behöver du rätt team för att utarbeta policyn.
"Det jag har sett är att någon från HR kommer att utarbeta policyn, men de förstår inte de tekniska kraven, så policyn återspeglar inte vad företagen gör, " säger Tatiana Melnik, en advokat i Florida som specialiserat sig på datasekretess och säkerhet.
Policyn bör återspegla verksamhetens praxis och någon med teknisk bakgrund måste leda utarbetandet, medan representanter från juridisk och HR kan erbjuda råd och förslag.
"Ett företag bör överväga om de måste lägga till ytterligare villkor och vägledning i policyn, till exempel när det gäller användning av Wi-Fi och låta familjemedlemmar och vänner använda telefonen, " sade Melnik. "Vissa företag väljer att begränsa typen av appar som kan installeras och om de registrerar anställdens enhet i ett program för hantering av mobila enheter listar de dessa krav."
Kryptering och sandboxning
Den första viktiga kuggen till någon BYOD-säkerhetspolicy är kryptering och sandboxning av data. Kryptering och konvertering av data till kod kommer att säkra enheten och dess kommunikation. Genom att använda ett mobilt enhetshanteringsprogram kan ditt företag segmentera enhetsdata i två distinkta sidor, affärsmässigt och personligt, och förhindra att de blandas, förklarar Nicholas Lee, senior chef för slutanvändartjänster på Fujitsu America, som har ledit BYOD-policyer på Fujitsu.
"Du kan tänka på det som en behållare, " säger han. "Du har möjlighet att blockera kopiera och klistra in och överföra data från den behållaren till enheten, så allt du har som är företagsmässigt kommer att stanna inom den enda behållaren."
Detta är särskilt användbart för att ta bort nätverksåtkomst för en anställd som har lämnat företaget.
Begränsar åtkomst
Som företag kan du behöva fråga dig själv hur mycket information de anställda kommer att behöva vid en viss tidpunkt. Att tillåta åtkomst till e-postmeddelanden och kalendrar kan vara effektivt, men behöver alla tillgång till finansiell information? Du måste överväga hur långt du behöver gå.
"Vid någon tidpunkt kan du bestämma att vi för vissa anställda inte kommer att tillåta dem att använda sina egna enheter i nätverket, " sade Melnik. "Så till exempel har du ett verkställande team som har tillgång till alla företags ekonomiska data. Du kan bestämma att det för personer i vissa roller inte är lämpligt för dem att använda sin egen enhet eftersom det är för svårt att kontrollera det och riskerna är för höga och det är OK att göra det. "
Allt beror på värdet på den IT som står på spel.
Devices at Play
Du kan inte bara öppna flödesgrindarna för alla enheter. Skapa en kortlista över enheter som din BYOD-policy och IT-team kommer att stödja. Detta kan innebära att personal begränsas till ett visst operativsystem eller enheter som uppfyller dina säkerhetsproblem. Överväg att undersöka din personal om de är intresserade av BYOD och vilka enheter de skulle använda.
William D. Pitney från FocusYou har en liten personal på två på sitt ekonomiska planeringsföretag, och de har alla migrerat till iPhone efter att ha tidigare använt en blandning av Android, iOS och Blackberry.
"Innan jag migrerade till iOS var det mer utmanande. Eftersom alla valde att migrera till Apple gjorde det att hantera säkerheten mycket lättare, " sade han. "Dessutom diskuterar vi iOS-uppdateringar, installation av appar och andra säkerhetsprotokoll en gång i månaden."
Avlägsna borttorkning
I maj 2014 godkände Kaliforniens senat lagstiftning som kommer att göra "dödsbrytare" - och möjligheten att inaktivera stulna telefoner - obligatoriskt på alla telefoner som säljs i staten. BYOD-policyer bör följa efter, men ditt IT-team kommer att behöva kapaciteten för att göra det.
"Om du behöver hitta din iPhone … är det nästan omedelbart med GPS-kvadranten och du kan i princip torka bort enheten om du tappar den. Samma sak gäller en företagsenhet. Du kan i princip ta bort företagets behållare från enheten, "sa Lee.
Utmaningen med denna särskilda policy är att företaget är på ägaren att rapportera när deras enhet saknas. Det tar oss till vår nästa punkt …
Säkerhet och kultur
En av de stora fördelarna med BYOD är att de anställda använder en enhet de är bekväma med. Emellertid kan anställda hamna i dåliga vanor och kan sluta hålla säkerhetsinformation genom att inte avslöja problem i tid.
Företag kan inte hoppa till BYOD från manschetten. De potentiella pengebesparingarna är tilltalande, men de möjliga säkerhetskatastroferna är mycket värre. Om ditt företag är intresserat av att använda BYOD, är det bättre att rulla ett pilotprogram än att dyka i första hand.
Liksom FocusYous månatliga möten bör företag regelbundet kolla in vad som fungerar och vad som inte är det, särskilt eftersom all dataläckage är företagets ansvar, inte anställdas. "Generellt kommer det att vara det företag som är ansvarigt", säger Melnik, även om det är en personlig enhet i fråga.
Det enda försvaret ett företag kan ha är ett "rogue anställdeförsvar", där den anställda tydligt agerade utanför deras roll. "Återigen, om du agerar utanför policyn, måste du ha en politik på plats", säger Melnik. "Det fungerar inte om det inte finns någon policy och ingen utbildning i den policyn och ingen indikation på att anställden var medveten om denna policy."
Detta är anledningen till att ett företag bör ha försäkringar om dataintrång. "Hur kränkningarna sker hela tiden, det är riskabelt för företag att inte ha en politik på plats", tillägger Melnik. (Läs mer i de tre viktiga komponenterna i BYOD Security.)
Kodifiera policyn
Iynky Maheswaran, chef för mobilverksamhet vid Australiens Macquarie Telecom, och författare till en rapport som heter "Hur man skapar en BYOD-policy", uppmuntrar förutplanering ur ett juridiskt perspektiv såväl som en teknisk. Detta ger oss tillbaka till att ha rätt team.
Melnik bekräftar behovet av att ha ett tecknat avtal om arbetsgivare / anställda för att säkerställa att policyer följs. Hon säger att det måste vara "tydligt formulerat för dem att deras enhet måste vändas i händelse av tvister, att de kommer att göra enheten tillgänglig, att de kommer att använda enheten i enlighet med policyn, där alla dessa faktorer erkänns i ett dokument som är undertecknat. "
Ett sådant avtal kommer att säkerhetskopiera dina policyer och ge dem mycket mer vikt och skydd.
