Сценарии использования собственного устройства (BYOD) позволяют организациям быстрее использовать преимущества новых технологий. Это также может снизить затраты на оборудование и повысить производительность и гибкость организации. Однако BYOD также создает новые риски для бизнеса организации и безопасности ее информации, которые необходимо тщательно рассмотреть перед внедрением.
Поскольку BYOD может увеличить риск ответственности для организации, организациям необходимо быть готовыми к управлению такими проблемами, как лицензирование программного обеспечения, непреднамеренное повреждение личных данных сотрудников или ожидания конфиденциальности в случае расследования, запроса свободы информации или реагирования на инциденты. Мероприятия.
Организация также, вероятно, будет иметь меньшую уверенность в целостности и безопасности устройств, которые не находятся под корпоративным управлением, поскольку сотрудникам часто не хватает знаний и мотивации для снижения рисков, связанных с их устройствами.
Изучите свои политики использования и отслеживайте реализацию мобильности вашего предприятия. Регулярные отчеты руководителям высшего звена помогут им понять и устранить неприемлемые риски.
Свяжитесь со своей командой безопасности. В частности, ищите ответы на следующие вопросы:
Введение
Сценарии использования собственного устройства (BYOD) позволяют организациям быстрее использовать преимущества новых технологий. Это также может снизить затраты на оборудование и повысить производительность и гибкость организации. Однако BYOD также создает новые риски для бизнеса организации и безопасности ее информации, которые необходимо тщательно рассмотреть перед внедрением.Начальные соображения
Каковы юридические последствия?
Такие законодательные акты, как Закон о конфиденциальности 1988 г., Закон об архивах 1983 г. и Закон о свободе информации 1982 г., могут повлиять на то, способна ли организация реализовать BYOD в своей среде, и, если да, то какие меры контроля необходимо внедрить для обеспечения выполнения всех юридических обязательств.Поскольку BYOD может увеличить риск ответственности для организации, организациям необходимо быть готовыми к управлению такими проблемами, как лицензирование программного обеспечения, непреднамеренное повреждение личных данных сотрудников или ожидания конфиденциальности в случае расследования, запроса свободы информации или реагирования на инциденты. Мероприятия.
Какие финансовые последствия?
Организации, внедряющие BYOD, могут получить выгоду от снижения затрат на оборудование, если сотрудники будут платить за свои устройства. Однако часто может происходить общее увеличение затрат в результате необходимости поддержки различных устройств сотрудников, устранения нарушений безопасности или покрытия некоторых расходов, связанных с устройством сотрудника или его использованием.Каковы последствия для безопасности?
BYOD имеет ряд проблем с безопасностью. Например, устройства сотрудников, на которых хранится незащищенная корпоративная информация, могут быть потеряны или украдены, или сотрудники могут использовать неутвержденные приложения и облачные службы для обработки или хранения корпоративной информации.Организация также, вероятно, будет иметь меньшую уверенность в целостности и безопасности устройств, которые не находятся под корпоративным управлением, поскольку сотрудникам часто не хватает знаний и мотивации для снижения рисков, связанных с их устройствами.
Подход к реализации
Основные аспекты внедрения корпоративной мобильности, включая BYOD, можно резюмировать следующим образом: цель, планирование, политика и полировка.Цель
Используйте подход управления рисками для внедрения корпоративной мобильности. Изменение методов работы будет означать изменение профиля риска. Используйте процесс управления рисками, чтобы сбалансировать преимущества BYOD с соответствующими рисками для бизнеса и безопасности. Определите, существует ли обоснованное экономическое обоснование, позволяющее использовать устройства сотрудников для доступа и распространения корпоративной информации.Планирование
Рассмотрите различные доступные варианты и примите обоснованное решение. Спросите, каким сотрудникам в вашей организации требуется корпоративная мобильность с помощью устройств, принадлежащих организации, или личных устройств. К какой корпоративной информации нужен доступ вашим сотрудникам и как они будут получать к ней доступ?Политика
Разработайте и сообщите о разумной политике использования. Это должно быть основано на оценке риска и четко сообщать об ожидаемом поведении сотрудников. Определите, на какую финансовую и техническую поддержку могут рассчитывать сотрудники. Будьте осторожны в своем подходе - наиболее эффективные сценарии разрабатываются совместно представителями бизнеса и юридических лиц, сотрудниками службы безопасности, системными администраторами и самими сотрудниками. Это поможет вашей организации разработать реалистичную политику и процессы, которых готовы придерживаться все заинтересованные стороны.Изучите свои политики использования и отслеживайте реализацию мобильности вашего предприятия. Регулярные отчеты руководителям высшего звена помогут им понять и устранить неприемлемые риски.
Свяжитесь со своей командой безопасности. В частности, ищите ответы на следующие вопросы:
- Как мы защищаем нашу корпоративную информацию от несанкционированного доступа? Храним ли мы корпоративную информацию в центре обработки данных, а не на устройствах сотрудников?
- Как мы защищаем корпоративную информацию в нашей сети? Ограничиваем ли мы и проверяем использование устройств сотрудников в корпоративной сети? Используется ли многофакторная аутентификация для удаленного доступа?
- Как мы защищаем наши сети от вредоносного ПО? Отделяется ли личная операционная среда сотрудника от рабочей среды на их устройствах (например, с помощью управляемого контейнера)? Требует ли наша организация установки исправлений безопасности и ограничения прав и доступа к корпоративной информации с устройств сотрудников?
- Как снизить риск потери или кражи устройств сотрудников? Например, есть ли у нас техническая и юридическая возможность и согласие сотрудников на удаленное обнаружение или удаление данных с их устройств? Обязаны ли сотрудники регулярно выполнять резервное копирование рабочих данных со своих устройств на санкционированные организацией серверы резервного копирования?
