Почему использование собственных устройств (BYOD) требует вашего внимания

Введение

Недавний опрос показал, что почти половина британских сотрудников используют свои личные устройства (ноутбуки, смартфоны и планшетные компьютеры) в служебных целях. Персональные устройства сотрудников часто более мощные и простые в использовании, чем то, что им назначает компания, и они ожидают свободы использования своего устройства в рабочих целях. Вместо того, чтобы бороться с неизбежным, большинство компаний разрешают своим сотрудникам использовать свои устройства, однако многие компании делают это, не предоставляя необходимых рекомендаций о том, как эти устройства должны использоваться в этом качестве. Это должно вызывать серьезную озабоченность, поскольку информация, доступ к которой осуществляется на этих личных устройствах, если это не делается надлежащим образом, представляет собой потенциальную угрозу безопасности.

Преимущества и риски, связанные с BYOD

Хорошо проводимая политика BYOD может быть очень выгодной для компании. Преимущества включают в себя:

• Повышение гибкости за счет удаленной работы
• Повышенная эффективность
• Повышение удовлетворенности работой сотрудников

Связанные с этим риски уникальны для каждой организации. Основной риск, который ощущают все компании, заключается в ограниченном контроле компании над личными устройствами. Поскольку это личное устройство сотрудника, сотрудник владеет им, обслуживает его и будет поддерживать устройство. Однако компания по-прежнему несет ответственность за корпоративные данные на устройстве и будет нести ответственность в случае нарушения безопасности независимо от того, кому принадлежит устройство. Поэтому крайне важно убедиться, что у вас, как у компании, есть процедуры, обеспечивающие постоянную безопасность данных на этих устройствах. Отсутствие контроля значительно возрастает, учитывая, что у компании будет не только одно, но и большое количество этих устройств для рассмотрения.

Чтобы получить контроль над доступом к данным, обрабатываемым или хранящимся на этих устройствах, компания должна получить доступ к следующему:

• Какой тип данных хранится или обрабатывается на устройстве
• Где будут храниться данные
• Как будут передаваться данные
• Как разделить личное и корпоративное использование устройства
• Какова вероятность того, что данные будут скомпрометированы
• Доступные функции безопасности, встроенные в устройство
• Как поддерживать и контролировать устройство
• Как бороться с потерей или кражей устройства
• Что делать с данными, когда владелец устройства больше не работает в компании

Принимая во внимание области риска, упомянутые выше, можно внедрить процедуры для обеспечения надлежащего управления этими рисками. Имея четкое представление о связанных с этим рисках с самого начала, компания может гарантировать, что безопасность данных станет основой ее деятельности, значительно повышая стандарты безопасности.

Шаги к безопасной среде BYOD

1. Аудит данных

Посмотрите, какие типы данных обрабатываются на устройствах. Подумайте, какие данные вы бы разрешили обрабатывать на личном устройстве и, возможно, данные, которые вы бы хранили в другой среде. Информацию можно было бы сортировать и разделять, позволяя обрабатывать определенную информацию на личных устройствах, а другую информацию ограничивать устройствами с высоким уровнем шифрования. Знание того, какие данные обрабатываются на каких устройствах, позволяет повысить уровень контроля.

2. Аудит устройств

Рассмотрим все типы личных устройств, используемых сотрудниками. Посмотрите на их функции безопасности и подумайте, какие устройства можно использовать для обработки какой информации.

3. Убедитесь, что политика BYOD не влияет на существующие соглашения.

Компания должна принять во внимание существующие соглашения с другими организациями и не нарушит ли BYOD эти соглашения. Компания должна убедиться, что BYOD не создает уязвимостей в безопасных существующих средах.

4. Политика BYOD

Компания должна внедрить, поддерживать и управлять политикой использования BYOD. Политика должна быть четкой, чтобы сотрудники понимали, что является приемлемым, и понимали свои обязанности в отношении использования личных устройств в служебных целях. Политика должна обеспечивать руководство и ответственность за поведение.

5. Хранение данных

Необходимо принять соответствующие меры для обеспечения постоянной безопасности хранимых данных, независимо от того, где они хранятся, будь то на устройстве в облаке или на сервере в организации. Окончательная ответственность за защиту данных от несанкционированного или незаконного доступа лежит на компании. Меры, которые могут быть приняты, включают:

• Управление доступом к данным на устройстве с помощью надежного пароля или PIN-кода
• Управление доступом к данным, хранящимся в других местах, через устройство. Защита учетных данных для доступа имеет первостепенное значение.
• Устройства могут иметь функцию ограничения доступа к определенным приложениям или типам данных в зависимости от географического положения.
• Если данные хранятся на устройстве, важно иметь метод удаленной очистки, чтобы обеспечить безопасное удаление данных, если в какой-либо момент устройство будет скомпрометировано, тем самым поддерживая безопасность ваших данных.
• Будьте в курсе носителей информации на устройстве, чтобы потеря или кража данных не остались незамеченными
• Шифрование данных, хранящихся на устройстве
• Если неправильный пароль введен много раз, убедитесь, что устройство автоматически блокируется, чтобы избежать несанкционированного доступа.
• Обеспечьте четкость и разделение информации или приложений, используемых для бизнеса и для личного использования, чтобы личные и деловые данные не размывались.
• Убедитесь, что устройство имеет активную функцию автоматической блокировки, блокируя его, когда оно неактивно в течение определенного периода времени.

6. Передача данных

Передача данных всегда сопряжена с риском для безопасности. BYOD всегда предполагает передачу данных между устройством и корпоративной сетью. Электронные письма могут быть перехвачены, а данные скомпрометированы. Способы защиты ваших данных во время передачи включают в себя:

• Форсирование трафика через и зашифрованный канал
• Шифруйте электронные письма в источнике, они остаются зашифрованными при передаче и остаются зашифрованными до тех пор, пока не будут расшифрованы авторизованным получателем.
• Используйте технологию мониторинга, которая отслеживает передаваемые данные и выявляет любую утечку данных во время передачи.
• При использовании съемных носителей для передачи данных убедитесь, что у вас есть соответствующая безопасная и надежная процедура для удаления данных с носителя после их передачи.
• По возможности избегайте использования общего доступа к общедоступному облаку и общедоступных служб резервного копирования.
• Разработайте политику в отношении устройств, автоматически выполняющих резервное копирование на персональный компьютер или учетную запись пользователя в облаке. Вы должны убедиться, что данные, хранящиеся таким образом, не будут раскрыты ненадлежащим образом. Или вам нужно убедиться, что эта функция не включена на устройстве
• Будьте осторожны при использовании открытых сетей Wi-Fi. Имейте в виду, что некоторые устройства автоматически подключаются к этим сетям. Подумайте, когда лучше отключить такие интерфейсы, как Wi-Fi или Bluetooth на устройстве.

7. Сохранение контроля над устройством

Компания имеет минимальный контроль над устройством. Учитывая, что он находится в личном владении и большую часть времени используется удаленно, риск его утери, потери или кражи возрастает. Для сохранения некоторого контроля следует учитывать следующее:

• Управление мобильными устройствами — отличный способ удаленного поиска и удаления данных по требованию, когда это необходимо.
• Устройства должны быть зарегистрированы в сервисе.
• Устройства можно отслеживать в режиме реального времени

8. Защита устройства

Действия, которые можно предпринять для защиты устройства

• Поддерживайте операционную систему устройства в рабочем состоянии в любое время, гарантируя наличие необходимых исправлений и обновлений.
• Подумайте об ограничении выбора операционных систем, которые будут использоваться сотрудниками. Достигнув этого, вы получите больше контроля, гарантируя, что ОС всегда будет обновлена с меньшим количеством потенциальных уязвимостей.
• Ограничьте выбор устройств теми, которые, по вашему мнению, обеспечивают наилучший уровень безопасности данных, обрабатываемых компанией.
• Подумайте, кто имеет право устанавливать приложения на устройство и откуда приложения могут быть получены. Примите решение о том, какие приложения разрешены, а какие могут быть запрещены. Предложите сотрудникам рекомендации относительно рисков, связанных с загрузкой непроверенных приложений.
• Должна существовать процедура для управления данными на устройстве, если устройство будет продано или сломается и его необходимо вернуть для замены.

Вывод

По мере перехода компаний к среде BYOD необходимо вносить серьезные коррективы. Вместо того, чтобы управлять предсказуемым набором устройств и конфигураций, компания сталкивается с многогранным ландшафтом множества различных устройств, работающих под управлением различных операционных систем.

Преимущества смартфонов и планшетных устройств огромны: обычные повседневные задачи, такие как отправка электронной почты, редактирование документов и хранение информации, которые раньше выполнялись на настольном ПК в офисе, теперь могут выполняться удаленно.

Однако риск безопасности и отсутствие контроля над этими устройствами преобладают. Компании должны обеспечить принятие правильных мер безопасности для предотвращения случайного или преднамеренного компрометации корпоративных данных.

Чтобы компании могли воспользоваться многочисленными преимуществами политики BYOD, она должна быть построена с учетом всех рисков, а после ее внедрения должна эффективно поддерживаться и управляться.