Lar Segurança 7 pontos a considerar ao elaborar uma política de segurança byod

7 pontos a considerar ao elaborar uma política de segurança byod

Índice:

Anonim

As práticas Traga seu próprio dispositivo (BYOD) estão aumentando; até 2017, metade dos funcionários da empresa fornecerá seus próprios dispositivos, de acordo com o Gartner.


A implantação de um programa BYOD não é fácil e os riscos de segurança são muito reais, mas a implementação de uma política de segurança significará o potencial de reduzir custos e aumentar a produtividade a longo prazo. Aqui estão sete coisas que você precisa considerar ao elaborar uma política de segurança BYOD. (Saiba mais sobre BYOD em 5 coisas para saber sobre BYOD.)

A equipe certa

Antes de definir regras de BYOD no local de trabalho, você precisa da equipe certa para elaborar as políticas.


"O que vi é que alguém do RH elaborará a política, mas eles não entendem os requisitos técnicos, para que a política não reflita o que as empresas fazem", diz Tatiana Melnik, advogada da Flórida especializada em privacidade de dados. e segurança.


A política deve refletir as práticas da empresa e alguém com formação tecnológica precisa liderar a redação, enquanto representantes do departamento jurídico e de RH podem oferecer conselhos e sugestões.


"Uma empresa deve considerar se precisa adicionar termos e orientações adicionais à política, por exemplo, relacionados ao uso de Wi-Fi e permitindo que familiares e amigos usem o telefone", disse Melnik. "Algumas empresas optam por limitar o tipo de aplicativos que podem ser instalados e, se inscreverem o dispositivo do funcionário em um programa de gerenciamento de dispositivos móveis, listarão esses requisitos".

Criptografia e sandbox

A primeira engrenagem vital de qualquer política de segurança BYOD é a criptografia e o armazenamento em sandbox dos dados. A criptografia e a conversão dos dados em código protegerão o dispositivo e suas comunicações. Ao usar um programa de gerenciamento de dispositivos móveis, sua empresa pode segmentar dados de dispositivos em dois lados distintos, comercial e pessoal, e impedir que eles se misturem, explica Nicholas Lee, diretor sênior de serviços de usuário final da Fujitsu America, que liderou as políticas de BYOD na Fujitsu.


"Você pode pensar nisso como um recipiente", diz ele. "Você tem a capacidade de bloquear copiar e colar e transferir dados desse contêiner para o dispositivo, para que tudo o que você possui corporativamente permaneça no contêiner único".


Isso é particularmente útil para remover o acesso à rede de um funcionário que deixou a empresa.

Limitando o acesso

Como empresa, você pode se perguntar quantas informações os funcionários precisarão em um determinado momento. Permitir o acesso a e-mails e calendários pode ser eficiente, mas todos precisam acessar informações financeiras? Você deve considerar até onde precisa ir.


"Em algum momento, você pode decidir que, para certos funcionários, não vamos permitir que eles usem seus próprios dispositivos na rede", disse Melnik. "Então, por exemplo, você tem uma equipe executiva que tem acesso a todos os dados financeiros da empresa; pode decidir que, para pessoas em determinadas funções, não é apropriado que elas usem seu próprio dispositivo, porque é muito difícil controlá-lo e os riscos são muito altos e não há problema em fazer isso ".


Tudo isso depende do valor da TI em jogo.

Os dispositivos em jogo

Você não pode simplesmente abrir as comportas para todo e qualquer dispositivo. Faça uma lista de dispositivos que sua política de BYOD e equipe de TI suportarão. Isso pode significar restringir a equipe a um determinado sistema operacional ou dispositivos que atendam às suas preocupações de segurança. Considere pesquisar sua equipe sobre se eles estão interessados ​​no BYOD e quais dispositivos eles usariam.


William D. Pitney, da FocusYou, possui uma pequena equipe de dois em sua empresa de planejamento financeiro, e todos migraram para o iPhone, tendo usado anteriormente uma mistura de Android, iOS e Blackberry.


"Antes de migrar para o iOS, era mais desafiador. Como todos optaram por migrar para a Apple, tornou o gerenciamento de segurança muito mais fácil", disse ele. "Além disso, uma vez por mês, discutimos atualizações do iOS, instalação de aplicativos e outros protocolos de segurança".

Limpeza remota

Em maio de 2014, o Senado da Califórnia aprovou uma legislação que tornará os "interruptores de interrupção" - e a capacidade de desativar os telefones roubados - obrigatórios em todos os telefones vendidos no estado. As políticas de BYOD devem seguir o exemplo, mas sua equipe de TI precisará dos recursos para fazer isso.


"Se você precisar encontrar o seu iPhone … é quase instantâneo com o quadrante no nível do GPS e você pode basicamente limpar o dispositivo remotamente se o perder. O mesmo vale para um dispositivo corporativo. Você pode basicamente remover o contêiner corporativo de o dispositivo ", disse Lee.


O desafio dessa política em particular é que o ônus recai sobre o proprietário quando o dispositivo está ausente. Isso nos leva ao próximo ponto …

Segurança e Cultura

Um dos principais benefícios do BYOD é que os funcionários estão usando um dispositivo com o qual se sentem confortáveis. No entanto, os funcionários podem adotar maus hábitos e podem ocultar informações de segurança, não divulgando os problemas em tempo hábil.


As empresas não podem pular para o BYOD fora do punho. As economias potenciais em dinheiro são atraentes, mas os possíveis desastres de segurança são muito piores. Se sua empresa estiver interessada em usar BYOD, é melhor lançar um programa piloto do que mergulhar de cabeça.


Assim como as reuniões mensais da FocusYou, as empresas devem verificar regularmente o que está funcionando e o que não está, especialmente porque qualquer vazamento de dados é de responsabilidade da empresa, não da empresa. "Geralmente será a empresa responsável", diz Melnik, mesmo que seja um dispositivo pessoal em questão.


A única defesa que uma empresa pode ter é uma "defesa desonesta dos funcionários", na qual o funcionário estava claramente atuando fora do escopo de sua função. "Novamente, se você estiver agindo fora da política, precisará ter uma política em vigor", diz Melnik. "Isso não funcionará se não houver uma política e nenhum treinamento nessa política e nenhuma indicação de que o funcionário esteja ciente dessa política".


É por isso que uma empresa deve ter apólices de seguro de violação de dados. "Como as violações acontecem o tempo todo, é arriscado as empresas não adotarem uma política", acrescenta Melnik. (Saiba mais em Os três principais componentes da segurança BYOD.)

Codificando a política

Iynky Maheswaran, chefe de negócios móveis da Macquarie Telecom, da Austrália, e autor de um relatório chamado "Como criar uma política de BYOD", incentiva o planejamento avançado, tanto do ponto de vista jurídico quanto tecnológico. Isso nos leva a ter a equipe certa.


Melnik reafirma a necessidade de ter um contrato assinado entre empregador / empregado para garantir que as políticas sejam respeitadas. Ela diz que deve ser "claramente articulado para eles que o dispositivo deve ser entregue em caso de litígio, que eles disponibilizarão o dispositivo, que usarão o dispositivo de acordo com a política, onde todos esses fatores são reconhecidos em um documento assinado ".


Esse acordo fará backup de suas políticas e dará muito mais peso e proteção.

7 pontos a considerar ao elaborar uma política de segurança byod