Inhalt
- Das richtige Team
- Verschlüsselung und Sandboxing
- Zugriff einschränken
- Die Geräte im Spiel
- Remote Wiping
- Sicherheit und Kultur
- Kodifizierung der Richtlinie
Quelle: Sue Harper / Dreamstime.com
Wegbringen:
Wenn Sie Ihr eigenes Gerät mitbringen, kann dies Ihrem Unternehmen enorm zugute kommen, aber die Sicherheitsrisiken sind zahlreich und eisendichte Richtlinien sind von entscheidender Bedeutung.
BYOD-Praktiken (Bring Your Own Device) nehmen zu. Laut Gartner wird bis 2017 die Hälfte der Geschäftsmitarbeiter ihre eigenen Geräte bereitstellen.Die Einführung eines BYOD-Programms ist nicht einfach und die Sicherheitsrisiken sind sehr real. Die Einführung einer Sicherheitsrichtlinie bedeutet jedoch, dass die Kosten gesenkt und die Produktivität langfristig gesteigert werden können. Im Folgenden sind sieben Punkte aufgeführt, die Sie beim Entwurf einer BYOD-Sicherheitsrichtlinie berücksichtigen müssen. (Weitere Informationen zu BYOD finden Sie unter 5 Wissenswertes zu BYOD.)
Das richtige Team
Bevor Sie Regeln für BYOD am Arbeitsplatz aufstellen, benötigen Sie das richtige Team, um die Richtlinien zu erstellen."Was ich gesehen habe, ist, dass ein Mitarbeiter der Personalabteilung die Richtlinie verfasst, die technischen Anforderungen jedoch nicht versteht. Die Richtlinie spiegelt also nicht das wider, was die Unternehmen tun", sagt Tatiana Melnik, eine auf Datenschutz spezialisierte Anwältin in Florida und Sicherheit.
Die Richtlinie sollte die Geschäftspraktiken widerspiegeln, und jemand mit technologischem Hintergrund muss die Ausarbeitung leiten, während Vertreter der Rechtsabteilung und der Personalabteilung Ratschläge und Vorschläge geben können.
"Ein Unternehmen sollte überlegen, ob es zusätzliche Bestimmungen und Richtlinien in die Richtlinie aufnehmen muss, beispielsweise in Bezug auf die Verwendung von Wi-Fi und die Erlaubnis für Familienmitglieder und Freunde, das Telefon zu benutzen", sagte Melnik. "Einige Unternehmen beschränken die Art der Apps, die installiert werden können. Wenn sie das Gerät des Mitarbeiters für ein Verwaltungsprogramm für mobile Geräte registrieren, werden diese Anforderungen aufgelistet."
Verschlüsselung und Sandboxing
Das erste wichtige Kriterium für eine BYOD-Sicherheitsrichtlinie ist das Verschlüsseln und Sandboxen der Daten. Die Verschlüsselung und Umwandlung der Daten in Code sichert das Gerät und seine Kommunikation. Durch die Verwendung eines Programms zur Verwaltung mobiler Geräte kann Ihr Unternehmen die Gerätedaten in zwei unterschiedliche Bereiche aufteilen, nämlich geschäftliche und private, und deren Vermischung verhindern, erklärt Nicholas Lee, Senior Director für Endbenutzerdienste bei Fujitsu America, der die BYOD-Richtlinien bei betreut hat Fujitsu."Man kann es sich wie einen Container vorstellen", sagt er. "Sie haben die Möglichkeit, das Kopieren und Einfügen sowie das Übertragen von Daten von diesem Container auf das Gerät zu blockieren, sodass alles, was Sie unternehmensweit haben, in diesem einzelnen Container verbleibt."
Dies ist besonders hilfreich, um den Netzwerkzugriff eines Mitarbeiters zu entfernen, der das Unternehmen verlassen hat.
Zugriff einschränken
Als Unternehmen müssen Sie sich möglicherweise fragen, wie viele Informationen Mitarbeiter zu einem bestimmten Zeitpunkt benötigen. Das Zulassen des Zugriffs auf s und Kalender ist zwar effizient, aber muss jeder Zugriff auf Finanzinformationen haben? Sie müssen überlegen, wie weit Sie gehen müssen."Irgendwann können Sie entscheiden, dass bestimmte Mitarbeiter ihre eigenen Geräte nicht mehr im Netzwerk verwenden dürfen", sagte Melnik. "Wenn Sie beispielsweise ein Führungsteam haben, das Zugriff auf alle Finanzdaten des Unternehmens hat, können Sie entscheiden, dass es für Personen in bestimmten Rollen nicht angemessen ist, ihr eigenes Gerät zu verwenden, da es zu schwierig ist, es und die Risiken zu kontrollieren sind zu hoch und das ist in Ordnung. "
Dies alles hängt vom Wert der auf dem Spiel stehenden IT ab.
Die Geräte im Spiel
Sie können die Schleusentore nicht einfach für alle Geräte öffnen. Erstellen Sie eine Liste der Geräte, die Ihre BYOD-Richtlinie und Ihr IT-Team unterstützen. Dies kann bedeuten, das Personal auf ein bestimmtes Betriebssystem oder auf Geräte zu beschränken, die Ihre Sicherheitsbedenken erfüllen. Fragen Sie Ihre Mitarbeiter ab, ob sie an BYOD interessiert sind und welche Geräte sie verwenden würden.William D. Pitney von FocusYou hat eine kleine Belegschaft von zwei Mitarbeitern in seiner Finanzplanungsfirma. Alle sind auf das iPhone umgestiegen, nachdem sie zuvor eine Mischung aus Android, iOS und Blackberry verwendet hatten.
"Vor der Migration auf iOS war dies eine größere Herausforderung. Da sich alle für die Migration auf Apple entschieden haben, hat sich die Verwaltung der Sicherheit erheblich vereinfacht", sagte er. "Außerdem diskutieren wir einmal im Monat iOS-Updates, die Installation von Apps und anderen Sicherheitsprotokollen."
Remote Wiping
Im Mai 2014 hat der kalifornische Senat ein Gesetz verabschiedet, das "Kill Switches" und die Deaktivierung gestohlener Telefone für alle im Bundesstaat verkauften Telefone verbindlich macht. BYOD-Richtlinien sollten folgen, Ihr IT-Team muss jedoch über die entsprechenden Funktionen verfügen."Wenn Sie Ihr iPhone finden müssen ... ist es mit dem Quadranten auf GPS-Ebene fast augenblicklich und Sie können das Gerät im Grunde aus der Ferne löschen, wenn Sie es verlieren. Das Gleiche gilt für ein Firmengerät. Sie können den Firmencontainer im Grunde aus dem Quadranten entfernen." das Gerät ", sagte Lee.
Die Herausforderung bei dieser speziellen Richtlinie besteht darin, dass der Besitzer zu melden hat, wenn sein Gerät fehlt. Das bringt uns zu unserem nächsten Punkt ...
Sicherheit und Kultur
Einer der Hauptvorteile von BYOD ist, dass Mitarbeiter ein Gerät verwenden, mit dem sie sich wohl fühlen. Es kann jedoch vorkommen, dass Mitarbeiter schlechte Angewohnheiten haben und Sicherheitsinformationen zurückhalten, indem sie Probleme nicht rechtzeitig offenlegen.Unternehmen können nicht direkt von der Manschette auf BYOD umsteigen. Die potenziellen Einsparungen sind attraktiv, aber die möglichen Sicherheitskatastrophen sind viel schlimmer. Wenn Ihr Unternehmen an BYOD interessiert ist, ist es besser, ein Pilotprogramm einzuführen, als mit dem Kopf voran zu tauchen.
Ähnlich wie bei den monatlichen Meetings von FocusYou sollten Unternehmen regelmäßig überprüfen, was funktioniert und was nicht, zumal die Verantwortung für Datenlecks beim Unternehmen und nicht beim Mitarbeiter liegt. "Im Allgemeinen ist das Unternehmen dafür verantwortlich", sagt Melnik, auch wenn es sich um ein persönliches Gerät handelt.
Die einzige Verteidigung, die ein Unternehmen haben kann, ist eine "Schurkenverteidigung", bei der der Mitarbeiter eindeutig außerhalb seines Aufgabenbereichs handelte. "Wenn Sie außerhalb der Politik agieren, müssen Sie eine Politik haben", sagt Melnik. "Das funktioniert nicht, wenn es keine Richtlinie und keine Schulung zu dieser Richtlinie gibt und kein Hinweis darauf, dass der Mitarbeiter über diese Richtlinie informiert war."
Aus diesem Grund sollte ein Unternehmen eine Datenschutzversicherung abschließen. "Die Art und Weise, wie Verstöße immer wieder vorkommen, birgt das Risiko, dass Unternehmen keine Richtlinie haben", fügt Melnik hinzu. (Weitere Informationen finden Sie unter Die 3 Hauptkomponenten der BYOD-Sicherheit.)
Kodifizierung der Richtlinie
Iynky Maheswaran, Head of Mobile Business bei Macquarie Telecom in Australien, und Autor eines Berichts mit dem Titel "How to Create a BYOD Policy" (Erstellung einer BYOD-Richtlinie), befürwortet eine frühzeitige Planung sowohl aus rechtlicher als auch aus technologischer Sicht. Dies bringt uns zurück zum richtigen Team.Melnik bekräftigt die Notwendigkeit eines unterzeichneten Arbeitgeber- / Arbeitnehmervertrages, um die Einhaltung der Richtlinien sicherzustellen. Sie sagt, es muss "klar formuliert sein, dass ihr Gerät im Falle eines Rechtsstreits umgedreht werden muss, dass sie das Gerät zur Verfügung stellen werden, dass sie das Gerät gemäß der Richtlinie verwenden werden, wo all diese Faktoren in einem unterschriebenen Dokument anerkannt werden. "
Eine solche Vereinbarung sichert Ihre Richtlinien und verleiht ihnen viel mehr Gewicht und Schutz.