BYOD: bezpečnostní politika

Zaměstnanci chtějí ze svých soukromých zařízení přistupovat do podnikových aplikací, které mnohdy obsahují  velice citlivé informace, jež lze poté velice často nalézt i na samotných zařízeních.

Zaměstnanci si bohužel neuvědomují, o jak citlivé informace se jedná a jakou tyto informace mají pro společnost cenu. A že se dost často jedná o informace, které jsou tím nejcennějším aktivem, které společnost vlastní, a proto je nezbytné zajistit jejich ochranu během celého jejich životního cyklu.

Vždy byste se měli ptát, kdo, odkud, k čemu a z jakého zařízení chce vlastně přistupovat. Předpokládám, že jste již provedli nějakou analýzu rizik, a na základě výsledků jste rozhodli o tom, ke kterým aplikacím a datům může být přistupováno vzdáleně přes internet, takže teď zbývá už jen vydefinovat, jaká opatření musí být implementována, aby k těmto aplikacím a datům mohlo být přistupováno i ze soukromých zařízení. V rámci zavedení programu BYOD (Bring Your Own Device) by měly vzniknout i příslušné dokumenty jako je bezpečnostní politika, bezpečnostní standard a příručka. Základní bezpečnostní požadavky mohou být např. následující:

  • Zařízení se musí automaticky uzamykat po určité době nečinnosti.
  • Zařízení musí být chráněno heslem.
  • Po několika neúspěšných pokusech o přihlášení musí být obsah zařízení smazán.
  • Data v uložená v zařízení musí být šifrována.
  • Citlivá data musí být při přenosu šifrována.
  • K vybraným aplikacím musí být přistupováno přes VPN.
  • Ve vybraných případech se uživatel musí dvoufaktorově autentizovat.
  • V případě ztráty nebo zcizení zařízení, musí být možné data na dálku smazat.

Musí být zajištěno, že zařízení budou nastavena v souladu s požadavky a uživatelé nebudou moci toto nastavení měnit. To znamená, že musí existovat nějaká možnost, jak požadované nastavení na dálku vynutit. Jistě jste si všimli, že tady schází nějaké pravidlo ohledně instalace dalších aplikací. Je tomu tak proto, že v okamžiku, kdy začnete řešit, zda uživatelům povolit či zakázat instalovat další aplikace, může se pro mnohé z nich stát program BYOD méně atraktivní resp. nebudou o něj stát vůbec. Takže myslete na to, až budete bezpečnostní politiku navrhovat. Výše uvedené bezpečnostní požadavky by měly být pro většinu uživatelů přijatelné, protože jim umožňují plně využít možností, které jim jejich zařízení nabízí. Zaměstnavatel by měl být též spokojen, protože pokud budou zařízení nastavena v souladu s výše uvedeným doporučením, bude zajištěna i odpovídající úroveň bezpečnosti.

Další bod, který by se měl v bezpečnostní politice objevit, by měla být pasáž týkající se deprovisioningu a vzdáleného smazání dat. Je to bod značně problematický, ale velice důležitý, protože v případě, že dojde k ukončení pracovního poměru, tak zaměstnanci jeho zařízení zůstává a vy nejspíš nebudete chtít, aby na něm byla nadále uložena data, která patří vaší firmě. Při smazání však nelze až na výjimky odlišit, která data jsou soukromá a která firemní a tak zpravidla dojde ke smazání všech dat a to může být problém. Pokud vám zaměstnanec nepodepíše souhlas, že vám umožňuje vzdáleně spravovat své zařízení a souhlasí s tím, že v případě ukončení pracovního poměru budou všechna data na jeho zařízení smazána, mohl by vás i zažalovat, že jste mu způsobili škodu. Konzultujte proto tuto záležitost s vaším právníkem.

To, že by si zaměstnanec mohl tímto způsobem odnést firemní data je pravda, ale on si je, když bude chtít, odnese stejně. Můžete sice zavést základní sadu bezpečnostních opatření, implementovat SIEM, DLP, NBA, ale zcela zabránit zaměstnanci, který má k datům legitimní přístup, aby je nezneužil, se vám nikdy nepovede. A navíc, jestli zaměstnanec své zařízení pravidelně zálohoval, je dost pravděpodobné, že se vaše data již dávno nachází u něj doma v nějakém adresáři hned vedle jeho sbírky hudby a filmů, na jeho přenosném terabajtovém disku, který si pro tyto účely též zakoupil. Vidíte, tímto jsme narazili na další problém a to, kdo, kdy a jak by měl v rámci programu BYOD zálohy provádět.

Poté, co sepíšete svou bezpečnostní politiku, byste měli začít pracovat na bezpečnostním standardu, kde už by se měly objevit zcela konkrétní požadavky. Takže byste se měli zamyslet nad tím, po jak dlouhé době nečinnosti by se mělo zařízení uzamknout, jaká bude doba platnosti hesla. Zda bude k odemčení zařízení možno používat passcode, komplexní heslo nebo znak. Vaše rozhodnutí by mělo být založeno na tom, jak citlivá data mohou být na zařízení uložena, resp. k jakým aplikacím a datům lze ze zařízení přistupovat, a konečně jaká by vám mohla vzniknout škoda. Rozhodnutí to nebude snadné, protože více než kdy jindy bude proti sobě stát požadavky na bezpečnost a použitelnost.

V okamžiku, kdy máte vydefinovaná základní bezpečnostní pravidla, musíte spočítat celkové náklady, které vám v souvislosti s programem BYOD vzniknou. Uvědomte si, že byť jsou výše uvedené požadavky na bezpečnost minimální, a na většině zařízení lze tuto politiku vynutit, tak je za tímto účelem zpravidla nutné zakoupit speciální SW, který slouží k vlastní správě těchto zařízení. V okamžiku, kdy svým zaměstnancům povolíte přinést jakékoliv zařízení, můžete zjistit, že vám jeden nástroj nebude stačit a náklady na správu těchto zařízení pak budou vyšší než před zavedením programu BYOD a vy potom proklamovaných úspor nedosáhnete.

V některém příštím příspěvku na téma BYOD se podíváme na konkrétní mobilní OS pro smartphony a tablety a na možnosti jejich správy. Zatím mi můžete napsat, jaký máte názor na výše uvedené bezpečnostní požadavky.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:

  1. Harry

    Zní to velice rozumně, pouze bych chtěl referenci, že to někde již plně funguje. Zatím české firmy spíš přešlapují na místě, o státní správě ani nemluvě. Bohužel stále platí, že když si pan ředitel dupne, do sítě se připojí cokoliv ať bezpečnostní politika říká co chce.

  2. Mart

    Jaké úspory? Podle Českých zákonů je zaměstnavatel povinný kompenzovat zaměstnance za používání soukromých prostředků k pracovní činnosti. Jako použití vlastního auta pro pracovní účely nebo vlastního PC.

    To Harry: ředitel je ultimátně zodpovědný za všechno co se ve firmě stane, takže on jediný má právo předefinovat bezpečnostní politiku pro konkrétní zařízení :-)


K článku “BYOD: bezpečnostní politika” se zde nachází 2 komentáře.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: