Κάθε εταιρεία όπου οι εργαζόμενοι μπορούν να φέρουν smartphones, tablet ή προσωπικούς φορητούς υπολογιστές στον χώρο εργασίας χρειάζεται μια πολιτική ασφάλειας για την εισαγωγή της δικής σας συσκευής (ή πολιτική BYOD, για συντομία) στο εταιρικό δίκτυο. Σχεδόν κάθε εργαζόμενος φέρνει στην εργασία του μια συσκευή που συνδέεται στο διαδίκτυο. Ακόμη και αν η συσκευή αυτή δεν είναι ενεργά συνδεδεμένη σε δίκτυο της εταιρείας, μπορεί να παρουσιάζει κινδύνους ασφαλείας.
Η χρήση μιας προσωπικής συσκευής για κάτι τόσο αβλαβές όσο η αποστολή ενός εργασιακού email μπορεί να δημιουργήσει τρωτά σημεία στο δίκτυο ενός οργανισμού. Οι οργανισμοί όλων των μεγεθών βρίσκουν την ασφάλεια του BYOD προκλητική, επειδή οι εταιρείες πρέπει να ασκούν κάποιο έλεγχο στα smartphones και τα tablets που ανήκουν στους υπαλλήλους τους
Τι μπορούν να κάνουν οι εταιρείες για να βελτιώσουν την κυβερνοασφάλειά τους υπό αυτές τις συνθήκες; Μια επιλογή είναι να απαγορεύσουν εντελώς το BYOD και να επιβάλουν αυστηρά αυτή την πολιτική. Ωστόσο, η παγκόσμια αγορά BYOD είναι μεγάλη και αυξάνεται. Το 2022 η αγορά εκτιμάται ότι θα έχει αξία 350 δισεκατομμυρίων δολαρίων. Η τάση για εργασία από το σπίτι που καταλύθηκε από την πανδημία έχει επιταχύνει την ανάπτυξή της. Η εναλλακτική λύση είναι να μελετήσετε την πρακτική αυτή, θεσπίζοντας παράλληλα πολιτικές και ασφάλεια BYOD κοινής λογικής, ώστε να την κάνετε ασφαλέστερη τόσο για τις εταιρείες όσο και για τους εργαζόμενους. Οι περισσότερες εταιρείες θεωρούν ότι αυτή είναι η ευκολότερη από τις δύο επιλογές στην εφαρμογή, όχι ότι μια λογική πολιτική BYOD δεν απαιτεί προσπάθεια και σκέψη.
Κίνδυνοι ασφάλειας από την πολιτική BYOD
Το BYOD σημαίνει ότι, ονομαστικά, οι εταιρείες δαπανούν λιγότερα χρήματα για υλικό και λογισμικό για τους υπαλλήλους τους. Το 82% των εταιρειών επιτρέπει στους υπαλλήλους να χρησιμοποιούν προσωπικές συσκευές για την εργασία τους. Το 71% αυτών των εργοδοτών θεωρεί ότι επιτρέπει στους ανθρώπους να είναι πιο άνετοι κατά τη χρήση των συσκευών, δεδομένου ότι είναι πιο εξοικειωμένοι με τα προσωπικά τους τηλέφωνα. Το 58% θεωρεί ότι είναι πιο παραγωγικό. Ωστόσο, μόνο το 55% διαπιστώνει ότι μειώνει το κόστος. Γιατί αυτή η ασυμφωνία; Πιθανώς επειδή από τις εταιρείες των οποίων οι πολιτικές ασφαλείας επιτρέπουν το BYOD, ένα εντυπωσιακό 50% αντιμετωπίζει παραβιάσεις δεδομένων μέσω συσκευών που ανήκουν στους εργαζομένους. Δεν είναι λοιπόν περίεργο ότι το 26% των εταιρειών που αντιτίθενται στην υιοθέτηση πολιτικών BYOD αναφέρουν ως κύριο λόγο τις ανησυχίες για την ασφάλεια.
Βέλτιστες πρακτικές ασφάλειας BYOD
Κάθε πολιτική BYOD που είναι λειτουργική και ασφαλείς θα πρέπει να καλύπτει αυτά τα στοιχεία:
Επιτρεπόμενους τύπους συσκευών Αποδεκτή χρήση: σε ποιες εφαρμογές και συσκευές μπορούν να έχουν πρόσβαση οι εργαζόμενοι από τις συσκευές τους; Ελάχιστες απαιτήσεις για τους ελέγχους ασφαλείας των συσκευών: ποια μέτρα ασφαλείας θα απαιτήσει η εταιρεία για τις συσκευές BYOD; Στοιχεία που παρέχονται από την εταιρεία: για παράδειγμα, πιστοποιητικά SSL για τον έλεγχο ταυτότητας της συσκευής Δικαιώματα της εταιρείας σχετικά με την τροποποίηση της συσκευής: για παράδειγμα, απομακρυσμένη διαγραφή σε περίπτωση κλοπής ή απώλειας μιας συσκευής Τι συμβαίνει με τα δεδομένα της εταιρείας στις συσκευές των εργαζομένων που αποχωρούν από την εταιρεία; Σε ποιον ανήκουν οι εφαρμογές και τα δεδομένα στη συσκευή; Θα αποζημιώνεται το προσωπικό από την εταιρεία για τις εφαρμογές ή τα μηνιαία τέλη; Ποια υποστήριξη θα παρέχει η ΤΠ στους κατόχους συσκευών;Οι ακόλουθες διατάξεις θα πρέπει να εξεταστούν από τους υπεύθυνους χάραξης πολιτικής, ώστε να παρασχεθούν οι καλύτερες επιλογές:
Κανόνες κοινής λογικής: περιορισμός των προσωπικών κλήσεων και βίντεο στην εργασία, καμία χρήση κατά την οδήγηση Συντήρηση και αναβαθμίσεις: οποιαδήποτε οριστικοποιημένη πολιτική θα πρέπει να διασφαλίζει ότι οι εργαζόμενοι διατηρούν αξιόπιστα τις συσκευές και τις εφαρμογές ενημερωμένες Διατάξεις για τη μεταφορά δεδομένων: τα δεδομένα της εταιρείας θα πρέπει να κρυπτογραφούνται και να προστατεύονται με κωδικό πρόσβασης και να μεταφέρονται μόνο σε εφαρμογές που έχουν επιβληθεί από την εταιρεία. Διατάξεις για τους κωδικούς πρόσβασης: η χρήση κωδικών πρόσβασης είναι προφανώς αδιαπραγμάτευτη για την προστασία ευαίσθητων πληροφοριών- μπορεί επίσης να απαιτείται έλεγχος ταυτότητας δύο παραγόντων.
Πολιτική ασφάλειας των συσκευών BYOD
Πώς είναι καλύτερο να σχεδιάσετε συνεκτικές και ασφαλείς πρακτικές BYOD; Σε κάθε σύνταξη πολιτικής αυτής της κλίμακας θα πρέπει να συμμετέχουν τόσο οι εργαζόμενοι όσο και οι ενδιαφερόμενοι φορείς. Η συμβολή των εργαζομένων μπορεί να ληφθεί μέσω μιας έρευνας, η οποία αποτελεί εξαιρετική βάση για τον σχεδιασμό της πολιτικής. Τα διευθυντικά στελέχη, το ανθρώπινο δυναμικό, οι λειτουργίες πληροφορικής, τα οικονομικά και η ασφάλεια θα πρέπει να συμμετέχουν και να εκπροσωπούνται σε μια ομάδα διαχείρισης έργου BYOD. Αυτά τα τμήματα έχουν να συνεισφέρουν.
Μόλις αποσταλεί μια έρευνα και ληφθούν οι απαντήσεις, οι ωφέλιμες αναλύσεις που πρέπει να γίνουν περιλαμβάνουν ποια δεδομένα και εφαρμογές χρειάζονται στις συσκευές των εργαζομένων. Μετά την εισαγωγή της ολοκληρωμένης πολιτικής, η εκπαίδευση αποτελεί ζωτικό στάδιο της διαδικασίας. Οι εργαζόμενοι σε όλα τα επίπεδα πρέπει να λάβουν οδηγίες σχετικά με το πρωτόκολλο χειρισμού δεδομένων, την αντιμετώπιση προβλημάτων στις συσκευές, τη διαδικασία για τις χαμένες ή κλεμμένες συσκευές, τις εφαρμογές που πρέπει να χρησιμοποιούνται και τα μέτρα κατά του phishing, καθώς και ευρύτερες οδηγίες για την επαγρύπνηση έναντι των απειλών στον κυβερνοχώρο.
Πιστεύεται ευρέως ότι οι εργαζόμενοι που δεν έχουν εκπαιδευτεί στην κυβερνοασφάλεια αποτελούν τον μεγαλύτερο κίνδυνο για την ακεραιότητα των δεδομένων του οργανισμού. Το 2014, το 87% των διευθυντών πληροφορικής πίστευε ότι η μεγαλύτερη απειλή για τους οργανισμούς ήταν οι φορητές συσκευές που χρησιμοποιούνταν από απρόσεκτους υπαλλήλους. Το 2020, ένα εντυπωσιακό 96% των επιθέσεων σε κινητές συσκευές χρησιμοποιούσαν εφαρμογές ως φορέα. Αυτό οφείλεται στο γεγονός ότι η υπερπλειοψηφία των εφαρμογών, σχεδόν 4 στις 5, ενσωματώνουν βιβλιοθήκες τρίτων που μπορούν να δημιουργήσουν ευπάθειες.
Ποιες εφαρμογές θα πρέπει να χρησιμοποιεί μια εταιρεία που εφαρμόζει μια ισχυρή πολιτική BYOD; Μια μελέτη διαπίστωσε ότι οι εργαζόμενοι χρησιμοποιούν πέντε ή περισσότερες εφαρμογές καθημερινά. Οι οργανισμοί θα πρέπει να συμπεριλάβουν μια ειδική ασφαλής πλατφόρμα ανταλλαγής μηνυμάτων, ηλεκτρονικό ταχυδρομείο, CRM και όποιες άλλες εφαρμογές θεωρούν ότι θα χρειαστούν οι υπάλληλοί τους. Βεβαιωθείτε ότι οι εφαρμογές που θα μπορούσαν να αποτελέσουν υποχρεώσεις είναι ρητά εκτός ορίων.
Οι οργανισμοί θα πρέπει επίσης να διαθέτουν συγκεκριμένες διαδικασίες για τους υπαλλήλους που αποχωρούν από την εταιρεία, για οποιονδήποτε λόγο. Όταν ένας εργαζόμενος αποχωρεί, ένας οργανισμός πρέπει να διασφαλίζει ότι όλα τα δεδομένα αφαιρούνται από τις συσκευές του και ότι οποιαδήποτε πρόσβαση σε εταιρικές εφαρμογές αφαιρείται ομοίως. Ωστόσο, αυτό το καθήκον παρουσιάζει πολλές δυσκολίες και συχνά θεωρείται αρκετός λόγος για να εγκαταλείψουν τις πολιτικές BYOD και να παρέχουν τις δικές τους συσκευές.
Μια πολιτική είναι τόσο ισχυρή όσο και η ικανότητα μιας εταιρείας να την επιβάλει, γεγονός που δυστυχώς απαιτεί να υπάρχουν συνέπειες για όσους δεν μπορούν να τηρήσουν την πολιτική. Κάθε πολιτική θα πρέπει να έχει συγκεκριμένες λεπτομέρειες σχετικά με την παρακολούθηση, τη μέτρηση και την επιβολή της ευθύνης που διανέμεται, ώστε όλα τα μέλη της ομάδας να είναι ενήμερα. Η έλλειψη εποπτείας είναι ένα από τα σημαντικότερα ζητήματα για την εφαρμογή του BYOD. Οι εταιρείες χρειάζονται αρκετό προσωπικό υποστήριξης πληροφορικής για να ρυθμίσουν τους υπαλλήλους, με συνεχή υποστήριξη και παρακολούθηση.
Αφού εξασφαλιστούν τα συστήματα και τα πρωτόκολλα, οι οργανισμοί θα πρέπει να δώσουν προτεραιότητα στην εκπαίδευση των εργαζομένων. Για να πετύχει ένα BYOD, η εντύπωση της σημασίας της αποδεκτής χρήσης και της βασικής υγιεινής της ασφάλειας των δεδομένων στους υπαλλήλους είναι απαραίτητη.
Λύσεις ασφάλειας BYOD
Οι λύσεις ασφαλείας που θα πρέπει να εξεταστούν για να συμπεριληφθούν σε μια πολιτική BYOD περιλαμβάνουν:
Κρυπτογράφηση για δεδομένα σε αποθήκευση και κατά τη μεταφορά τους Antivirus: είτε παρέχεται από την εταιρεία είτε απαιτείται η εγκατάσταση από τους εργαζόμενους Παρακολούθηση: εντοπισμός της θέσης GPS των συσκευών των εργαζομένων ή της κίνησης στο διαδίκτυο κ.λπ. Περίφραξη: συσκευές που διαχωρίζονται σε προσωπικά ή οικονομικά sandbox με προστασία με κωδικό πρόσβασης. Εκπαίδευση στην "υγιεινή" των κωδικών πρόσβασης, συμπεριλαμβανομένων των απαιτήσεων για τακτικές αλλαγές Μαύρη λίστα: αποκλεισμός ή περιορισμός των εφαρμογών ειδικά επειδή αποτελούν κίνδυνο για την επιχειρησιακή ασφάλεια ή βλάπτουν την παραγωγικότητα - αυτό δεν είναι συνήθως δυνατό στις συσκευές που ανήκουν στους εργαζόμενους, παρά μόνο με τη διαχείριση εμπορευματοκιβωτίων. Whitelisting: επιτρέπει την πρόσβαση μόνο σε ορισμένες εγκεκριμένες εφαρμογές, συνήθως πιο πρακτικό για υλικό που διανέμεται από τον οργανισμό απαίτηση για τακτική δημιουργία αντιγράφων ασφαλείας, καθώς και για ενημερώσεις εφαρμογών και λειτουργικών συστημάτων Περιοδική εκπαίδευση και επανεκπαίδευση σχετικά με τον τρόπο διατήρησης της ασφάλειας των δεδομένων της εταιρείας όσον αφορά την πρόσβαση σε δίκτυο Wi-Fi από υλικό BYOD Περιορισμός της πρόσβασης στα δεδομένα: για την πρόληψη της διαρροής δεδομένων, η πρόσβαση στα δεδομένα θα πρέπει να ελέγχεται αυστηρά, ώστε μόνο όσοι χρειάζονται πρόσβαση σε συγκεκριμένα σύνολα δεδομένων για τη δουλειά τους να έχουν πρόσβαση από τις προσωπικές τους συσκευές.
Εργαλεία παρακολούθησης της τοποθεσίας των δεδομένων και των προτύπων πρόσβασης στα δεδομένα, για τον εντοπισμό ύποπτης συμπεριφοράς, όπως η πρόσβαση από μη ασφαλείς ή ύποπτες τοποθεσίες (π.χ. Βόρεια Κορέα).
Μια μέθοδος παροχής καλύτερης ασφάλειας για τα συστήματα BYOD είναι η έκδοση κρυπτογραφημένων USB flash drives και κρυπτογραφημένων SSD στους υπαλλήλους. Πιο οικονομική από την παροχή τηλεφώνων ή tablet για ολόκληρο το εργατικό δυναμικό και σημαντικά πιο απλή από την αποθήκευση κάθε συσκευής που φέρνει το εργατικό δυναμικό στο χώρο, τα δεδομένα που αποθηκεύονται σε αυτές τις συσκευές προστατεύονται πολύ καλύτερα από ό,τι στη μέση συσκευή. Με κρυπτογράφηση επαρκούς ποιότητας, ένας κλέφτης που μπορεί να αποκτήσει μια κρυπτογραφημένη μονάδα δίσκου δεν μπορεί να προχωρήσει σε πρόσβαση σε ευαίσθητα δεδομένα.
Freegr network blog- News about pc, technology.
freegr
