Trang Chủ Bảo vệ 7 điểm cần xem xét khi soạn thảo chính sách bảo mật nội bộ

7 điểm cần xem xét khi soạn thảo chính sách bảo mật nội bộ

Mục lục:

Anonim

Mang theo các thiết bị của riêng bạn (BYOD) đang gia tăng; vào năm 2017, một nửa nhân viên kinh doanh sẽ cung cấp các thiết bị của riêng họ, theo Gartner.


Đưa ra một chương trình BYOD không dễ dàng và rủi ro bảo mật là rất thực tế, nhưng áp dụng chính sách bảo mật sẽ có nghĩa là tiềm năng cắt giảm chi phí và tăng năng suất trong thời gian dài. Dưới đây là bảy điều bạn cần xem xét khi soạn thảo chính sách bảo mật BYOD. (Tìm hiểu thêm về BYOD trong 5 điều cần biết về BYOD.)

Đội đúng

Trước khi đặt ra bất kỳ quy tắc loại nào cho BYOD tại nơi làm việc, bạn cần có đội ngũ phù hợp để soạn thảo các chính sách.


"Những gì tôi thấy là một người từ HR sẽ soạn thảo chính sách, nhưng họ không hiểu các yêu cầu kỹ thuật, vì vậy chính sách này không phản ánh những gì các công ty làm", Tatiana Melnik, một luật sư tại Florida chuyên về quyền riêng tư dữ liệu và an ninh.


Chính sách này sẽ phản ánh các hoạt động của doanh nghiệp và một người có nền tảng công nghệ cần phải lãnh đạo việc soạn thảo, trong khi các đại diện từ pháp lý và nhân sự có thể đưa ra lời khuyên và đề xuất.


"Một công ty nên xem xét nếu họ cần thêm các điều khoản và hướng dẫn bổ sung trong chính sách, ví dụ, liên quan đến việc sử dụng Wi-Fi và cho phép các thành viên gia đình và bạn bè sử dụng điện thoại", Melnik nói. "Một số công ty chọn giới hạn loại ứng dụng có thể được cài đặt và nếu họ đăng ký thiết bị của nhân viên vào chương trình quản lý thiết bị di động, họ sẽ liệt kê các yêu cầu đó."

Mã hóa và Sandboxing

Các cog quan trọng đầu tiên cho bất kỳ chính sách bảo mật BYOD nào là mã hóa và sandbox dữ liệu. Mã hóa và chuyển đổi dữ liệu thành mã sẽ bảo mật thiết bị và thông tin liên lạc của thiết bị. Bằng cách sử dụng chương trình quản lý thiết bị di động, doanh nghiệp của bạn có thể phân chia dữ liệu thiết bị thành hai khía cạnh khác nhau, kinh doanh và cá nhân và ngăn không cho chúng trộn lẫn, Nicholas Lee, giám đốc dịch vụ người dùng cuối tại Fujitsu America, người đứng đầu các chính sách của BYOD tại Fujitsu.


"Bạn có thể nghĩ về nó như một container, " ông nói. "Bạn có khả năng chặn sao chép và dán và truyền dữ liệu từ thùng chứa đó sang thiết bị, vì vậy mọi thứ bạn có là thông minh của công ty sẽ nằm trong một thùng chứa đó."


Điều này đặc biệt hữu ích để loại bỏ quyền truy cập mạng cho một nhân viên đã rời khỏi công ty.

Hạn chế truy cập

Là một doanh nghiệp, bạn có thể cần phải tự hỏi mình cần bao nhiêu thông tin nhân viên tại một thời điểm nhất định. Cho phép truy cập vào email và lịch có thể hiệu quả, nhưng mọi người có cần truy cập vào thông tin tài chính không? Bạn phải xem xét bạn cần đi bao xa.


"Tại một số điểm, bạn có thể quyết định rằng đối với một số nhân viên nhất định, chúng tôi sẽ không cho phép họ sử dụng các thiết bị của riêng họ trên mạng", Melnik nói. "Vì vậy, ví dụ, bạn có một nhóm điều hành có quyền truy cập vào tất cả dữ liệu tài chính của công ty, bạn có thể quyết định rằng đối với mọi người trong một số vai trò nhất định, họ không thích hợp sử dụng thiết bị của mình vì quá khó kiểm soát và rủi ro quá cao và không sao để làm điều đó. "


Tất cả điều này phụ thuộc vào giá trị của CNTT đang bị đe dọa.

Các thiết bị tại Play

Bạn không thể mở các vùng lũ cho bất kỳ và tất cả các thiết bị. Tạo một danh sách ngắn các thiết bị mà chính sách BYOD và nhóm CNTT của bạn sẽ hỗ trợ. Điều này có thể có nghĩa là giới hạn nhân viên trong một hệ điều hành hoặc thiết bị nhất định đáp ứng mối quan tâm bảo mật của bạn. Xem xét việc thăm dò ý kiến ​​nhân viên của bạn về việc họ có quan tâm đến BYOD hay không và họ sẽ sử dụng thiết bị nào.


William D. Pitney của FocusYou có một đội ngũ nhỏ gồm hai nhân viên tại công ty lập kế hoạch tài chính của mình và tất cả họ đã di chuyển sang iPhone, trước đây đã sử dụng kết hợp Android, iOS và Blackberry.


"Trước khi chuyển sang iOS, điều đó khó khăn hơn. Vì mọi người đều chọn chuyển sang Apple, nên việc quản lý bảo mật dễ dàng hơn nhiều", ông nói. "Ngoài ra, mỗi tháng một lần, chúng tôi thảo luận về các bản cập nhật iOS, cài đặt ứng dụng và các giao thức bảo mật khác."

Xóa từ xa

Vào tháng 5 năm 2014, luật pháp của Thượng viện California đã phê chuẩn sẽ thực hiện "công tắc tiêu diệt" - và khả năng vô hiệu hóa điện thoại đã bị đánh cắp - bắt buộc trên tất cả các điện thoại được bán trong tiểu bang. Các chính sách của BYOD nên tuân theo, nhưng nhóm CNTT của bạn sẽ cần các khả năng để làm như vậy.


"Nếu bạn cần tìm iPhone của mình … nó gần như tức thời với góc phần tư cấp GPS và về cơ bản bạn có thể xóa thiết bị từ xa nếu bạn làm mất thiết bị. Điều tương tự cũng xảy ra với một thiết bị công ty. thiết bị, "Lee nói.


Thách thức với chính sách đặc biệt này là trách nhiệm thuộc về chủ sở hữu để báo cáo khi thiết bị của họ bị mất. Điều đó đưa chúng ta đến điểm tiếp theo …

An ninh và văn hóa

Một trong những lợi ích chính của BYOD là nhân viên đang sử dụng một thiết bị mà họ cảm thấy thoải mái. Tuy nhiên, nhân viên có thể rơi vào những thói quen xấu và cuối cùng có thể giữ lại thông tin bảo mật bằng cách không tiết lộ các vấn đề kịp thời.


Các doanh nghiệp không thể nhảy sang BYOD. Các khoản tiết kiệm tiền tiềm năng đang hấp dẫn, nhưng thảm họa an ninh có thể tồi tệ hơn nhiều. Nếu doanh nghiệp của bạn quan tâm đến việc sử dụng BYOD, triển khai chương trình thí điểm sẽ tốt hơn là lặn đầu tiên.


Giống như các cuộc họp hàng tháng của FocusYou, các công ty nên thường xuyên kiểm tra những gì đang hoạt động và những gì không, đặc biệt là khi bất kỳ rò rỉ dữ liệu nào là trách nhiệm của doanh nghiệp, không phải của nhân viên. "Nói chung, đây sẽ là công ty chịu trách nhiệm", Melnik nói, ngay cả khi đó là một thiết bị cá nhân được đề cập.


Bảo vệ duy nhất mà một công ty có thể có là "bảo vệ nhân viên bất hảo", trong đó nhân viên rõ ràng đã hành động bên ngoài phạm vi vai trò của họ. "Một lần nữa, nếu bạn hành động ngoài chính sách, thì bạn phải có chính sách, " Melnik nói. "Điều đó sẽ không hiệu quả nếu không có chính sách và không được đào tạo về chính sách đó và không có dấu hiệu nào cho thấy nhân viên nhận thức được chính sách đó."


Đây là lý do tại sao một công ty nên có chính sách bảo hiểm vi phạm dữ liệu. Melnik cho biết: "Cách thức vi phạm đang diễn ra mọi lúc, thật nguy hiểm cho các công ty không có chính sách tại chỗ". (Tìm hiểu thêm trong 3 Thành phần chính của BYOD Security.)

Chính sách hóa

Iynky Maheswaran, người đứng đầu doanh nghiệp di động tại Macquarie Telecom của Úc, đồng thời là tác giả của một báo cáo có tên "Cách tạo chính sách BYOD", khuyến khích lập kế hoạch trước từ góc độ pháp lý cũng như công nghệ. Điều này đưa chúng ta trở lại để có đội ngũ phù hợp.


Melnik tái khẳng định sự cần thiết phải có thỏa thuận sử dụng lao động / nhân viên đã ký để đảm bảo các chính sách được tuân thủ. Cô nói rằng "phải nói rõ cho họ biết rằng thiết bị của họ phải được chuyển đi trong trường hợp kiện tụng, rằng họ sẽ cung cấp thiết bị, rằng họ sẽ sử dụng thiết bị theo chính sách, " nơi tất cả các yếu tố này được thừa nhận trong một tài liệu đã được ký kết. "


Một thỏa thuận như vậy sẽ sao lưu chính sách của bạn và cung cấp cho họ nhiều trọng lượng và bảo vệ hơn.

7 điểm cần xem xét khi soạn thảo chính sách bảo mật nội bộ