Usposabljanje o informacijski varnosti
Zagotovite usposabljanje o informacijski varnosti svojim zaposlenim. Seznanite se s...
Preberi večInformacijska varnost in zasebnost načela BYOD
By Staša
Mobilne naprave predstavljajo izzive za varnost podjetij
Mobilne naprave so postale sestavni del vsakdanjega življenja ljudi. Danes ima skoraj vsakdo pametni telefon in prenosni računalnik in povezljivost je bistvenega pomena v današnjem poslovnem svetu, zato je logično, da se pametni telefoni in tablični računalniki uporabljajo tako za posel kot za prosti čas. Ker vedno večji del delovnega okolja zasedajo hibridna ali oddaljena delovna mesta, mnogi uporabljajo osebne mobilne naprave za izvajanje svojega dela in dostop do podatkov podjetja. To načelo je znano kot BYOD – Bring Your Own Device oz. Prinesi svojo napravo.
Omogočanje zaposlenim, da pri delu uporabljajo svoje mobilne ali druge naprave, je podjetjem pomagalo prihraniti denar pri investicijah v to tehnologijo, IT oddelek pa je razbremenjen odpravljanja težav, popravil ali zamenjave naprav. Uporabnikom te možnosti predstavljajo tudi določeno udobje, saj se zanašajo na naprave, ki jih poznajo, zato raziskave kažejo na pozitivne učinke na mobilnost, učinkovitost in zadovoljstvo zaposlenih.
Uspeh te strategije je odvisen od njene pravilne implementacije, s pravimi razmisleki glede informacijske varnosti.
Seveda ima to tudi slabo stran: takšna praksa lahko predstavlja večje tveganje za organizacijo, saj zaposleni svoje naprave uporabljajo tudi za osebne dejavnosti. Zato je treba določiti ustrezne smernice za uporabo in nadzor teh naprav.
Odgovornosti uporabnika
Vsi zaposleni bi morali razumeti varnostna tveganja in posledice neupoštevanja pravil (in podjetje bi si moralo dejavno prizadevati za njihovo izobraževanje). Ko se naprave povežejo z omrežji podjetja, lahko pride do vdora podatkov, infiltriranja zlonamerne programske opreme v sisteme podjetja ali motenj poslovanja.
Varnostne nastavitve mora določiti IT oddelek in uporabniki ne smejo poskušati spremeniti ali onemogočiti varnostnih nastavitev. Ko uporabnik sumi, da je njegova osebna naprava morda okužena, bi moral to takoj preveriti s pomočjo IT oddelka.
Uporabnikom bi se moralo svetovati, da fizično zavarujejo svoje naprave in jih varno shranijo v vozilu, hotelski sobi ali drugje, ko se nahajajo na javni lokaciji in ko niso v uporabi. Če uporabnik takšno napravo izgubi ali založi, mora nemudoma obvestiti svoj IT oddelek o možnem varnostnem tveganju.
Prav tako uporabnik ne sme zavreči predhodno pooblaščene naprave, dokler oddelek za informacijsko tehnologijo uradno ne umakne naprave za uporabo BYOD iz sistema.
Glavna varnostna tveganja BYOD
1. Kršitev podatkov
Podatki se lahko izgubijo ali ogrozijo, če so naprave izgubljene ali ukradene ali če je je v njih nameščena zlonamerna programska oprema.
2. Mešanje zasebnega in poslovnega
Čeprav usposabljate zaposlene o varnosti, jim podate smernice, da ne posojajo svojih naprav prijateljem ali kupujejo prek spleta z njenega ogroženega spletnega mesta, takšnih dogodkov ne morete popolnoma preprečiti.
3. Zlonamerne aplikacije
Nekatere zlonamerne aplikacije lahko prevzamejo nadzor nad uporabnikovo mobilno napravo. To lahko povzroči neželen nadzor ali celo izgubo osebnih ali delovnih podatkov. Uporabniki zagotovo potrebujejo usposabljanje o najboljših praksah uporabe aplikacij.
4. Ukradene ali izgubljene naprave
Raziskave kažejo, da je 68 % kršitev zdravstvenih podatkov posledica izgubljenih ali ukradenih naprav ali datotek zaposlenih. Zaščitite naprave z geslom in biometričnimi varnostnimi ukrepi.
Usposobite zaposlene za zaščito svojih naprav z gesli ali biometričnimi varnostnimi ukrepi.
5. Izzivi upravljanja naprav
Naprave je težko nadzorovati, če se uporabljajo z vprašljivimi brezplačnimi povezavami WiFi ali če so bile založene ali ukradene.
6. Okužba naprave
Mnogi uporabniki z okuženimi pametnimi telefoni niti ne vedo, da njihove naprave vsebujejo zlonamerno programsko opremo. Zastareli mobilni operacijski sistemi so lahko pomemben dejavnik tveganja, saj nekatere najbolj zlonamerne zlonamerne programske opreme prizadenejo predvsem starejše operacijske sisteme.
7. Nezadostni pravilniki
Da bi se izognili globam, je potrebna učinkovita BYOD politika, zlasti če mora organizacija izpolnjevati zahteve PCI DSS, HIPAA ali katere koli druge regulativne zahteve.
8. Nezmožnost nadzora naprav
Zaposleni niso vedno previdni in neomejen dostop nezadovoljnega zaposlenega lahko povzroči veliko škode. V mnogih programih BYOD je velik del varnostnega bremena posledica pomanjkanja nadzora nad napravo.
Kaj mora vsebovati politika BYOD?
Upoštevajte, da nekateri ljudje morda potrebujejo precej časa za učenje, nekateri pa bodo lahko napisali varnostno kodo med spanjem. Dovolite slednjim, da postanejo vaši zagovorniki kibernetske varnosti in vodijo druge k istemu cilju.
Za najboljšo prakso je potrebno upoštevati naslednje smernice:
- Sestavite seznam naprav, ki jih je dovoljeno uporabljati za namene BYOD
- Uporabiti je treba aktivno programsko opremo proti zlonamerni programski opremi, jo redno posodabljati in uporabljati za skeniranje naprave
- ustvarite seznam neodobrenih aplikacij, ki jih zaposleni ne smejo namestiti, medtem ko se napravo uporablja za poslovne namene
- vključite možnost oddaljenega brisanja teh naprav v primeru izgube ali kraje in zaklepanje vseh komponent, ki bi lahko predstavljale varnostno tveganje.
- naprave morajo biti posodobljene z najnovejšim operacijskim sistemom in aplikacijami
- naprave morajo biti pravilno kriptirane, še posebej, če obstaja možnost, da naprava snema, skriva ali celo začasno shranjuje podatke organizacije
- pravilna konfiguracija naprave za oddaljen in varen dostop do virov (na primer prek povezave VPN) je ključnega pomena
- IT mora odstraniti kakršno koli enkripcijo, VPN in programsko opremo za zaščito iz uporabnikove naprave, ko je treba napravo odstraniti iz uporabe
Upoštevajte, da nekateri ljudje morda potrebujejo precej časa za učenje, nekateri pa bodo lahko napisali varnostno kodo med spanjem. Dovolite slednjim, da postanejo vaši zagovorniki kibernetske varnosti in vodijo druge k istemu cilju.
Nudimo vam usposabljanja, ki angažirajo vaše zaposlene, sistemske varnostne preglede za ugotavljanje morebitnih ranljivosti in še več! Če potrebujete več informacij, nas kontaktirajte in z veseljem vam pomagamo.
© 2023 ANGELIS d.o.o. Vse pravice pridržane.