Hogar Seguridad 7 puntos a considerar al redactar una política de seguridad byod

7 puntos a considerar al redactar una política de seguridad byod

Tabla de contenido:

Anonim

Las prácticas de traer su propio dispositivo (BYOD) están en aumento; Para 2017, la mitad de los empleados comerciales proporcionarán sus propios dispositivos, según Gartner.


La implementación de un programa BYOD no es fácil y los riesgos de seguridad son muy reales, pero establecer una política de seguridad significará la posibilidad de reducir costos y aumentar la productividad a largo plazo. Aquí hay siete cosas que debe tener en cuenta al redactar una política de seguridad BYOD. (Obtenga más información sobre BYOD en 5 cosas que debe saber sobre BYOD).

El equipo adecuado

Antes de establecer reglas amables para BYOD en el lugar de trabajo, necesita el equipo adecuado para redactar las políticas.


"Lo que he visto es que alguien de Recursos Humanos redactará la política, pero no entienden los requisitos técnicos, por lo que la política no refleja lo que hacen las compañías", dice Tatiana Melnik, abogada en Florida especializada en privacidad de datos. y seguridad.


La política debe reflejar las prácticas de la empresa y alguien con experiencia tecnológica debe liderar la redacción, mientras que los representantes legales y de recursos humanos pueden ofrecer consejos y sugerencias.


"Una empresa debería considerar si necesita agregar términos y orientación adicionales en la política, por ejemplo, en relación con el uso de Wi-Fi y permitir que los familiares y amigos usen el teléfono", dijo Melnik. "Algunas compañías optan por limitar el tipo de aplicaciones que se pueden instalar y si inscriben el dispositivo del empleado en un programa de administración de dispositivos móviles, enumerarán esos requisitos".

Cifrado y Sandboxing

El primer engranaje vital para cualquier política de seguridad de BYOD es el cifrado y el sandboxing de los datos. El cifrado y la conversión de los datos en código asegurarán el dispositivo y sus comunicaciones. Al usar un programa de administración de dispositivos móviles, su empresa puede segmentar los datos del dispositivo en dos lados distintos, empresarial y personal, y evitar que se mezclen, explica Nicholas Lee, director senior de servicios para usuarios finales de Fujitsu America, quien ha dirigido las políticas de BYOD en Fujitsu


"Puedes pensarlo como un contenedor", dice. "Usted tiene la capacidad de bloquear copiar y pegar y transferir datos desde ese contenedor al dispositivo, por lo que todo lo que tenga que sea corporativo será para ese contenedor".


Esto es particularmente útil para eliminar el acceso a la red de un empleado que dejó la empresa.

Limitando el acceso

Como empresa, es posible que deba preguntarse cuánta información necesitarán los empleados en un momento determinado. Permitir el acceso a correos electrónicos y calendarios puede ser eficiente, pero ¿todos necesitan acceso a información financiera? Debe considerar qué tan lejos necesita llegar.


"En algún momento, puede decidir que para ciertos empleados, no les permitiremos usar sus propios dispositivos en la red", dijo Melnik. "Entonces, por ejemplo, tiene un equipo ejecutivo que tiene acceso a todos los datos financieros corporativos, puede decidir que para las personas en ciertos roles, no es apropiado que usen su propio dispositivo porque es demasiado difícil controlarlo y los riesgos son demasiado altos y está bien hacer eso ".


Todo esto depende del valor de la TI en juego.

Los dispositivos en juego

No puede abrir las compuertas a todos y cada uno de los dispositivos. Haga una lista breve de dispositivos que su política de BYOD y su equipo de TI admitirán. Esto puede significar restringir al personal a un determinado sistema operativo o dispositivos que satisfagan sus preocupaciones de seguridad. Considere consultar a su personal sobre si están interesados ​​en BYOD y qué dispositivos usarían.


William D. Pitney, de FocusYou, tiene un pequeño equipo de dos personas en su firma de planificación financiera, y todos migraron a iPhone, ya que anteriormente habían usado una combinación de Android, iOS y Blackberry.


"Antes de migrar a iOS, era más desafiante. Dado que todos decidieron migrar a Apple, la administración de la seguridad fue mucho más fácil", dijo. "Además, una vez al mes, discutimos las actualizaciones de iOS, la instalación de aplicaciones y otros protocolos de seguridad".

Limpieza remota

En mayo de 2014, el Senado de California aprobó una legislación que hará que los "interruptores de apagado", y la capacidad de deshabilitar los teléfonos robados, sean obligatorios en todos los teléfonos vendidos en el estado. Las políticas de BYOD deben seguir su ejemplo, pero su equipo de TI necesitará las capacidades para hacerlo.


"Si necesita encontrar su iPhone … es casi instantáneo con el cuadrante de nivel de GPS y básicamente puede borrar el dispositivo de forma remota si lo pierde. Lo mismo ocurre con un dispositivo corporativo. Básicamente, puede quitar el contenedor corporativo de el dispositivo ", dijo Lee.


El desafío con esta política en particular es que el propietario tiene la responsabilidad de informar cuando falta su dispositivo. Eso nos lleva a nuestro siguiente punto …

Seguridad y cultura

Uno de los principales beneficios de BYOD es que los empleados utilizan un dispositivo con el que se sienten cómodos. Sin embargo, los empleados pueden caer en malos hábitos y terminar reteniendo información de seguridad al no revelar problemas de manera oportuna.


Las empresas no pueden saltar a BYOD fuera del alcance. Los posibles ahorros de dinero son atractivos, pero los posibles desastres de seguridad son mucho peores. Si su empresa está interesada en usar BYOD, implementar un programa piloto es mejor que lanzarse de cabeza.


Al igual que las reuniones mensuales de FocusYou, las empresas deben verificar periódicamente qué funciona y qué no, especialmente porque cualquier fuga de datos es responsabilidad de la empresa, no de los empleados. "En general, será la compañía la responsable", dice Melnik, incluso si se trata de un dispositivo personal en cuestión.


La única defensa que puede tener una empresa es una "defensa de empleados deshonesta", donde el empleado claramente estaba actuando fuera del alcance de su rol. "Una vez más, si estás actuando fuera de la política, entonces debes tener una política establecida", dice Melnik. "Eso no funcionará si no hay una política y no hay capacitación sobre esa política y no hay indicios de que el empleado estaba al tanto de esa política".


Es por eso que una compañía debe tener pólizas de seguro de violación de datos. "Por la forma en que ocurren las infracciones todo el tiempo, es arriesgado para las compañías no tener una política en su lugar", agrega Melnik. (Obtenga más información en Los 3 componentes clave de BYOD Security).

Codificando la Política

Iynky Maheswaran, jefe de negocios móviles en Macquarie Telecom de Australia, y autor de un informe llamado "Cómo crear una política BYOD", alienta la planificación anticipada desde una perspectiva legal y tecnológica. Esto nos lleva de vuelta a tener el equipo adecuado.


Melnik reafirma la necesidad de tener un acuerdo firmado entre empleador y empleado para garantizar el cumplimiento de las políticas. Ella dice que debe estar "claramente articulado para ellos que su dispositivo debe ser entregado en caso de litigio, que van a hacer que el dispositivo esté disponible, que van a usar el dispositivo de acuerdo con la política, donde todos estos factores se reconocen en un documento firmado ".


Dicho acuerdo respaldará sus políticas y les dará mucho más peso y protección.

7 puntos a considerar al redactar una política de seguridad byod