;

Osvědčená praxe při zavádění programů BYOD

19. 12. 2019
Doba čtení: 5 minut

Sdílet

 Autor: © Yuri Arcurs - Fotolia.com
Jak nastavit pravidla pro využití soukromých zařízení k pracovním účelům, aby zůstala zachována požadovaná úroveň bezpečnosti?

Užívání mobilních telefonů je stále na vzestupu a očekává se, že počet uživatelů celosvětově v letošním roce přesáhne pět miliard.

Například v jihovýchodní Asii přistupuje 90 % lidí k internetu z mobilních telefonů.

Není proto divu, že tolik firem již zavedlo možnost využití soukromých zařízení k pracovním účelům, tzv. programy BYOD (z angl. „přines si vlastní zařízení“). Kromě zřejmých ekonomických přínosů pro podnik má princip BYOD i výhody z hlediska možností práce na dálku a flexibilní pracovní doby.

Úspěch takové strategie však závisí na správné implementaci, kdy podniky nejčastěji zmiňují obavy o bezpečnost jako důvod, proč ještě BYOD nezavedly.

Ze zkušeností firem, které BYOD zavedly, plyne několik zásad, kterých je dobré se držet, aby zůstala zachována patřičná úroveň bezpečnosti, a program BYOD přitom přinášel maximální užitek pro firmu i její zaměstnance.

FORMULUJTE PRAVIDLA SROZUMITELNĚ

První a nedůležitější věc při zavádění programu BYOD je formulovat jasná a srozumitelná pravidla. Neurčitost a „šedé zóny“ mohou vést k tomu, že se zaměstnanci i nevědomě zachovají způsobem, který ohrozí bezpečnost firmy.

Od prvního dne musí být všem jasné, k čemu smějí a k čemu nesmějí svá zařízení užívat, co pro ně může udělat tým IT podpory v případě nežádoucí události, a na jaká zařízení se bude program vztahovat – různá řešení vykazují rozdílnou úroveň bezpečnosti, jinými slovy některá zařízení jsou zranitelnější než jiná.

Jednoznačná pravidla nejen eliminují neustálé dotazy zaměstnanců, co mohou a co nemohou, ale také pomáhají odstranit možná rizika z hlediska bezpečnosti a ochrany soukromí.

BEZPEČNOST NA PRVNÍM MÍSTĚ

Co se zabezpečení týče, uživatelé bývají u svých vlastních zařízení spíše laxnější. Většina má přístup chráněný heslem nebo jiným kódem, ale málokdo u soukromých přístrojů užívá dvoufaktorové ověřování.

Pro někoho může být zvýšení úrovně zabezpečení noční můrou, ale nacházejí-li se v zařízení citlivá firemní data, posílení bezpečnosti je zcela bez diskuze.

Firma by měla učinit i analýzu mobilních rizik a zjistit, kde se skrývají potenciální zranitelnosti a nebezpečí, dále zajistit zabezpečení sítě a vynutit užívání silných hesel a jejich pravidelnou obměnu.

Stále platí, že bez ohledu na množství prostředků investovaných do zabezpečení zůstává lidská chyba nejčastější příčinou narušení bezpečnosti dat. Každý zaměstnanec by proto měl mít přístup pouze k aplikacím a datům, jež nezbytně potřebuje k výkonu pracovních povinností, a příslušní pracovníci IT by měli být informováni o případných změnách.

Odpovědnost za bezpečnost nespočívá pouze na bedrech managementu, ale je nutné také zajistit...

... VZDĚLÁVÁNÍ ZAMĚSTNANCŮ

Zaměstnanci musejí být informováni o potenciálních hrozbách a změnách bezpečnostních pravidel.

Pokud pracovníci nepochopí, proč by měli dodržovat určité postupy – například dvoufaktorové ověřování – budou mít menší sklon se jimi řídit.

Bezpečnostní osvěta od samého začátku vám nejen ušetří čas v delším horizontu, ale představuje i jeden z nejúčinnějších způsobů, jak předcházet případným nežádoucím událostem.

PRAVIDLA MUSEJÍ PLATIT PRO VŠECHNY STEJNĚ

Chcete-li, aby byl váš program BYOD úspěšný, nemůžete mít jiná pravidla pro řadové zaměstnance a jiná pro management.

Na postavení totiž nezáleží – pokud se firma rozhodne zavést celoplošný program BYOD, musí každý znát a dodržovat stejná pravidla.

To je další důvod, proč je důležité, aby byla pravidla naprosto srozumitelná – nikdo nebude mít výmluvu, proč se jich nedrží. Kvůli konzistentnosti je však nutné nejprve zajistit, aby celý systém vyhovoval potřebám všech zúčastněných.

DEFINUJTE POSTUP PŘI UKONČENÍ PRACOVNÍHO POMĚRU

Riziko bezpečnostní katastrofy vždy stoupá při odchodu pracovníka. Pokud zaměstnanec užíval své soukromé zařízení k práci, jak zajistíte, že byla odstraněna citlivá data a zrušen přístup k podnikovým systémům?

ICTS24

Předem definovaný postup může pomoci takový problém řešit – zrušení přístupu k síti by mělo být takřka okamžité. O změně by měli být informováni správci systémů, aby zajistili, že síť zůstane aktuální a bezpečná.

Mezi další opatření, jak předejít neoprávněnému přístupu bývalého zaměstnance k firemním zdrojům a citlivým informacím, patří zrušení e-mailového a uživatelského účtu a úplné vymazání dat ze zařízení poskytnutých zaměstnavatelem.

Autorka je redaktorkou CIO.CO.UK.