Wskazówki dotyczące przynoszenia własnych urządzeń do pracy (BYOD)

Co to jest “Bring Your Own Device”?

Bring Your Own Device (BYOD) to powszechny termin określający sytuację, w której firma pozwala pracownikom na korzystanie z własnych laptopów, tabletów lub telefonów do celów służbowych.
Oprócz urządzeń mobilnych lub zdalnych należących do organizacji, zakresem certyfikacji Firma Bezpieczna Cyfrowo (FCB) objęte są urządzenia należące do użytkowników, mające dostęp do danych lub usług organizacji. Nie dotyczy to urządzeń mobilnych lub zdalnych, które są używane tylko w celu: wysyłania wiadomości tekstowych, wykonywania połączeń głosowych lub korzystania z aplikacji do uwierzytelniania wieloskładnikowego (MFA). Oznacza to, że jeżeli pracownik korzysta ze swojego telefonu komórkowego do wysyłania wiadomości tekstowych lub rozmów z kolegami z pracy i generowania kodów MFA, ale nie posiada na nim dostępu do e-maili lub plików służbowych, to jego telefon komórkowy jest poza zakresem certyfikacji. Jeśli jednak korzysta na urządzeniu mobilnym ze służbowej poczty elektronicznej, to urządzenie podlega certyfikacji FBC.
Chociaż zezwolenie pracownikom na korzystanie z osobistych komputerów i telefonów do pracy może przynieść znaczące oszczędności finansowe, to takie rozwiązanie poważnie zwiększa ryzyko naruszenia bezpieczeństwa i prywatności organizacji.
Umożliwiając zdalny dostęp do firmy za pomocą urządzeń, nad którymi pracodawca nie ma kontroli (czyli komputerów i telefonów nie będących własnością firmy), zwiększa się ryzyko wykorzystania przez kogoś danych do celów, na które firma nie wyraził zgody. Informacje firmowe mogą zostać skopiowane, zmodyfikowane, przekazane konkurencji lub po prostu upublicznione.
Na przykład, gdy pracownik pracuje na własnym komputerze, może się zdarzyć, że aplikacja do mediów społecznościowych zainstalowana na jego urządzeniu, uzyska dostęp do bazy kontaktów służbowych, w tym informacji o klientach, pozwalających na ich identyfikację. Tymczasem, zgodnie z prawem, przekazanie takich danych stronie trzeciej wymagałoby zgody osób, których te dane dotyczą. Mogłoby to nieumyślnie doprowadzić do naruszenia rozporządzenia o ochronie danych osobowych (RODO*).
Innym zagrożeniem jest ryzyko instalacji przez właściciela urządzenia aplikacji z niezaufanych źródeł. Pracownik może nawet nie zdawać sobie sprawy, że w ten sposób naraża pliki firmowe na atak złośliwego oprogramowania. Pominięcie aktualizacji oprogramowania również prowadzi do podwyższenia ryzyka naruszenia bezpieczeństwa.
Ponadto, Twój pracownik może zostawić swoje urządzenie gdziekolwiek bez zabezpieczenia (szczególnie, kiedy pracuje zdalnie). Może pozwolić znajomym i rodzinie na korzystanie z niego. Inne problemy to utrudnienie kontroli nad zawartością i dostępem do urządzenia w przypadku odejścia pracownika z firmy lub sprzedaży urządzenia oraz brak możliwości usunięcia danych firmowych w przypadku zgubienia lub kradzieży sprzętu.

Propozycje rozwiązań, które można wprowadzić, aby odzyskać kontrolę i chronić należące do Twojej firmy informacje:

  • Pracodawca może opracować i egzekwować politykę BYOD, dotyczącą wykorzystania własnych urządzeń w pracy (ang. Bring Your Own Device policy). Zasady te mogą być wprowadzone przy okazji uzupełnienia lub wdrażania innych kluczowych polityk, takich jak Polityka dopuszczalnego użytkowania IT, Polityka bezpieczeństwa IT czy Polityka pracy zdalnej.
  • Polityka BYOD nie musi być skomplikowanym dokumentem. Powinna usystematyzować sposób korzystania z urządzeń osobistych, które łączą się z sieciowymi zasobami organizacji, zarówno lokalnymi, jak i dostępnymi poprzez usługi chmurowe. W odniesieniu do oprogramowania, polityka dotyczy tylko tych programów i aplikacji, które wchodzą w interakcję z danymi i usługami służbowymi.
  • Pracownik, będący właścicielem urządzenia, musi zapoznać się z polityką korzystania z własnych urządzeń (BYOD), a następnie zaakceptować wprowadzone przez nią zasady i warunki. Dopuszczenie nowego urządzenia prywatnego do użytku służbowego, powinno być uwarunkowane zobowiązaniem pracownika do przestrzegania obowiązującej polityki.

Oto kilka sugestii reguł, które mogą być ujęte w polityce:

  • system operacyjny i aplikacje muszą być w pełni wspierane przez producenta i otrzymywać aktualizacje bezpieczeństwa;
  • programowe zapory sieciowe (firewalle) muszą być aktywowane i skonfigurowane prawidłowo;
  • aktualizacje zabezpieczeń należy instalować w ciągu 14 dni od ich wydania;
  • zasady FBC dotyczące polityki haseł muszą być stosowane do urządzeń prywatnych użytkowników (BYOD);
  • użytkownicy logujący się na komputerach i tabletach posiadają konto użytkownika do celów służbowych i jest ono odrębne od konta administratora;
  • urządzenie automatycznie blokuje się, gdy nie jest używane i wymaga odblokowania za pomocą co najmniej 6-cyfrowego kodu PIN lub hasła (użyj biometrii*, jeśli jest dostępna);
  • na urządzeniach zainstalowane jest oprogramowanie antywirusowe i jest ono systematycznie aktualizowane, a w przypadku urządzeń mobilnych dozwolone jest instalowanie aplikacji tylko z oryginalnego sklepu producenta;
  • nieużywane aplikacje powinny zostać odinstalowane;
  • w przypadku zgubienia lub kradzieży należy niezwłocznie zgłosić ten fakt do firmy;
  • Rooting* lub Jailbreaking* jest zabroniony;
  • na urządzeniu musi być zainstalowana i aktywowana aplikacja do zdalnego usuwania danych i śledzenia, aby można było zlokalizować utracone urządzenie, zablokować dostęp do niego i usunąć dane. Do zdalnego usuwania danych z urządzenia w przypadku utraty sprzętu, kradzieży lub rozwiązania stosunku pracy z właścicielem urządzenia, konieczne jest wcześniejsze uzyskanie jego pisemnej zgody;
  • w polityce powinny znaleźć się również zapisy określające jak, kiedy i w jakich sytuacjach będzie odbywał się monitoring oraz wymogi dotyczące dostarczenia urządzenia i haseł na uzasadnione żądanie.

Inne rozwiązania zmniejszające ryzyko:

  • „Aplikacje skonteneryzowane” (ang. Container Apps) czy „Aplikacje zarządzane” (ang. Managed Apps) to typy oprogramowania, które służą do rozdzielenia na urządzeniu danych firmowych od osobistych i umożliwiają firmie monitorowanie i zdalne usuwanie z urządzenia wyłącznie danych firmowych.
  • Oprogramowanie Zarządzania Urządzeniem Mobilnym (Mobile Device Management – MDM) umożliwia monitorowanie, zarządzanie i zabezpieczanie urządzeń mobilnych pracowników. Rozwiązanie to dostępne jest w różnych przedziałach cenowych.
  • Oprogramowanie do wirtualizacji pulpitów, umożliwia pracownikom bezpieczny dostęp do danych przechowywanych w sieci firmowej za pomocą własnego urządzenia. Dane organizacji są dostępne zdalnie i pozostają na bezpiecznym serwerze. Może być konieczne, aby pracownicy zobowiązali się do niekopiowania danych firmowych na własne urządzenie. (Patrz – wskazówki, dotyczące wirtualizacji)

Ważne!

Zanim zezwolisz pracownikom na dostęp do informacji firmowych z prywatnych komputerów i telefonów, bądź świadomy ukrytych kosztów (subskrypcji, aktualizacji oprogramowania, ograniczeń) oraz ryzyka związanego z bezpieczeństwem danych Twojej organizacji i dokonaj wyważonej decyzji. Jeśli potrzebujesz wsparcia w tym temacie, skorzystaj z porady niezależnej firmy świadczącej usługi w zakresie bezpieczeństwa IT.

Odwołania

  • Rozporządzenie o ochronie danych osobowych –rozporządzenie unijne, zawierające przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych (RODO).
  • Biometria rozumiana jako rozwiązania biometryczne – unikalne identyfikatory, takie jak odciski palców, rysy twarzy, tęczówka i/lub głos, które mogą być stosowane zamiast lub w uzupełnieniu do haseł, w celu zwiększenia bezpieczeństwa uwierzytelniania tożsamości użytkownika.
  • Jailbreaking to proces usuwania ograniczeń wprowadzonych przez producenta urządzenia. Jailbreaking jest zazwyczaj wykonywany na urządzeniach z systemem iOS. Polega na usunięciu ograniczeń wprowadzonych przez producenta umożliwiając instalację oprogramowania firm trzecich spoza dedykowanego źródła. Zasadniczo jailbreaking pozwala na korzystanie z oprogramowania, którego nie zatwierdził producent systemu.
  • Rooting to proces uzyskiwania „dostępu do roota” urządzenia. Proces podobny do jailbreaking, ale wykonywany zwykle na urządzeniach z systemem Android.