Daftar Isi:
- Tim yang Tepat
- Enkripsi dan Kotak Pasir
- Membatasi Akses
- Perangkat yang Bermain
- Wiping jarak jauh
- Keamanan dan Budaya
- Kodifikasi Kebijakan
Bawalah perangkat Anda sendiri (BYOD) terus meningkat; pada 2017, setengah dari karyawan bisnis akan menyediakan perangkat mereka sendiri, menurut Gartner.
Meluncurkan program BYOD tidak mudah dan risiko keamanan sangat nyata, tetapi menerapkan kebijakan keamanan akan berarti potensi untuk memotong biaya dan meningkatkan produktivitas dalam jangka panjang. Berikut adalah tujuh hal yang perlu Anda pertimbangkan saat menyusun kebijakan keamanan BYOD. (Pelajari lebih lanjut tentang BYOD dalam 5 Hal yang Perlu Diketahui tentang BYOD.)
Tim yang Tepat
Sebelum menetapkan aturan apa pun untuk BYOD di tempat kerja, Anda perlu tim yang tepat untuk menyusun kebijakan.
"Apa yang saya lihat adalah seseorang dari HR akan merancang kebijakan, tetapi mereka tidak memahami persyaratan teknis, sehingga kebijakan itu tidak mencerminkan apa yang dilakukan perusahaan, " kata Tatiana Melnik, seorang pengacara di Florida yang berspesialisasi dalam privasi data dan keamanan.
Kebijakan tersebut harus mencerminkan praktik bisnis dan seseorang dengan latar belakang teknologi perlu memimpin penyusunan, sementara perwakilan dari bidang hukum dan SDM dapat menawarkan saran dan saran.
"Perusahaan harus mempertimbangkan jika mereka perlu menambahkan syarat dan panduan tambahan dalam kebijakan misalnya, yang berkaitan dengan penggunaan Wi-Fi dan memungkinkan anggota keluarga dan teman untuk menggunakan telepon, " kata Melnik. "Beberapa perusahaan memilih untuk membatasi jenis aplikasi yang dapat diinstal dan jika mereka mendaftarkan perangkat karyawan ke dalam program manajemen perangkat seluler, mereka akan mencantumkan persyaratan itu."
Enkripsi dan Kotak Pasir
Roda vital pertama untuk setiap kebijakan keamanan BYOD adalah enkripsi dan sandboxing data. Enkripsi dan konversi data menjadi kode akan mengamankan perangkat dan komunikasinya. Dengan menggunakan program manajemen perangkat seluler, bisnis Anda dapat mengelompokkan data perangkat menjadi dua sisi yang berbeda, bisnis dan pribadi, dan mencegahnya agar tidak bercampur, jelas Nicholas Lee, direktur senior layanan pengguna akhir di Fujitsu America, yang telah mengepalai kebijakan BYOD di Fujitsu.
"Anda bisa menganggapnya sebagai wadah, " katanya. "Anda memiliki kemampuan untuk memblokir salin dan rekat dan mentransfer data dari wadah itu ke perangkat, sehingga semua yang Anda miliki yang berdasarkan korporasi akan tetap berada dalam satu wadah itu."
Ini sangat membantu untuk menghapus akses jaringan untuk karyawan yang telah meninggalkan perusahaan.
Membatasi Akses
Sebagai sebuah bisnis, Anda mungkin perlu bertanya pada diri sendiri berapa banyak informasi yang dibutuhkan karyawan pada waktu tertentu. Mengizinkan akses ke email dan kalender mungkin efisien, tetapi apakah semua orang membutuhkan akses ke informasi keuangan? Anda harus mempertimbangkan seberapa jauh Anda harus melangkah.
"Pada titik tertentu, Anda dapat memutuskan bahwa untuk karyawan tertentu, kami tidak akan mengizinkan mereka untuk menggunakan perangkat mereka sendiri di jaringan, " kata Melnik. "Jadi, misalnya, Anda memiliki tim eksekutif yang memiliki akses ke semua data keuangan perusahaan, Anda dapat memutuskan bahwa untuk orang-orang dalam peran tertentu, tidak pantas bagi mereka untuk menggunakan perangkat mereka sendiri karena terlalu sulit untuk mengendalikannya dan risiko. terlalu tinggi dan tidak apa-apa untuk melakukan itu. "
Ini semua tergantung pada nilai IT yang dipertaruhkan.
Perangkat yang Bermain
Anda tidak bisa begitu saja membuka pintu air untuk semua perangkat. Buat daftar pendek perangkat yang akan didukung oleh kebijakan BYOD dan tim TI Anda. Ini mungkin berarti membatasi staf ke sistem operasi atau perangkat tertentu yang memenuhi masalah keamanan Anda. Pertimbangkan jajak pendapat staf Anda tentang apakah mereka tertarik pada BYOD dan perangkat apa yang akan mereka gunakan.
William D. Pitney dari FocusYou memiliki dua staf kecil di firma perencanaan keuangannya, dan mereka semua telah pindah ke iPhone, setelah sebelumnya menggunakan campuran Android, iOS dan Blackberry.
"Sebelum bermigrasi ke iOS, itu lebih menantang. Karena semua orang memilih untuk bermigrasi ke Apple, itu membuat mengelola keamanan jauh lebih mudah, " katanya. "Selain itu, sebulan sekali, kami membahas pembaruan iOS, menginstal aplikasi dan protokol keamanan lainnya."
Wiping jarak jauh
Pada Mei 2014, Senat California menyetujui undang-undang yang akan membuat "kill switches" - dan kemampuan untuk menonaktifkan ponsel yang telah dicuri - wajib untuk semua ponsel yang dijual di negara bagian. Kebijakan BYOD harus mengikuti, tetapi tim TI Anda akan membutuhkan kemampuan untuk melakukannya.
"Jika Anda perlu menemukan iPhone Anda … itu hampir seketika dengan kuadran tingkat GPS dan pada dasarnya Anda dapat menghapus perangkat dari jarak jauh jika Anda kehilangannya. Hal yang sama berlaku untuk perangkat perusahaan. Anda pada dasarnya dapat mengeluarkan wadah perusahaan dari perangkat, "kata Lee.
Tantangan dengan kebijakan khusus ini adalah bahwa tanggung jawab ada pada pemilik untuk melaporkan ketika perangkat mereka hilang. Itu membawa kita ke poin berikutnya …
Keamanan dan Budaya
Salah satu manfaat utama dari BYOD adalah bahwa karyawan menggunakan perangkat yang mereka sukai. Namun, karyawan dapat jatuh ke dalam kebiasaan buruk dan akhirnya dapat menahan informasi keamanan dengan tidak mengungkapkan masalah secara tepat waktu.
Bisnis tidak dapat melompat ke BYOD dari borgol. Potensi penghematan uang menarik, tetapi kemungkinan bencana keamanan jauh lebih buruk. Jika bisnis Anda tertarik menggunakan BYOD, meluncurkan program pilot lebih baik daripada menyelam terlebih dahulu.
Sama seperti rapat bulanan FocusYou, perusahaan harus secara teratur memeriksa apa yang berfungsi dan apa yang tidak, terutama karena kebocoran data adalah tanggung jawab bisnis, bukan tanggung jawab karyawan. "Umumnya itu akan menjadi perusahaan yang bertanggung jawab, " kata Melnik, bahkan jika itu adalah perangkat pribadi yang bersangkutan.
Satu-satunya pertahanan yang mungkin dimiliki perusahaan adalah "pertahanan karyawan yang nakal, " di mana karyawan itu jelas bertindak di luar lingkup peran mereka. "Sekali lagi, jika Anda bertindak di luar kebijakan, maka Anda harus memiliki kebijakan, " kata Melnik. "Itu tidak akan berhasil jika tidak ada kebijakan dan tidak ada pelatihan tentang kebijakan itu dan tidak ada indikasi bahwa karyawan menyadari kebijakan itu."
Inilah sebabnya mengapa perusahaan harus memiliki data yang melanggar kebijakan asuransi. "Cara pelanggaran terjadi setiap saat, berisiko bagi perusahaan untuk tidak memiliki kebijakan, " tambah Melnik. (Pelajari lebih lanjut di 3 Komponen Utama Keamanan BYOD.)
Kodifikasi Kebijakan
Iynky Maheswaran, kepala bisnis seluler di Macquarie Telecom Australia, dan penulis laporan yang disebut "Cara Membuat Kebijakan BYOD, " mendorong perencanaan lebih lanjut dari perspektif hukum serta teknologi. Ini membawa kita kembali ke memiliki tim yang tepat.
Melnik menegaskan kembali perlunya memiliki perjanjian pemberi kerja / karyawan yang ditandatangani untuk memastikan kebijakan dipatuhi. Dia mengatakan itu harus "diartikulasikan dengan jelas bagi mereka bahwa perangkat mereka harus dibalik jika litigasi, bahwa mereka akan membuat perangkat tersedia, bahwa mereka akan menggunakan perangkat sesuai dengan kebijakan, di mana semua faktor ini diakui dalam dokumen yang ditandatangani. "
Perjanjian semacam itu akan mendukung kebijakan Anda dan memberi mereka bobot dan perlindungan yang lebih besar.