コンテンツ
出典:Sue Harper / Dreamstime.com
取り除く:
独自のデバイスを持ち込むことはビジネスに多大な利益をもたらす可能性がありますが、セキュリティリスクは非常に多く、厳格なポリシーが不可欠です。
自分のデバイスを持ち込む(BYOD)プラクティスが増えています。 Gartnerによると、2017年までに、ビジネス従業員の半数が独自のデバイスを提供する予定です。BYODプログラムの展開は簡単ではなく、セキュリティリスクは非常に現実的ですが、セキュリティポリシーを導入することは、長期的にコスト削減と生産性向上の可能性を意味します。 BYODセキュリティポリシーを作成する際に考慮する必要がある7つの事項を以下に示します。 (BYODについて知っておくべき5つのことで、BYODの詳細をご覧ください。)
適切なチーム
職場でBYODのルールを設定する前に、ポリシーを作成する適切なチームが必要です。「私が見たのは、HRの誰かがポリシーを起草することですが、技術的な要件を理解していないため、ポリシーは企業の行動を反映していません」と、フロリダのデータプライバシー専門弁護士Tatiana Melnik氏は言います。とセキュリティ。
方針には事業慣行を反映する必要があり、技術的背景を持つ人が起草を主導する必要がありますが、法務および人事の代表者はアドバイスや提案を提供できます。
「企業は、Wi-Fiの使用や家族や友人が電話を使用できるようにするなど、ポリシーに追加の条件やガイダンスを追加する必要があるかどうかを検討する必要があります」とMelnik氏は述べました。 「一部の企業は、インストールできるアプリの種類を制限することを選択しており、従業員のデバイスをモバイルデバイス管理プログラムに登録する場合、それらの要件をリストします。」
暗号化とサンドボックス
BYODセキュリティポリシーの最初の重要な歯車は、データの暗号化とサンドボックス化です。データを暗号化してコードに変換すると、デバイスとその通信が保護されます。モバイルデバイス管理プログラムを使用することで、ビジネスはデバイスデータをビジネスと個人の2つの異なる側面に分割し、それらが混ざらないようにすることができます、とBYODポリシーを率いる富士通アメリカのエンドユーザーサービスのシニアディレクター、ニコラスリー富士通。「コンテナと考えることができます」と彼は言います。 「コピーと貼り付けをブロックし、そのコンテナからデバイスへのデータの転送をブロックすることができます。そのため、企業全体のすべてがその単一のコンテナ内に留まります。」
これは、退職した従業員のネットワークアクセスを削除する場合に特に役立ちます。
アクセス制限
ビジネスとして、特定の時間に従業員が必要とする情報量を自問する必要があります。 sとカレンダーへのアクセスを許可することは効率的かもしれませんが、誰もが財務情報にアクセスする必要がありますか?あなたはどこまで行く必要があるかを考えなければなりません。「ある時点で、特定の従業員については、ネットワーク上で自分のデバイスの使用を許可しないことを決定する場合があります」とMelnik氏は述べました。 「たとえば、すべての企業の財務データにアクセスできる経営陣がいる場合、特定の役割の人にとっては、デバイスとリスクを制御するのが難しすぎるため、自分のデバイスを使用するのは適切ではないと判断するかもしれません。高すぎます。それで問題ありません。」
これはすべて、問題のITの価値に依存します。
プレイ中のデバイス
すべてのデバイスへの水門を開くことはできません。 BYODポリシーとITチームがサポートするデバイスの候補リストを作成します。これは、セキュリティ上の懸念を満たす特定のオペレーティングシステムまたはデバイスにスタッフを制限することを意味する場合があります。 BYODに関心があるかどうか、および使用するデバイスについてスタッフにポーリングすることを検討してください。フォーカスのWilliam D. PitneyYouは彼の財務計画会社に2人の小さなスタッフがいて、以前はAndroid、iOS、Blackberryの混合を使用していたすべてがiPhoneに移行しました。
「iOSに移行する前はより困難でした。誰もがAppleに移行することを選択したため、セキュリティの管理がはるかに容易になりました」と彼は言いました。 「さらに、月に一度、iOSの更新、アプリのインストール、その他のセキュリティプロトコルについて説明します。」
リモートワイピング
2014年5月、カリフォルニア州上院は、州で販売されているすべての電話で「キルスイッチ」(盗難された電話を無効にする機能)を義務付ける法律を承認しました。 BYODポリシーはそれに追随する必要がありますが、ITチームはそうするための機能を必要とします。「iPhoneを見つける必要がある場合... GPSレベルの四分円でほぼ瞬時であり、紛失した場合は基本的にデバイスをリモートでワイプできます。同じことが企業デバイスにも当てはまります。基本的に企業コンテナを削除できます。装置」とリーは言った。
この特定のポリシーの課題は、所有者がデバイスの紛失時に報告する責任があるということです。それは私たちの次のポイントに私たちをもたらします...
セキュリティと文化
BYODの主な利点の1つは、従業員が快適なデバイスを使用していることです。ただし、従業員は悪い習慣に陥ることがあり、問題をタイムリーに開示しないと、セキュリティ情報を隠してしまう可能性があります。企業は袖口からBYODにジャンプすることはできません。潜在的なお金の節約は魅力的ですが、起こりうるセキュリティ災害はさらにひどくなります。あなたのビジネスがBYODの使用に興味がある場合、パイロットプログラムを展開することは、真っ先にダイビングするよりも優れています。
FocusYouの月例会議と同様に、特にデータリークは従業員ではなくビジネスの責任であるため、企業は定期的にチェックし、何が機能していて何が機能していないかを確認する必要があります。 「一般的には、責任を負うのは会社です」と、問題の個人用デバイスであっても、Melnik氏は言います。
企業が持つ唯一の防御は、従業員が明らかに役割の範囲外で行動していた「不正な従業員の防御」です。 「繰り返しますが、ポリシーの範囲外で行動している場合は、ポリシーを設定する必要があります」とMelnik氏は言います。 「ポリシーがなく、そのポリシーに関するトレーニングがなく、従業員がそのポリシーを認識していたという兆候がない場合、それは機能しません。」
これが、企業がデータ侵害保険に加入する必要がある理由です。 「違反が常に発生しているため、企業がポリシーを設定していないと危険です」とMelnik氏は付け加えます。 (BYODセキュリティの3つの主要コンポーネントで詳細を確認してください。)
ポリシーの成文化
オーストラリアのマッコーリーテレコムのモバイルビジネス責任者であり、「BYODポリシーの作成方法」というレポートの著者であるIynky Maheswaranは、技術的な観点だけでなく、法的観点からの事前計画を奨励しています。これにより、適切なチームに戻ることができます。Melnikは、ポリシーが順守されることを保証するために、署名された雇用主/従業員契約を締結する必要があることを再確認します。彼女は、「訴訟の際にデバイスをひっくり返さなければならないこと、デバイスを利用可能にすること、ポリシーに従ってデバイスを使用すること、これらの要素はすべて、署名された文書で認められています。」
そのような合意はあなたのポリシーをバックアップし、それらにより多くの重みと保護を与えます。