BYOD - zagrożenia konsumeryzacji IT

2. Za co pracownik jest odpowiedzialny?

Pracownicy muszą wiedzieć jakie są minimalne wymagania dotyczące prywatnego sprzętu i oprogramowania i rozumieć, że spełnienie jest warunkiem uzyskania dostępu do firmowej sieci oraz jej zasobów. Jest to ważne dla bezpieczeństwa, bo ułatwia aktualizację mechanizmów zabezpieczeń i utrzymanie go na podobnym poziomie we wszystkich urządzeniach mających dostęp do firmowej sieci. W niektórych przedsiębiorstwach stosowana jest polityka zakładająca automatyczne odcięcie dostępu mobilnych użytkowników, jeśli ich urządzenia okażą się niezgodne ze zdefiniowanymi zasadami.

Określenie minimalnych wymagań umożliwia też rozwiązanie innych potencjalnych problemów. Jeśli na przykład firma zdecyduje się udostępnić nową aplikację biznesową na urządzenia mobilne, to może ona nie działać na starszych modelach sprzętu czy wersjach systemów operacyjnych lub jej wydajność będzie niezadowalająca.

Zobacz również:

• Najlepsze MDM-y do ochrony urządzeń mobilnych na 2023
• Bezpieczeństwo urządzeń końcowych - 9 kluczowych zasad

Polityka związana z BYOD powinna wyraźnie definiować, jaka jest odpowiedzialność użytkowników dotycząca modernizacji wykorzystywanego przez nich sprzętu i oprogramowania. Czy są zobowiązani do zakupu nowych urządzeń, spełniających minimalne korporacyjne wymagania i aktualizacji systemów lub aplikacji we własnym zakresie?

3. Co użytkownik może robić, a czego nie?

Polityki bezpieczeństwa mogą różnie określać, jaki zakres aktywności użytkownika urządzeń mobilnych jest dopuszczalny, a jakie działania zabronione.

W przypadku urządzeń prywatnych wprowadzane ograniczenia nie powinny być nadmiernie restrykcyjne, bo to mogłoby zniechęcić użytkowników do korzystania z nich, zwłaszcza poza godzinami normalnej pracy, a w efekcie spowodować zmniejszenie wydajności i spodziewanych efektów biznesowych BYOD.

Typowe obszary ograniczeń dotyczą ściągania i zapisywania firmowych dokumentów w urządzeniach mobilnych, praw dostępu do niektórych zasobów lub aplikacji podczas pracy zdalnej, korzystania z kamer lub portów USB, samodzielnego otwierania obudowy urządzenia, łączenia się ze stronami WWW lub uruchamiania aplikacji znajdujących się na czarnej liście (albo takich, która nie są umieszczone na liście białej). Niektóre firmy decydują się też na blokowanie dostępu do sieci społecznościowych.

4. Jakie urządzenia mogą uzyskać dostęp do zasobów?

Ważnym elementem polityki bezpieczeństwa jest określenie, jakie urządzenia mogą mieć dostęp do określonych zasobów. Ma to wpływ na bezpieczeństwo systemu IT, a również na koszty związane ze wsparciem technicznym i wdrożeniem mechanizmów kontroli dostępu do danych. Dlatego warto opracować jasną politykę definiującą, które urządzenia pozwalają na korzystanie z aplikacji o krytycznym znaczeniu lub na dostęp do wrażliwych danych, a które zapewniają możliwość łączenia się z podstawowymi usługami, jak np. system poczty elektronicznej.

5. Kto będzie zapewniał wsparcie techniczne?

Niektóre firmy wdrażające BYOD zakładają, że użytkownicy prywatnych urządzeń w naturalny sposób przejmują na siebie obowiązki związane z zapewnieniem wsparcia technicznego przez ich producenta. Może to jednak budzić wątpliwości, bo jeśli spowoduje zmniejszenie wydajności pracy, to oznacza realne straty finansowe dla firmy.

Dlatego warto rozważyć podział odpowiedzialności. Jeśli firmowa aplikacja biznesowa lub narzędzia typu klient VPN powodują problem, to użytkownik powinien uzyskać wsparcie ze strony osób pracujących w firmowym dziale IT.

Czasami dobrym rozwiązaniem jest też uruchomienie portalu zawierającego forum użytkowników różnego typu urządzeń i bazę wiedzy dotyczącą rozwiązywania ich problemów, bo to pozwala na zwiększenie efektywności pracowników. A dodatkowo może służyć jako centralne miejsce do wyjaśniania, co firma wspiera i dlaczego.