Różne badania potwierdzają, że zdecydowana większość przedsiębiorstw i instytucji nie ma opracowanej polityki i procedur dotyczących bezpieczeństwa ich systemu IT, które są związane z wdrożeniem BYOD. Dyrektorzy IT - choć zdają sobie sprawę, że jest to ważne - ostrożnie podchodzą do realizacji idei BYOD, która wywołuje wiele wątpliwości dotyczących potencjalnych problemów związanych z bezpieczeństwem, ale też kalkulacjami zwrotu z inwestycji (ROI) oraz kosztami utrzymania systemu (TCO).

Dostawcy systemów zabezpieczeń, próbując rozwiać wątpliwości i przekonać firmy do akceptacji BYOD, rozwijają narzędzia oraz oprogramowanie i zachęcają do zakupu swoich produktów.

Zobacz również:

• Najlepsze MDM-y do ochrony urządzeń mobilnych na 2023
• Bezpieczeństwo urządzeń końcowych - 9 kluczowych zasad

Najpierw polityka

W zgodnej opinii większości specjalistów ds. bezpieczeństwa, planując wdrożenie BYOD lub po prostu uporządkowanie istniejącej już sytuacji, przede wszystkim trzeba zacząć od opracowania jasno zdefiniowanej polityki bezpieczeństwa. A dopiero później wybierać narzędzia, które mogą umożliwić jej wdrożenie. Bo względnie łatwo można kupić oprogramowanie MDM (Mobile Device Management) do zarządzania flotą urządzeń mobilnych, ale z dostępnej na rynku oferty trzeba wybrać system, który udostępnia funkcje umożliwiające zapewnienie zgodności z firmową polityką.

Powinna ona też być znana i formalnie zaakceptowana przez pracowników. Podobnie jak większość standardowych dokumentów podpisywanych przez nich, również te związane z polityką BYOD, muszą zawierać jasno zdefiniowane zasady dotyczące praw, obowiązków i zakresu odpowiedzialności. Pozwala to na uniknięcie późniejszych nieporozumień i ułatwi zapewnienie odpowiedniego poziomu bezpieczeństwa systemu IT. A polityka dotycząca BYOD zawiera wiele elementów, które różnią się od stosowanych dotąd standardów.

1. Prawo do kasowania danych

Jednym z dużych problemów BYOD związanych z bezpieczeństwem jest możliwość wycieku wrażliwych informacji, jeśli prywatne urządzenie zostanie zgubione lub skradzione. Dlatego większość polityk bezpieczeństwa wymaga kontroli haseł dostępu, możliwości blokowania dostępu, jeśli pojawi się zagrożenie, mechanizmów szyfrowania danych a także funkcji pozwalających zdalne kasowanie wrażliwych danych w różnych sytuacjach, np. jeśli ktoś zostanie zwolniony z firmy.

Realizacja takich scenariuszy powoduje jednak dodatkowe problemy. Niektóre systemy MDM pozwalają na zdefiniowanie, jakie dane mogą zostać skasowane na prywatnym urządzeniu użytkownika, a inne oferują tylko opcję kasowania całej pamięci urządzenia. W tym drugim wypadku, jeśli wykasowanie danych zostanie wykonane wskutek polecenia wydanego przez firmowy system bezpieczeństwa, to może to być podstawą do oskarżenia o nieuprawnioną ingerencję w prywatne dane (np. skasowanie biblioteki fotografii rodzinnych). Zależy to oczywiście od podpisanych przez użytkownika zasad polityki bezpieczeństwa danych związanych z BYOD.