Obszary ryzyka związane z BYOD

BYOD to różne urządzenia, z różnym oprogramowaniem, co sprawia, że zapewnienie skutecznego systemu bezpieczeństwa danych może stanowić problem. Niełatwo również zbudować właściwą politykę bezpieczeństwa, a później ją egzekwować. Kolejne problemy wiążą się z respektowaniem warunków licencji na oprogramowanie - instalowanie software’u kupionego przez firmę na urządzeniach należących do pracowników może być uznane za naruszenie warunków licencji. Zarządzanie prywatnymi urządzeniami mobilnymi pracowników, to także problem ochrony prywatności ich właścicieli i konieczność uzyskania w tym zakresie pewnych ustępstw z ich strony.

Z perspektywy pracodawcy sprawą kluczową jest bezpieczeństwo danych firmowych. W urządzeniach prywatnych mogą powstawać luki w systemie bezpieczeństwa, wymykające się nadzorowi IT i stwarzające ryzyko wycieku firmowych danych. Środkiem zaradczym może być wdrożenie restrykcyjnej polityki dostępu do danych i aplikacji - z zastosowaniem np. narzędzi do monitorowania aktywności użytkowników. Trudności w egzekwowaniu ustalonej polityki bezpieczeństwa dotyczą m.in. instalacji na urządzeniach prywatnych oprogramowania antywirusowego, zapory sieciowej czy aplikacji szyfrowania danych. Problemem jest też niekontrolowana wymiana urządzeń - pracownicy mogą je wymieniać na nowsze modele, nie informując o tym pracodawcy. Pracodawca powinien wiedzieć o próbach podłączania nowych urządzeń do swojej sieci i tak zabezpieczać dostęp, aby wymuszać na pracowniku wyprzedzające informowanie o wymianie urządzenia, z którego korzysta w pracy.

Zobacz również:

• Najlepsze MDM-y do ochrony urządzeń mobilnych na 2023
• Bezpieczeństwo urządzeń końcowych - 9 kluczowych zasad

Polecamy Pracujemy o jeden dzień dłużej tygodniowo. Za darmo!

Zagrożenia związane bezpośrednio z urządzeniami przenośnymi mogą przejawiać się w różny sposób, ponieważ systemy operacyjne urządzeń przenośnych - Android, iOS, BlackBerry czy Windows - wnoszą swoje specyficzne problemy bezpieczeństwa. Źródłem zagrożeń mogą być aplikacje mobilne, luki przeglądarki czy korzystanie z niezabezpieczonych połączeń Wi-Fi. Z kolei ze strony pracowników głównym zagrożeniem bezpieczeństwa danych w urządzeniach przenośnych jest brak wiedzy o zagrożeniach w środowisku mobilnym i sposobach zabezpieczania się przed nimi. Pracownicy często nie zdają sobie sprawy z ryzyka związanego z korzystaniem z urządzeń przenośnych, a także nie są dostatecznie informowani o firmowej polityce bezpieczeństwa w zakresie ich używania.

Bezpieczeństwo można zapewnić standardowymi środkami

W większości organizacji użytkownicy przynoszą do pracy własne urządzenia mobilne niezależnie od tego, jakie zasady obowiązują w firmie. W rezultacie zjawisko BYOD pojawia się niezależnie od woli pracodawcy. Jeżeli nie dopuści się dostępu z urządzeń mobilnych, to pracownicy i tak znajdą sposób na obejście zakazu. Pocztę mogą na przykład wysyłać ze służbowych desktopów na swoje konta Gmail czy Hotmail, gdzie mają już dostęp ze swoich smartfonów czy tabletów. Wtedy, niewidoczni dla działu IT, będą narażać firmę na dużo większe ryzyko utraty lub wycieku danych.

Polecamy 10 najnowszych trendów w infrastrukturze IT

W tej kwestii działy IT mają do dyspozycji środki, z których rzadko korzystają. Dostęp do poczty powinien być skutecznie zabezpieczony, a użytkownicy powiadomieni, że jeżeli chcą z niej korzystać z urządzeń prywatnych, to muszą stosować się do obowiązujących reguł polityki. Osoby mające własne urządzenia zawsze będą chciały uzyskiwać z nich dostęp do własnej poczty i kalendarza, ponieważ daje im to większą swobodę i możliwość dostępu do nich w dowolnym czasie, także poza pracą. W tym celu muszą przejść przez serwer pocztowy organizacji, co pozwala narzucać im wymogi polityki, takie jak np.: szyfrowanie, hasło czy automatyczne czyszczenie urządzenia po określonej liczbie niepomyślnych prób skomunikowania się. Innymi słowy, poinformowanie użytkownika, że może mieć oficjalnie dostęp do poczty tylko na określonych warunkach, jest taktyką dużo skuteczniejszą niż ryzyko utraty kontroli, gdy ten dostęp mu zablokujemy.