11 trinn til sikker håndtering av BYOD

Tillater dere allerede, eller vil dere tillate medarbeidere å ta med personlige enheter på jobb eller å arbeide hjemmefra? Her får du 11 tips til, hvordan du minimerer risikoen ved å tillate BYOD

BYOD

1. Sett opp klare retningslinjer, kommunisert fra sentralt hold
Foreta en kritisk gjennomgang av alle aspekter forbundet med å tillate BYOD, og sørg for at de fremgår klart av retningslinjene. Sørg for at ledelsen står bak retningslinjene og kommuniserer dem til medarbeiderne. IT-sikkerhet er for mange «noe som IT-avdelingen håndterer», og som mange derfor ikke forholder seg til – derfor er det viktig at ledelsen legger vekt bak.

2. Formuler klare konsekvenser for brudd på retningslinjene
Hva er konsekvensen hvis en medarbeider bryter reglene for BYOD? Og er det forskjellige konsekvenser alt etter hvilke retningslinjer det brytes? Fratas man tillatelsen til å bruke personlige enheter? Og kan seriøse brudd som å overføre forretningskritiske data via usikre forbindelser, resultere i en oppsigelse? Hvis ikke medarbeiderne kjenner konsekvensene, risikerer du at de ignorerer reglene.

3. Begrens medarbeidernes brukerrettigheter
Har medarbeiderne tilgang til data som de ikke burde ha? Har IT glemt å inndra en midlertidig tillatelse, eller har de kopiert brukerrettigheter til en nyansatt, som inkluderte utvidede rettigheter? Jo flere medarbeidere som har tilgang til data og systemer de ikke skal kunne få tilgang til, jo større er risikoen for å utenforstående bruker medarbeidernes enheter til å skaffe seg tilgang til systemet.

4. Begrens tilgangen utenfra til forretningskritiske data
Noen data er så følsomme at de aldri må forlate virksomhetens nettverk. Sørg for fysisk å begrense tilgangen til data som ikke må forlate organisasjonen. Også for medarbeidere som ellers har tilgang til disse dataene i sitt arbeid.

5. Still krav om oppdatering av enheter, pinkode og sikkerhetsprogramvare
For å begrense muligheten for digitale angrep er det viktig å holde et høyt sikkerhetsnivå – spesielt i form av sikkerhetsoppdateringer og anti-malwareprogrammer. Det hele kan likevel raskt omgås hvis en medarbeider går fra enheten sin uten pin-kode. Så sørg for at det er orden på alle aspekter ved sikkerheten.

6. Still krav om installasjon av «splitter-apps»
En «splitter-app» deler telefonen i 2 – en privat og en profesjonell. Alle data fra virksomheten lagres i den profesjonelle delen, som er fullstendig atskilt fra den private delen og er lagret bak et passord.

7. Sett begrensninger på hvilke enheter dere vil støtte
Noen enheter lever ganske enkelt ikke opp til sikkerhetskravene. Det kan enten dreie seg om et merke, som er kjent for dårlig sikkerhet, eller ansatte som har «rootet» eller «jailbreaket» telefonen din og dermed nedsatt sikkerheten. Tillat aldri at disse enhetene kobles til nettverket, da disse representerer en betydelig økt risiko.

8. Innfør regler for kryptering
Kryptering er etter hvert blitt så enkelt at man ofte kan gjøre det ved å laste ned en app – men langt de fleste krypterer aldri sine data. Sørg for at forretningskritiske data alltid er gjort utilgjengelige med kryptering.

9. Treff beslutninger om hvilke apper ansatte kan ha på telefonen
Noen ansatte kunne aldri drømme om å laste ned andre apper enn de som dukker opp øverst i App Store. Andre letter på nettet etter små, smarte applikasjoner som de ikke kan finne andre steder. Gjør det klart hvilke typer apper som er akseptable hvis man vil bruke enheten på jobb.

10. Gjør det mulig for IT-avdelingen å slette alt innhold på telefonen
Hvis en enhet med forretningskritiske data blir stjålet, kan ingen garantere hvor de ender, med mindre dere har installert en bakdør som gjør det mulig for IT å slette data fra en enhet som brukes i virksomheten. Sørg alltid for å ha en mulighet for å slette data.

11. Bruk Mobile Application Management på ditt nettverk
Du vil aldri helt kunne hindre medarbeidere i å laste ned apper som ikke er tillatt – men med mobile application management-systemer kan du overvåke og stoppe tilgangen fra apper eller typer av apper. På den måte sikrer du at de ikke blir brukt på din arbeidsplass.