Kluczową kwestią w BYOD jest bezpieczeństwo danych. Zgoda na podłączenie do sieci firmowej „obcych urządzeń” powinna iść w parze z racjonalną i działającą w praktyce polityką bezpieczeństwa. Do podstawowych zagadnień, jakie powinna ona obejmować, należą: • stworzenie listy urządzeń korzystających z firmowej sieci - przypisanie do nich użytkowników oraz uprawnień dostępu do danych; • zasady przechowywania oraz określenie typu danych w zakresie możliwości ich pobierania na urządzenia mobilne i tym samym wynoszenie poza środowisko firmy; • określenie procedur postępowania w przypadku kradzieży sprzętu lub rozwiązania umowy o pracę, które umożliwią wyczyszczenie lub zabezpieczenie danych; • określenie scenariusza aktualizacji systemu operacyjnego, • określenie wymagań co do haseł i polityki ich stosowania. Trudnością dla pracodawców może okazać się egzekwowanie od pracowników ustalonej polityki bezpieczeństwa, np. w zakresie instalacji na urządzeniach prywatnych oprogramowania antywirusowego i zapory sieciowej oraz szyfrowania danych. Utrzymanie kontroli nad bezpieczeństwem sieci firmowej wymaga takiej organizacji praw dostępu, by pracownik musiał zgłaszać pracodawcy wszystkie urządzenia, z których korzysta w pracy. Nieautoryzowane urządzenia nie mogą mieć dostępu do firmowych zasobów, serwerów i aplikacji.
Podstawowe obszary ryzyka BYOD okiem Pentacompu 1. Zabezpieczenie prywatnych urządzeń pracowników BYOD to łączenie się z firmową siecią i zasobami całej gamy różnego rodzaju urządzeń. Wyzwaniem dla IT jest zapewnienie spójnego i możliwie szczelnego systemu bezpieczeństwa. Chodzi nie tylko o rozwiązania systemowe, ale również o politykę bezpieczeństwa i stosowanie się do zaleceń bezpiecznego korzystania z urządzeń mobilnych. 2. L icencjonowanie użytkowanego oprogramowania Umowy licencyjne na oprogramowanie przewidują jego instalację wyłącznie na urządzeniach licencjobiorcy. Instalacja danego oprogramowania na sprzęcie prywatnym pracownika może być uznana za złamanie warunków umowy. Dlatego w BYOD pracodawca powinien wnikliwie sprawdzać warunki licencjonowanych aplikacji. 3. Z arządzanie urządzeniami mobilnymi pracowników Konieczność zarządzania urządzeniami mobilnymi pracowników wymaga inwestycji w rozwiązania typu „mobile device management”. Sprawowanie kontroli nad tymi urządzeniami dodatkowo utrudnia różnorodność stosowanego w nich oprogramowania. Co więcej, należy ją sprawować w zgodzie z zasadami ochrony prywatności pracowników. 4. Niedoszacowanie inwestycji względem oszczędności na BYOD Raport 2011 TMT Global Security Study, przedstawiony przez firmę Deloitte, wskazuje, że w branży TMT (technologie, media, telekomunikacja) 40% pracowników wykorzystuje do pracy prywatne urządzenie. Jednocześnie raport mówi, że aż połowa spółek ponosi zbyt niskie wydatki na bezpieczeństwo IT. Pracodawca powinien porównywać oszczędności na BYOD z wydatkami, jakie musi ponieść na zapewnienie właściwego sytemu zabezpieczeń. 5. Bezpieczeństwo danych firmy – cel i wyzwanie Marcowy raport IT Executives and CEO Survey Final Report, opracowany na podstawie rozmów z dyrektorami najwyższych szczebli z ponad 850 firm z Niemiec, Stanów Zjednoczonych i Wielkiej Brytanii, wskazuje, że już 78% firm pozwala pracownikom na używanie prywatnych urządzeń w celach związanych z pracą. Prawie połowa badanych firm odnotowała przypadki kradzieży danych lub naruszenia bezpieczeństwa. Najbardziej niepokoi fakt, iż 100% przypadków kradzieży danych, o których mowa, można powiązać z dostępem do sieci firmy prywatnego urządzenia pracownika. AUTOR: Grzegorz Misztalewski, Główny Specjalista IT w Pentacomp Systemy Informatyczne SA, www.pentacomp.pl