7 points à considérer lors de la rédaction d'une politique de sécurité BYOD

Auteur: Eugene Taylor
Date De Création: 10 Août 2021
Date De Mise À Jour: 22 Juin 2024
Anonim
7 points à considérer lors de la rédaction d'une politique de sécurité BYOD - La Technologie
7 points à considérer lors de la rédaction d'une politique de sécurité BYOD - La Technologie

Contenu



Source: Sue Harper / Dreamstime.com

À emporter:

Apportez votre propre appareil pourrait grandement profiter à votre entreprise, mais les risques en matière de sécurité sont nombreux et une politique stricte est vitale.

Apportez votre propre appareil (BYOD) pratiques sont à la hausse; D'ici 2017, la moitié des employés de l'entreprise fourniront leurs propres appareils, selon Gartner.

Mettre en place un programme BYOD n’est pas chose facile et les risques de sécurité sont bien réels, mais la mise en place d’une politique de sécurité signifiera le potentiel de réduction des coûts et d’augmentation de la productivité à long terme. Voici sept éléments à prendre en compte lors de la rédaction d'une stratégie de sécurité BYOD. (En savoir plus sur le BYOD dans 5 choses à savoir sur le BYOD.)

La bonne équipe

Avant de définir des règles types pour le BYOD sur le lieu de travail, vous devez avoir la bonne équipe pour rédiger les politiques.

"Ce que j'ai vu, c'est une personne des RH qui rédigera la politique mais ne comprend pas les exigences techniques. La politique ne reflète donc pas ce que les entreprises font", déclare Tatiana Melnik, avocate en Floride spécialisée dans la protection des données. et la sécurité.

La politique doit refléter les pratiques de l'entreprise et une personne possédant une formation en technologie doit diriger la rédaction, tandis que les représentants des services juridiques et des ressources humaines peuvent offrir des conseils et des suggestions.

"Une entreprise doit déterminer si elle doit ajouter des conditions et des conseils supplémentaires dans la politique, par exemple en ce qui concerne l'utilisation du Wi-Fi et permettre aux membres de la famille et aux amis d'utiliser le téléphone", a déclaré Melnik. "Certaines entreprises choisissent de limiter le type d'applications pouvant être installées. Si elles inscrivent l'appareil de l'employé dans un programme de gestion des appareils mobiles, elles répertorient ces exigences."

Cryptage et Sandboxing

Le premier rouage essentiel de toute politique de sécurité BYOD est le cryptage et le sandboxing des données. Le cryptage et la conversion des données en code sécuriseront l'appareil et ses communications. En utilisant un programme de gestion des appareils mobiles, votre entreprise peut segmenter les données des appareils en deux parties distinctes, professionnelle et personnelle, et les empêcher de se mélanger, explique Nicholas Lee, directeur principal des services aux utilisateurs finaux chez Fujitsu America, qui a dirigé les politiques BYOD chez Fujitsu.

"Vous pouvez le considérer comme un conteneur", dit-il. "Vous avez la possibilité de bloquer le copier-coller et le transfert de données de ce conteneur vers le périphérique, de sorte que tout ce que vous possédez reste valable pour l'entreprise restera dans ce conteneur unique."

Ceci est particulièrement utile pour supprimer l'accès au réseau d'un employé qui a quitté l'entreprise.

Limiter l'accès

En tant qu’entreprise, vous devrez peut-être vous demander de combien d’informations les employés auront besoin à un moment donné. Permettre l'accès aux calendriers et aux calendriers peut être efficace, mais est-ce que tout le monde a besoin d'accéder à des informations financières? Vous devez considérer jusqu'où vous devez aller.

"A un moment donné, vous pouvez décider que, pour certains employés, nous ne leur permettrons pas d'utiliser leurs propres appareils sur le réseau", a déclaré Melnik. "Ainsi, par exemple, si votre équipe de direction a accès à toutes les données financières de l'entreprise, vous pouvez décider que, pour certains rôles, il n'est pas approprié pour eux d'utiliser leur propre appareil, car il est trop difficile de le contrôler et des sont trop élevés et c'est OK pour le faire ".

Tout dépend de la valeur de l'informatique en jeu.

Les appareils en jeu

Vous ne pouvez pas simplement ouvrir les vannes à tout appareil. Faites une liste des périphériques que votre stratégie BYOD et votre équipe informatique prendront en charge. Cela peut impliquer de limiter le personnel à un certain système d'exploitation ou à des périphériques répondant à vos préoccupations de sécurité. Pensez à interroger votre personnel pour savoir s'il est intéressé par le BYOD et quels appareils il utiliserait.

William D. Pitney, de FocusYou, emploie deux personnes au sein de son entreprise de planification financière et toutes ont migré vers l'iPhone, ayant déjà utilisé un mélange d'Android, iOS et Blackberry.

«Avant de migrer vers iOS, c’était plus difficile. Comme tout le monde a choisi de migrer vers Apple, la gestion de la sécurité est devenue beaucoup plus facile», a-t-il déclaré. "En outre, une fois par mois, nous discutons des mises à jour iOS, de l'installation d'applications et d'autres protocoles de sécurité."

Essuyage à distance

En mai 2014, le Sénat californien a approuvé une loi qui rendra les "commutateurs de neutralisation" obligatoires, ainsi que la possibilité de désactiver les téléphones volés, de manière obligatoire sur tous les téléphones vendus dans l'État. Les stratégies BYOD devraient suivre, mais votre équipe informatique aura besoin des capacités pour le faire.

"Si vous avez besoin de trouver votre iPhone ... il est presque instantané avec le quadrant de niveau GPS et vous pouvez pratiquement effacer l'appareil à distance en cas de perte. La même chose vaut pour un appareil d'entreprise. Vous pouvez essentiellement retirer le conteneur d'entreprise de l'appareil ", a déclaré Lee.

Le problème avec cette politique particulière est qu’il incombe au propriétaire de signaler quand son appareil est manquant. Cela nous amène à notre prochain point ...

Sécurité et culture

L'un des principaux avantages de BYOD est que les employés utilisent un appareil avec lequel ils sont à l'aise. Cependant, les employés peuvent tomber dans de mauvaises habitudes et finir par retenir des informations de sécurité en ne divulguant pas les problèmes en temps voulu.

Les entreprises ne peuvent pas passer immédiatement au BYOD. Les économies potentielles sont attrayantes, mais les risques de sécurité sont bien pires. Si votre entreprise souhaite utiliser le BYOD, le déploiement d'un programme pilote est préférable à la plongée en tête-à-tête.

À l’instar des réunions mensuelles de FocusYou, les entreprises doivent vérifier régulièrement ce qui fonctionne et ce qui ne fonctionne pas, d’autant plus que toute fuite de données relève de la responsabilité de l’entreprise, et non de celle de ses employés. "En général, ce sera la société qui sera responsable", déclare Melnik, même si c’est un appareil personnel en question.

La seule défense qu'une entreprise puisse avoir est une «défense des employés voyous», dans laquelle les employés agissaient clairement en dehors du cadre de leur rôle. "Encore une fois, si vous agissez en dehors de la politique, vous devez avoir une politique en place", a déclaré Melnik. "Cela ne fonctionnera pas s'il n'y a pas de politique, pas de formation sur cette politique et pas d'indication que l'employé était au courant de cette politique."

C'est pourquoi une entreprise devrait avoir des polices d'assurance contre la violation de données. "La manière dont les violations se produisent tout le temps, c'est risqué pour les entreprises de ne pas avoir de politique en place", ajoute Melnik. (En savoir plus dans Les 3 composants clés de la sécurité BYOD.)

Codifier la politique

Iynky Maheswaran, responsable des activités mobiles chez Macquarie Telecom, en Australie, et auteur d’un rapport intitulé "Comment créer une politique BYOD", encourage la planification préalable, tant d’un point de vue juridique que technologique. Cela nous ramène à avoir la bonne équipe.

Melnik réaffirme la nécessité de signer un accord employeur / employé afin de garantir le respect des politiques. Elle dit qu'il doit être clairement expliqué à leur intention que leur appareil doit être remis en cas de litige, qu'ils vont le rendre disponible, qu'ils l'utiliseront conformément à la politique, où tous ces facteurs sont reconnus dans un document signé ".

Un tel accord renforcera vos polices et leur donnera beaucoup plus de poids et de protection.