目次:
自分のデバイスを持ち込む(BYOD)プラクティスが増えています。 Gartnerによると、2017年までに、ビジネス従業員の半数が独自のデバイスを提供する予定です。
BYODプログラムの展開は容易ではなく、セキュリティリスクは非常に現実的ですが、セキュリティポリシーを導入することは、長期的にコストを削減し、生産性を向上させる可能性を意味します。 BYODセキュリティポリシーを作成する際に考慮する必要がある7つの事項を以下に示します。 (BYODについて知っておくべき5つのことで、BYODの詳細をご覧ください。)
適切なチーム
職場でBYODのルールを設定する前に、ポリシーを作成する適切なチームが必要です。
「私が見たのは、HRの誰かがポリシーを起草するが、技術的な要件を理解していないため、ポリシーが企業の行動を反映していない」と、フロリダのデータプライバシー専門弁護士Tatiana Melnikとセキュリティ。
方針にはビジネスの慣行を反映させる必要があり、技術的背景を持つ人物が起草を主導する必要がありますが、法務および人事の代表者はアドバイスや提案を提供できます。
「企業は、Wi-Fiの使用や家族や友人が電話を使用できるようにするなど、ポリシーに追加の条件やガイダンスを追加する必要があるかどうかを検討する必要があります」とMelnik氏は述べました。 「一部の企業は、インストールできるアプリの種類を制限することを選択しており、従業員のデバイスをモバイルデバイス管理プログラムに登録する場合、それらの要件をリストします。」
暗号化とサンドボックス
BYODセキュリティポリシーの最初の重要な歯車は、データの暗号化とサンドボックス化です。 データを暗号化してコードに変換すると、デバイスとその通信が保護されます。 モバイルデバイス管理プログラムを使用することで、ビジネスはデバイスデータをビジネスと個人の2つの異なる側面にセグメント化し、それらが混ざらないようにすることができます、とBYODポリシーを主導した富士通アメリカのエンドユーザーサービスのシニアディレクター、ニコラス・リー富士通。
「コンテナと考えることができます」と彼は言います。 「コピーと貼り付けをブロックし、そのコンテナからデバイスへのデータの転送をブロックすることができます。そのため、企業全体のすべてがその単一のコンテナ内に留まります。」
これは、退職した従業員のネットワークアクセスを削除する場合に特に役立ちます。
アクセス制限
ビジネスとして、特定の時間に従業員が必要とする情報量を自問する必要があります。 メールやカレンダーへのアクセスを許可することは効率的かもしれませんが、誰もが財務情報にアクセスする必要がありますか? あなたはどこまで行く必要があるかを考えなければなりません。
「ある時点で、特定の従業員については、ネットワーク上で自分のデバイスを使用することを許可しないことを決定する場合があります」とMelnik氏は述べています。 「たとえば、すべての企業の財務データにアクセスできる経営陣がいる場合、特定の役割の人々にとっては、デバイスを使用することは適切ではないと判断するかもしれません。高すぎます。それで問題ありません。」
これはすべて、問題のITの価値に依存します。
プレイ中のデバイス
すべてのデバイスへの水門を開くことはできません。 BYODポリシーとITチームがサポートするデバイスの候補リストを作成します。 これは、セキュリティ上の懸念を満たす特定のオペレーティングシステムまたはデバイスにスタッフを制限することを意味する場合があります。 BYODに関心があるかどうか、および使用するデバイスについてスタッフにポーリングすることを検討してください。
FocusYouのWilliam D. Pitneyは、彼の財務計画会社に2人の小さなスタッフがいます。以前はAndroid、iOS、およびBlackberryのミックスを使用していたすべてがiPhoneに移行しました。
「iOSに移行する前はより困難でした。誰もがAppleに移行することを選択したため、セキュリティの管理がはるかに簡単になりました」と彼は言いました。 「さらに、月に一度、iOSの更新、アプリのインストール、その他のセキュリティプロトコルについて説明します。」
リモートワイピング
2014年5月、カリフォルニア州上院は、州で販売されているすべての電話で「キルスイッチ」(盗難された電話を無効にする機能)を義務付ける法律を承認しました。 BYODポリシーはそれに追随する必要がありますが、ITチームはそうするための機能を必要とします。
「iPhoneを見つける必要がある場合は、GPSレベルの四分円でほぼ瞬時に消えます。紛失した場合、基本的にデバイスをリモートでワイプできます。同じことが企業デバイスにも当てはまります。装置」とリーは言った。
この特定のポリシーの課題は、所有者がデバイスの紛失時に報告する責任があるということです。 それは私たちの次のポイントに私たちをもたらします…
セキュリティと文化
BYODの主な利点の1つは、従業員が快適なデバイスを使用していることです。 ただし、従業員は悪い習慣に陥ることがあり、問題をタイムリーに開示しないと、セキュリティ情報を隠してしまう可能性があります。
企業は袖口からBYODにジャンプすることはできません。 潜在的なお金の節約は魅力的ですが、起こりうるセキュリティ災害はさらにひどくなります。 あなたのビジネスがBYODの使用に興味がある場合、パイロットプログラムを展開することは、真っ先にダイビングするよりも優れています。
FocusYouの毎月の会議と同様に、特にデータリークは従業員ではなくビジネスの責任であるため、企業は何が機能していて何が機能していないかを定期的にチェックする必要があります。 「一般的には、責任を負うのは会社になります」と、問題の個人用デバイスであっても、Melnikは言います。
企業が持つ唯一の防御は、従業員が明らかに役割の範囲外で行動していた「不正な従業員の防御」です。 「繰り返しますが、ポリシー外で行動している場合は、ポリシーを適切に設定する必要があります」とMelnik氏は言います。 「ポリシーがなく、そのポリシーに関するトレーニングがなく、従業員がそのポリシーを認識していたという兆候がない場合、それは機能しません。」
これが、企業がデータ侵害保険に加入する必要がある理由です。 「違反が常に発生しているため、企業がポリシーを設定していないとリスクが高くなります」とMelnik氏は付け加えます。 (BYODセキュリティの3つの主要コンポーネントで詳細を確認してください。)
ポリシーの成文化
オーストラリアのマッコーリーテレコムのモバイルビジネス責任者であり、「BYODポリシーの作成方法」と呼ばれるレポートの著者であるIynky Maheswaranは、法的観点および技術的観点からの事前計画を奨励しています。 これにより、適切なチームに戻ることができます。
Melnikは、ポリシーが順守されることを保証するために、署名された雇用主/従業員契約を締結する必要性を再確認します。 彼女は、「訴訟の際にデバイスを裏返す必要があること、デバイスを利用可能にすること、ポリシーに従ってデバイスを使用すること、これらの要素はすべて、署名された文書で認められています。」
そのような合意はあなたのポリシーをバックアップし、それらにより多くの重みと保護を与えます。
