Защита данных и принести собственное устройство (BYOD).

Как можно согласовать BYOD с требованиями по защите данных?

By Karin Dietl

Когда сотрудники используют свои личные устройства, такие как смартфоны или ноутбуки, в качестве рабочих инструментов, это становится сложным для работодателей. С одной стороны, сотрудники хотят работать на знакомых им устройствах, а с другой стороны, руководство обязано соблюдать требования по защите данных. Однако эта дилемма между практичностью и соответствием может быть решена.

Принесите свой собственный прибор или Принесите свой Дезастер?

Что критично для сотрудников, имеющих данные компании на своих личных устройствах? Проще говоря, работодатель теряет контроль над собственными данными компании. Если на первый взгляд кажется хорошей идеей разрешить сотрудникам использовать их личные устройства, то при более внимательном осмотре, к сожалению, это не так. С BYOD (Bring your own device) происходит смешивание частных и корпоративных данных. Кроме того, увеличивается риск потери данных, так как устройства гораздо больше используются в частной сфере (например: во время праздников, поездок, частных визитов друзей, досуга).

Поскольку работодатель также несет ответственность за соблюдение требований по защите данных, он должен принять соответствующие меры по защите данных. Это означает, что он должен защитить данные компании от потери или уничтожения. В связи с этим достаточно, чтобы сотрудник имел доступ к своему электронному почтовому ящику и мог загружать вложения (данные клиентов и сотрудников, данные от деловых партнеров) на личное устройство. В то же время сотрудник имеет право на конфиденциальность своих личных данных на собственном устройстве. Работодатель не может просто «экранировать» смартфон, не принадлежащий ему на постоянной основе, для обеспечения безопасности данных. В конце концов, правила игры для использования и технические решения должны использоваться так, чтобы BYOD не стал катастрофой.

Защита данных для мобильных устройств

Основные правила защиты данных (такие как «DSGVO») не сильно изменились для стратегий BYOD. Тем не менее, необходимо рассмотреть вопрос о внесении некоторых изменений в уже существующие правила. Данные должны оставаться в сфере контроля работодателей, это может быть обеспечено, если будет установлено виртуальное частное сетевое (VPN) соединение. Это позволит сотрудникам просматривать данные на мобильных устройствах, но не хранить их на них. Преимущество этого метода заключается в том, что в случае потери или уничтожения устройства данные компании не пострадают. Однако у него есть и недостаток: редактирование в автономном режиме будет невозможно. Особенно для международных бригад или полевых работников важна работа, не зависящая от местоположения, и это часто включает в себя работу «в дороге» с малыми шансами на стабильное подключение к Интернету. Если это слишком сильно замедляет производительность, следует рассмотреть другие технические решения.

Другой вариант — зашифрованные области хранения данных на самом устройстве. Это отделяет данные компании от личных данных и предотвращает их смешивание. Если собственные приложения компании также эксплуатируются в этой защищенной зоне хранения, то это известно как принцип «песочницы«. Опять же, нет никакого взаимодействия между защищенной средой и за пределами песочницы.  Если операционная система компании и приложения компании эксплуатируются отдельно от приватной зоны, то эти решения называются «виртуализацией». Это также позволяет компании влиять на актуальность операционной системы и обеспечивать ее безопасность. Если на устройстве одновременно работают две системы, это неизбежно скажется на аппаратных ресурсах и производительности (ключевое слово: производительность батареи).

Защита данных и принести собственное устройство (BYOD). 1В связи с этим необходимо принять меры по обеспечению того, чтобы сотрудники адаптировали свои операционные системы к требованиям безопасности своего предприятия. В частности, запрет на модификацию операционных систем, например, «jailbreak» iOS-устройств или «rooting» Android-устройств. Также подумайте о требованиях безопасности, с которыми сотрудникам разрешено входить в защищенную зону. Биометрические датчики, такие как отпечатки пальцев, должны быть исключены из уравнения, так как они недостаточно надежны. Физическая безопасность устройства может быть определена более подробно с помощью политики. В качестве дополнительной и вспомогательной меры полезно проводить разъяснительную работу среди сотрудников, поскольку в конечном итоге они сталкиваются с ограниченным использованием своих частных устройств.

Реализация стратегии BYOD

Чем лучше сотрудники знают о том, как они должны вести себя в определенных случаях, тем безопаснее становится использование BYOD. Итак, какие точки теперь следует регулировать?

  • покрытие расходов в случае приобретения или повреждения устройства, а также расходов на использование SIM-карты для телефонии
  • Утвержденные модели устройств, версии операционных систем и приложений (черные/белые списки)
  • Правила хранения (например, оставить ноутбук в машине, детей, играющих с мобильным телефоном, и т.д.).
  • Помощь в обслуживании устройства (настройка, обновления)
  • Права доступа и управление (удаленное удаление в случае кражи)
  • Обязанность сообщать в случае утери — пожалуйста, обратите внимание на 72 часа для сообщения о нарушении данных в соответствии с DSGVO (или аналогичными правилами)!
  • Требования к безопасности паролей
  • Последствия в случае нарушения политики использования (например, переход на корпоративное устройство)
  • Возврат данных при выходе из компании или при взятии отпуска
  • Ограничение прав доступа
    Участие в учебных курсах по повышению осведомленности в области безопасности
  • Сведения о конфиденциальности данных, для соблюдения коммерческой и корпоративной тайны
  • Дополнение стратегии BYOD в реестре процессинговой деятельности
  • Проведение оценки воздействия защиты данных

Фазит

Понятно, что самый простой вариант означает два устройства для частного и профессионального использования, но реальность отличается. Во многих случаях реализация стратегии BYOD будет дорогостоящей и сложной, но если она будет реализована эффективно, то может стать «беспроигрышной» ситуацией для сотрудников и компании. С одной стороны, пользователи могут работать со своими привычными устройствами, а существующий риск может быть снижен с помощью концепции безопасности.

Karin Dietl
Mag. Karin Dietl ist selbständige Unternehmensberaterin und Spezialistin für Datenschutz-Compliance. Sie startete ihre Ausbildung als Textilchemikerin, absolvierte neben der Anwaltsprüfung mehrere Jahre in internationalen Wirtschaftskanzleien und beschäftigt sich seit 2010 mit der Digitalwirtschaft. Derzeit berät sie Unternehmen zu den Themen Informationssicherheit, Datenschutz, Risikomanagement sowie Digitaler Ethik und Corporate Digital Responsibility. Sie führt zudem Datenschutz-Audits durch und wird für Unternehmen als Datenschutzbeauftragte tätig. Darüber hinaus ist sie Fachvortragende bei Veranstaltungen und Autorin zahlreicher Fachpublikationen.
Вам также могут понравиться Еще от автора

Комментарии закрыты.

More Stories

Insights Driven Organization (IDO) — будущее бизнеса и…

Принятие решений на основе данных: Принятие более разумных…

Рыночные площадки B2B: следующее поколение закупок

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More