Zapewnienie odpowiednich zabezpieczeń urządzeń mobilnych używanych przez pracowników, to połączenie możliwości technicznych z odpowiednimi procedurami. Zarówno pracodawca jak i pracownik są zobowiązani do przestrzegania zasad korzystania z dedykowanych sprzętów. Na co zwracać uwagę i jakie zabezpieczenia rozważyć?
- Wprowadź polityki i procedury bezpieczeństwa jasno określające zasady korzystania z urządzeń, za pomocą których pracownicy mają dostęp do firmowych zasobów, zwłaszcza podczas pracy zdalnej. Pomocne mogą być:
♦ Polityka BYOD (Bring Your Own Device), która określa zasady używania urządzeń prywatnych, takich jak laptopy, smartfony, tablety czy inne urządzenia mobilne, do celów służbowych. BYOD umożliwia integrację prywatnych urządzeń z infrastrukturą IT firmy, co przynosi szereg korzyści, ale jednocześnie wiąże się z istotnymi wyzwaniami w zakresie bezpieczeństwa i zarządzania.
- ♦ Polityka MDM (Mobile Device Management), czyli system zarządzania urządzeniami mobilnymi, który umożliwia firmom i organizacjom monitorowanie, zarządzanie oraz zabezpieczanie urządzeń mobilnych, takich jak smartfony, tablety, laptopy czy inne urządzenia przenośne, które są używane w celach służbowych
Pamiętaj o używaniu osobnych kont do celów prywatnych i służbowych. Nie mieszaj danych prywatnych z danymi do których masz dostęp w organizacji.
Przygotuj odpowiedni plan reagowania na incydenty związane z bezpieczeństwem urządzeń mobilnych, w tym procedury dotyczące zgłaszania utraty lub kradzieży urządzenia.
Zarządzaj urządzeniami używanymi przez pracowników – skrupulatnie prowadzony rejestr urządzeń i przygotowanie sprzętów do użytkowania są kluczowe, by zapewnić bezpieczeństwo przetwarzania danych w organizacji. Zadbaj, by urządzenia z których korzystają pracownicy były odpowiednio skonfigurowane. Wprowadź zarówno standardowe ustawienia bezpieczeństwa (np. blokady ekranu, szyfrowanie danych i automatyczne aktualizacje), jak i mechanizmy separujące dane służbowe od prywatnych.
Zadbaj o możliwość zdalnego usuwania danych znajdujących się na smartfonie lub innym urządzeniu. Kolejnym elementem są instalowane aplikacje: powinny pochodzić z zaufanych źródeł i być regularnie aktualizowane, podobnie jak cały sprzęt.
Sporządź listę aplikacji, z których pracownik może korzystać.Pozwala to na kontrolę nad tym, jakie narzędzia mają dostęp do danych firmowych i w jaki sposób te dane są przetwarzane. Nieautoryzowane aplikacje mogą stanowić poważne zagrożenie, ponieważ mogą nie spełniać wymagań bezpieczeństwa, być podatne na ataki lub przesyłać dane do niezabezpieczonych lokalizacji.
Pamiętaj o szyfrowaniu danych, aby chronić przechowywane informacje przed nieautoryzowanym dostępem w razie kradzieży lub zgubienia urządzenia.
Włącz mechanizmy uwierzytelniania i autoryzacji – bezpieczeństwo urządzenia i organizacji nie może istnieć bez silnych haseł, PIN-ów, korzystania z biometrii (jeśli jest taka możliwość), czy dwuskładnikowego uwierzytelniania (2FA). Sporządź politykę bezpiecznych haseł.
Zadbaj o właściwe uprawnienia dostępowe dla pracowników, zgodnie z ich zakresem obowiązków i kompetencji. Udziel uprawnień tylko do takich danych i aplikacji, które są niezbędne do wykonywania obowiązków oraz zapewnij możliwość przeprowadzania aktualizacji.
Pamiętaj o budowaniu świadomości cyberzagrożeń wśród pracowników – przeprowadzaj regularne szkolenia z zakresu bezpieczeństwa obejmujące zarówno praktyczne aspekty związane z reagowaniem na incydenty, zabezpieczaniem kont i urządzeń czy bezpiecznym przechowywaniem danych.
Potrzeba informowania o aktualnych zagrożeniach, szkolenia z zakresu bezpieczeństwa urządzeń oraz stałe podnoszenie wiedzy i świadomości powinny być podstawą w każdej organizacji. Stosowanie tych zasad i praktyk pomoże w odpowiedzi na pytanie: czy urządzenia mobilne używane w organizacji są właściwie zabezpieczone i czy pracownik wie, jak odpowiednio korzystać z powierzonych mu urządzeń i zna odpowiednie procedury? Może mieć to kluczowe znaczenie w ochronie danych organizacji przed zagrożeniami.
Projekt finansowany ze środków Ministra Cyfryzacji.
- Artykuł wyraża jedynie poglądy autorów i nie może być utożsamiany z oficjalnym stanowiskiem Ministra Cyfryzacji.
