Bring Your Own Device (BYOD) jest niezwykle powszechny w nowoczesnych miejscach pracy. Gdy praca hybrydowa staje się standardem, pracownicy oczekują dostępu do systemów firmowych z prywatnych laptopów, telefonów i tabletów.
Jednak mimo że BYOD dojrzewa jako standard, polityki dotyczące jego bezpiecznego wdrażania wciąż pozostają w tyle, i zwykle nie jest to spowodowane słabym projektem bezpieczeństwa. Pracownicy po prostu nie przestrzegają wymaganych wytycznych, a zespoły cyberbezpieczeństwa pozostają w ciemności.
Jak więc organizacje mogą zaprojektować politykę BYOD, której pracownicy będą faktycznie przestrzegać, bez kompromisów w zakresie bezpieczeństwa?
Uczyń bezpieczeństwo niewidocznym (lub przynajmniej prawie niewidocznym)
Aby polityka BYOD działała w praktyce, bezpieczeństwo musi naturalnie wpasować się w sposób, w jaki pracownicy już pracują. Im bardziej przerywa codzienne przepływy pracy, tym bardziej prawdopodobne jest, że użytkownicy będą szukać sposobów na jego obejście.
Tarcia przy logowaniu to jeden z największych zabójców adaptacji. Wymaganie powtarzających się logowań, złożonych kroków uwierzytelniania lub ciągłej ponownej weryfikacji może szybko prowadzić do frustracji. Ale nie musi tak być.
Dzięki technologiom takim jak Single Sign On (SSO) i proste metody MFA (takie jak powiadomienia push lub biometria), organizacje mogą utrzymać silne bezpieczeństwo bez spowalniania użytkowników.
Zezwolenie na dłuższe utrzymywanie sesji to również sposób na zmniejszenie frustracji przy minimalnym ryzyku bezpieczeństwa. Celem jest unikanie zmuszania użytkowników do wykonywania dodatkowych kroków przy podstawowych zadaniach. Jeśli dostęp do poczty e-mail, dokumentów lub narzędzi wewnętrznych stanie się trudny, pracownicy naturalnie będą szukać skrótów.
Projektuj polityki BYOD wokół zachowań użytkowników
Polityka BYOD powinna odzwierciedlać sposób, w jaki pracownicy faktycznie pracują, a nie sposób, w jaki organizacje uważają, że powinni pracować. W rzeczywistości pracownicy przełączają się między urządzeniami, łączą się z różnych lokalizacji i przemieszczają się po sieciach przez cały dzień. Polityki, które to ignorują, naturalnie doprowadzą do braku zgodności.
Zamiast projektować dla idealnych scenariuszy, buduj polityki wokół rzeczywistych zachowań. Na przykład dobrą praktyką jest wymaganie kilku kroków uwierzytelniania za każdym razem, gdy użytkownik próbuje zalogować się z nowego
urządzenia. Jednak wymaganie tego samego poziomu uwierzytelniania przy każdym pojedynczym logowaniu sfrustruje ludzi.
Elastyczność jest koniecznością w środowiskach BYOD. Polityki powinny zatem koncentrować się głównie na zabezpieczaniu danych i dostępu, a nie kontrolowaniu każdego urządzenia czy lokalizacji.
Warto również rozważyć odejście od uniwersalnych zasad. Programista, przedstawiciel handlowy i pracownik działu finansowego wchodzą w interakcje z systemami na różne sposoby i prawdopodobnie używają zupełnie innych narzędzi. Dostosowanie stopnia restrykcyjności zasad, w oparciu o rolę, poziom dostępu i wrażliwość danych, doprowadzi do lepszej adaptacji.
Bezpośrednio zajmij się obawami dotyczącymi prywatności
To naturalne, że pracownicy czują się sceptycznie wobec polityk BYOD, nawet jeśli są łagodne, po prostu dlatego, że sugerują one pewien poziom dostępu pracodawcy lub kontroli nad urządzeniem, które posiadają.
Dlatego organizacje powinny ściśle skupić się na kontrolowaniu dostępu do danych i systemów firmowych oraz wyjaśnić to pracownikom, aby czuli się pewni, że wszystko inne, co robią na swoim urządzeniu, pozostaje prywatne.
Kluczowe jest wyraźne rozdzielenie. Organizacje nie potrzebują wglądu w osobiste aplikacje, pliki lub aktywność, aby skutecznie zarządzać ryzykiem BYOD. Wszystkie dane firmowe powinny znajdować się w aplikacjach chmurowych i zarządzanych przestrzeniach roboczych, a nie na samym urządzeniu. W ten sposób kontrole bezpieczeństwa mogą istnieć bez rozszerzania się na osobiste środowisko użytkownika.
Pracodawcy również korzystają z tego podejścia. Jeśli urządzenie zostanie zgubione, skompromitowane lub pracownik opuści firmę, organizacje mogą usunąć dostęp lub wyczyścić dane firmowe bez wpływu na treści osobiste.
Zapewnij praktyczne, ciągłe szkolenia
Pracownicy są znacznie bardziej skłonni przestrzegać polityki BYOD, jeśli rozumieją, dlaczego ona istnieje. Gdy bezpieczeństwo wydaje się abstrakcyjne lub nieistotne, łatwo je zignorować. Ale gdy użytkownicy są świadomi rzeczywistych zagrożeń, takich jak phishing, przejęcia kont lub niezabezpieczone publiczne Wi-Fi, znacznie bardziej prawdopodobne jest, że potraktują polityki poważnie.
Szkolenia powinny być praktyczne i istotne dla sposobu, w jaki pracownicy faktycznie używają swoich urządzeń. Zamiast ogólnych sesji uświadamiających, skup się na rzeczywistych scenariuszach, z którymi spotykają się na co dzień. W środowiskach BYOD obejmuje to rozpoznawanie prób phishingu, unikanie podejrzanych linków, zrozumienie zagrożeń sieci publicznych i wiedzę, jak bezpiecznie uzyskiwać dostęp do systemów firmowych z urządzeń osobistych.
Ważne jest również, aby nie traktować szkoleń jako jednorazowego ćwiczenia. Zagrożenia ewoluują stale i świadomość pracowników również powinna. Krótkie, regularne aktualizacje lub przypomnienia są znacznie bardziej skuteczne niż rzadkie, długie sesje szkoleniowe, które są szybko zapominane.
Celem nie jest przekształcenie pracowników w ekspertów ds. bezpieczeństwa, ale zapewnienie im wystarczającej świadomości, aby podejmować lepsze decyzje w codziennych sytuacjach.
Podsumowanie
BYOD to rzeczywistość tego, jak wykonywana jest nowoczesna praca. Wyzwanie w większości przypadków nie polega na tym, czy na to pozwolić, ale jak wdrożyć politykę BYOD, której pracownicy będą faktycznie przestrzegać. Najbardziej skuteczne polityki to nie te najsurowsze, ale te, które ułatwiają pracownikom ich przestrzeganie bez wprowadzania niepotrzebnego ryzyka.
Ostatecznie maksymalizacja przyjęcia polityki BYOD sprowadza się do znalezienia równowagi między bezpieczeństwem a użytecznością. Organizacje, które osiągną tę równowagę, nie tylko poprawią bezpieczeństwo, ale również stworzą płynniejsze i bardziej produktywne środowisko pracy.
