Seadme ise kaasamise (BYOD – Bring Your Own Device) praktika on tänapäevastes töökohades väga levinud. Hübriidtöö on saanud standardiks ja töötajad ootavad, et saavad ligi ettevõtte süsteemidele oma isiklike arvutite, telefonide ja tahvelarvutite kaudu.
Siiski, kuigi BYOD on küpsenud standardiks, selle turvalise rakendamise poliitikad jäävad endiselt maha ning see ei ole tavaliselt tingitud halvast turvalisuse kujundamisest. Töötajad lihtsalt ei järgi nende jaoks kehtestatud juhiseid ja kübermeeskonnad jäävad teadmata.
Kuidas saavad organisatsioonid luua BYOD-politika, mida töötajad tegelikult järgivad, ilma turvalisust ohustamata?
Tegutsege turvalisus nähtamatuks (või vähemalt peaaegu nähtamatuks)
Selleks, et BYOD-politika praktiliselt toimiks, peab turvalisus sobima loomulikult töötajate juba kasutatavasse tööviisi. Mida rohkem see katkestab igapäevaseid töövooge, seda tõenäolisem, et kasutajad otsivad sellest ümbermineku võimalusi.
Sisselogimise takistused on üks suurimaid elluviimise takistusi. Korduvad sisselogimised, keerukad autentimisprotseduurid või pidev taaskinnitamine võivad kiiresti põhjustada pettumust. Kuid nii ei pea alati olema.
Ühe sisselogimise (SSO – Single Sign On) ja lihtsate MFA-metoodikatega (nt push-teated või biomeetrilised andmed) abil saavad organisatsioonid säilitada tugeva turvalisuse, ilma et kasutajate tööd aeglustataks.
Pikkade seansside säilitamine on samuti viis pettumuse vähendamiseks minimaalse turvalisuskaotusega. Eesmärk on vältida olukorda, kus kasutajatel tuleb liiga palju täiendavaid sammusid teha põhitööülesannete täitmiseks. Kui e-kirjade, dokumentide või sisemiste tööriistade avamine muutub keeruliseks, otsivad töötajad loomulikult lühikesi teid.
Kujundage BYOD-politikad kasutajate käitumise põhjal
BYOD-politika peaks peegeldama seda, kuidas töötajad tegelikult töötavad, mitte seda, kuidas organisatsioonid arvavad, et nad peaksid töötama. Tegelikult vahetavad töötajad pidevalt seadmeid, ühenduvad erinevatest kohtadest ja liiguvad päevas läbi erinevate võrkude. Poliitikad, mis seda ignoreerivad, viivad loomulikult mittetäitmiseni.
Aegumise asemel ideaalsete stsenaariumide jaoks kujundada, tuleks politikaid luua reaalse käitumise põhjal. Näiteks on hea tavaks nõuda mitmeid autentimissamme iga kord, kui kasutaja proovib sisse logida uuest
seadmest. Siiski põhjustab sama taseme autentimise nõudmine iga sisselogimise korral inimestele pettumust.
ELASTSUS on BYOD-keskkonnas oluline. Seega peaksid poliitikad keskenduma peamiselt andmete ja ligipääsu turvaldamisele, mitte iga seadme või asukoha kontrollimisele.
Väärib ka kaalumist, kas loobuda ühe suurusega reeglitest. Arendaja, müügispetsialist ja rahandustöötaja interakteeruvad süsteemidega erineval viisil ja kasutavad tõenäoliselt täiesti erinevaid tööriistu. Reeglite rangeuse kohandamine rolli, ligipääsu taseme ja andmete tundlikkuse põhjal parandab elluviimist.
Ärge ignoreerige privaatsusküsimusi
Töötajatel on loomulikult kahtlusi BYOD-politikate vastu, isegi kui need on pigem lubavad, lihtsalt sellepärast, et nad eeldavad tööandja teatavat ligipääsu või kontrolli nende enda seadmele.
Seepärast peaksid organisatsioonid keskenduma rangelt ettevõtte andmete ja süsteemide ligipääsu kontrollimisele ning selgitama seda töötajatele, et nad tunneksid end kindlalt: kõik muu, mida nad oma seadmes teevad, jääb privaatsesse sfääri.
SELGE ERALDUS on võtmeküsimus. Organisatsioonidel ei ole vaja näha isiklikke rakendusi, faile ega tegevusi, et BYOD-riske efektiivselt hallata. Kõik ettevõtte andmed peavad asuma pilvarakendustes ja haldatavates tööruumides, mitte seadmes ise. Just sellisel viisil saab turvalisuskontrollid olemas olla ilma, et need ulatuks kasutaja isiklikku keskkonda.
Sellest lähenemisest saavad kasu ka tööandjad. Kui seade kaob ära, saab seda rünnata või töötaja lahkub ettevõttest, saab organisatsioonid eemaldada ligipääsu või kustutada ettevõtte andmed ilma isikliku sisu mõjutamata.
Pakkuge praktilist ja pidevat koolitusprogrammi
Töötajad järgivad BYOD-politikat palju tõenäolisemalt, kui nad mõistavad, miks see üldse eksisteerib. Kui turvalisus tundub abstraktne või ebarelevantne, on seda lihtne ignoreerida. Kuid kui kasutajad teavad reaalsetest ohtudest nagu phishing, konto üle võtmine või ebaohutud avalikud Wi-Fi-võrgud, võtavad nad politikaid palju tõsisemalt.
Koolitus peab olema praktiline ja seotud sellega, kuidas töötajad oma seadmeid tegelikult kasutavad. Üldiste teadlikkuse sessioonide asemel tuleks keskenduda päevapäraselt esinevatele stsenaariumidele. BYOD-keskkonnas tähendab see näiteks phishing-ürituste tuvastamist, kahtlaste linkide vältimist, avalike võrkude riskide mõistmist ja kuidas turvaliselt ligi pääseda ettevõtte süsteemidele isiklike seadmete kaudu.
Olgugi et koolitus ei tohiks olla ühekordne tegevus. Ohtud muutuvad pidevalt ja ka töötajate teadlikkus peaks seda järgima. Lühikesed, regulaarsed uuendused või meenutused on palju tõhusamad kui harva toimuvad, pikad koolitusseansid, millest unustatakse kiiresti.
Eesmärk pole muuta töötajaid turvalisuse ekspertideks, vaid anda neile piisav teadlikkus, et nad saaksid igapäevaelus paremaid otsuseid teha.
Kokkuvõte
BYOD on tänapäevase töö tegelik tegelikkus. Enamasti ei ole probleem selles, kas seda lubada, vaid kuidas rakendada BYOD-politikat, mida töötajad tegelikult järgivad. Kõige tõhusamad politikad ei ole kõige ranged, vaid need, mis muudavad nende järgimise lihtsaks ilma tarbetu riske kaasa toomata.
Lõppkokkuvõttes seisneb BYOD-politikate elluviimise maksimeerimine turvalisuse ja kasutusmugavuse tasakaalu leidmisel. Organisatsioonid, kes selle tasakaalu õigesti leiavad, parandavad mitte ainult turvalisust, vaid loovad ka sujuvama ja tootlikuma töökeskkonna.
