7 points à considérer lors de l'élaboration d'une politique de sécurité byod

Les pratiques relatives à l'apport de votre propre appareil (BYOD) sont en augmentation; d'ici 2017, la moitié des employés de l'entreprise fourniront leurs propres appareils, selon Gartner.

Déployer un programme BYOD n'est pas facile et les risques de sécurité sont très réels, mais la mise en place d'une politique de sécurité signifiera un potentiel de réduction des coûts et d'augmentation de la productivité à long terme. Voici sept éléments à prendre en compte lors de la rédaction d'une stratégie de sécurité BYOD. (En savoir plus sur le BYOD dans 5 choses à savoir sur le BYOD.)

La bonne équipe

Avant de définir des règles de type pour le BYOD sur le lieu de travail, vous avez besoin de la bonne équipe pour rédiger les politiques.

"Ce que j'ai vu, c'est qu'une personne des RH rédigera la politique, mais elle ne comprend pas les exigences techniques, de sorte que la politique ne reflète pas ce que font les entreprises", explique Tatiana Melnik, avocate en Floride spécialisée dans la confidentialité des données. et la sécurité.

La politique doit refléter les pratiques de l'entreprise et une personne ayant une formation technologique doit diriger la rédaction, tandis que les représentants des services juridiques et des ressources humaines peuvent offrir des conseils et des suggestions.

"Une entreprise devrait déterminer si elle a besoin d'ajouter des conditions et des conseils supplémentaires dans la politique, par exemple, concernant l'utilisation du Wi-Fi et l'autorisation aux membres de la famille et aux amis d'utiliser le téléphone", a déclaré Melnik. "Certaines entreprises choisissent de limiter le type d'applications qui peuvent être installées et si elles inscrivent l'appareil de l'employé à un programme de gestion des appareils mobiles, elles répertorient ces exigences."

Cryptage et sandboxing

Le premier rouage essentiel de toute politique de sécurité BYOD est le chiffrement et le sandboxing des données. Le cryptage et la conversion des données en code sécuriseront l'appareil et ses communications. En utilisant un programme de gestion des appareils mobiles, votre entreprise peut segmenter les données des appareils en deux volets distincts, professionnel et personnel, et les empêcher de se mélanger, explique Nicholas Lee, directeur principal des services aux utilisateurs finaux chez Fujitsu America, qui a dirigé les politiques BYOD chez Fujitsu.

"Vous pouvez le considérer comme un conteneur", dit-il. "Vous avez la possibilité de bloquer le copier-coller et le transfert de données de ce conteneur vers l'appareil, de sorte que tout ce que vous possédez au niveau de l'entreprise restera dans ce conteneur unique."

Cela est particulièrement utile pour supprimer l'accès au réseau pour un employé qui a quitté l'entreprise.

Limiter l'accès

En tant qu'entreprise, vous devrez peut-être vous demander combien d'informations les employés auront besoin à un certain moment. Autoriser l'accès aux e-mails et aux calendriers peut être efficace, mais tout le monde a-t-il besoin d'accéder aux informations financières? Vous devez considérer jusqu'où vous devez aller.

"À un moment donné, vous pouvez décider que pour certains employés, nous n'allons pas leur permettre d'utiliser leurs propres appareils sur le réseau", a déclaré Melnik. "Ainsi, par exemple, vous avez une équipe de direction qui a accès à toutes les données financières de l'entreprise, vous pouvez décider que pour les personnes occupant certains postes, il n'est pas approprié qu'elles utilisent leur propre appareil, car il est trop difficile de le contrôler et les risques sont trop élevés et c'est OK pour le faire. "

Tout cela dépend de la valeur de l'informatique en jeu.

Les appareils en jeu

Vous ne pouvez pas simplement ouvrir les vannes à tous les appareils. Faites une liste des appareils que votre politique BYOD et votre équipe informatique prendront en charge. Cela peut signifier restreindre le personnel à un certain système d'exploitation ou à certains appareils qui répondent à vos problèmes de sécurité. Pensez à interroger votre personnel pour savoir s'il est intéressé par le BYOD et quels appareils il utiliserait.

William D. Pitney de FocusYou a une petite équipe de deux personnes dans son entreprise de planification financière, et ils ont tous migré vers iPhone, après avoir utilisé un mélange d'Android, iOS et Blackberry.

"Avant de migrer vers iOS, c'était plus difficile. Comme tout le monde a choisi de migrer vers Apple, cela a rendu la gestion de la sécurité beaucoup plus facile", a-t-il déclaré. "De plus, une fois par mois, nous discutons des mises à jour iOS, de l'installation d'applications et d'autres protocoles de sécurité."

Essuyage à distance

En mai 2014, le Sénat de Californie a approuvé une législation qui rendra les "kill switches" - et la possibilité de désactiver les téléphones volés - obligatoires sur tous les téléphones vendus dans l'État. Les politiques BYOD devraient suivre, mais votre équipe informatique aura besoin des capacités pour le faire.

"Si vous avez besoin de trouver votre iPhone … il est presque instantané avec le quadrant de niveau GPS et vous pouvez essentiellement effacer l'appareil à distance si vous le perdez. La même chose vaut pour un appareil d'entreprise. Vous pouvez essentiellement retirer le conteneur d'entreprise de l'appareil ", a déclaré Lee.

Le défi de cette politique particulière est qu'il incombe au propriétaire de signaler quand son appareil est manquant. Cela nous amène à notre prochain point …

Sécurité et culture

L'un des principaux avantages du BYOD est que les employés utilisent un appareil avec lequel ils sont à l'aise. Cependant, les employés peuvent tomber dans de mauvaises habitudes et peuvent finir par retenir des informations de sécurité en ne divulguant pas les problèmes en temps opportun.

Les entreprises ne peuvent pas sauter au BYOD du revers de la main. Les économies d'argent potentielles sont attrayantes, mais les éventuelles catastrophes de sécurité sont bien pires. Si votre entreprise souhaite utiliser le BYOD, le déploiement d'un programme pilote est préférable à la plongée en tête-à-tête.

Tout comme les réunions mensuelles de FocusYou, les entreprises doivent vérifier régulièrement ce qui fonctionne et ce qui ne fonctionne pas, d'autant plus que toute fuite de données est la responsabilité de l'entreprise, pas celle de l'employé. «En général, ce sera l'entreprise qui sera responsable», explique Melnik, même s'il s'agit d'un appareil personnel en question.

La seule défense qu'une entreprise peut avoir est une «défense d'employé voyou», où l'employé agissait clairement en dehors de la portée de son rôle. "Encore une fois, si vous agissez en dehors de la politique, vous devez avoir une politique en place", explique Melnik. "Cela ne fonctionnera pas s'il n'y a pas de politique et aucune formation sur cette politique et aucune indication que l'employé était au courant de cette politique."

C'est pourquoi une entreprise devrait avoir des polices d'assurance contre les violations de données. "La façon dont les violations se produisent tout le temps, il est risqué pour les entreprises de ne pas avoir de politique en place", ajoute Melnik. (En savoir plus dans Les 3 composants clés de la sécurité BYOD.)

Codifier la politique

Iynky Maheswaran, responsable des activités mobiles chez Macquarie Telecom en Australie et auteur d'un rapport intitulé "Comment créer une politique BYOD", encourage la planification préalable d'un point de vue juridique et technologique. Cela nous ramène à avoir la bonne équipe.

Melnik réaffirme la nécessité de signer un accord employeur / employé pour garantir le respect des politiques. Elle dit qu'il doit être "clairement indiqué pour eux que leur appareil doit être retourné en cas de litige, qu'ils vont rendre l'appareil disponible, qu'ils vont utiliser l'appareil conformément à la politique, où tous ces facteurs sont reconnus dans un document signé. "

Un tel accord sauvegardera vos polices et leur donnera beaucoup plus de poids et de protection.