Использование собственного ноутбука или телефона- представляет угрозу безопасности для бизнеса

В следующий раз, когда вы будете работать в кофейне или подобном общественном месте, уделите минутку, чтобы оглянуться на своих «коллег» по работе, занятых, как и вы, ноутбуками, мобильными телефонами и планшетами. Сколько из этих устройств принадлежит организациям, в которых они работают? Или они — и вы — используют личные устройства для ведения дел компании?

Многие компании принимают удобство практики, известной как « принеси свое устройство ». Это позволяет сотрудникам использовать свои личные или частные устройства, такие как смартфоны, ноутбуки, USB-накопители и даже персональное облачное хранилище, для рабочих целей. Более широкий термин «принеси свою технологию» охватывает использование частного программного обеспечения для деловой активности.

По данным Индекса готовности к кибербезопасности 2024 года, подготовленного технологической компанией Cisco, 85% из более чем 8000 опрошенных компаний по всему миру сообщили, что их сотрудники получали доступ к корпоративным платформам с помощью неуправляемых устройств.

Подход «принеси свое устройство» имеет неоспоримые преимущества. К ним относятся более низкие затраты на покупку для компаний и большая гибкость для персонала. Но эта практика также рискованна.

Частные устройства не всегда хорошо настроены для обеспечения безопасности. На них часто отсутствуют средства контроля безопасности конечных точек, такие как антивирусное программное обеспечение и шифрование (преобразование текстовых данных в нечитаемый формат). Это делает их уязвимыми для утечек данных и других форм кибератак. Такие атаки распространены и могут быть дорогостоящими. Компания по кибербезопасности Kaspersky задокументировала почти 33,8 миллиона мобильных кибератак по всему миру в 2023 году, что на 50% больше, чем в 2022 году.

Итак, что могут сделать организации, чтобы снизить риски, связанные с «принесением собственного устройства»? Как специалист по кибербезопасности, который проводит исследования и преподает темы кибербезопасности, вот мой совет для компаний, которые хотят сохранить свои данные в безопасности, позволяя сотрудникам использовать собственные технологии.

Кого это должно волновать?

Организации всех размеров, использующие интернет и коммуникационные технологии (ИКТ) для бизнес-операций , должны учитывать риски, связанные с «собственными устройствами». Это касается не только ИТ-отделов. Без сотрудничества между техническими командами и руководством невозможно сбалансировать операционную эффективность и надежные меры безопасности данных.

Это должно стать первоочередным приоритетом, если:

В вашей организации или бизнесе отсутствуют политики, стандарты и рекомендации по использованию собственных устройств.
Вы не внедрили фундаментальные технические меры безопасности для персональных устройств. Это могут быть виртуальные частные сети , современное антивирусное программное обеспечение, многофакторная аутентификация, шифрование и инструменты управления мобильными устройствами.
В вашей компании отсутствуют адекватные процессы управления учетными записями пользователей (что часто встречается в организациях, не имеющих выделенных ИКТ-ресурсов)
Ваши ИКТ-операции раздроблены, отсутствуют единые стандарты или практики во всех отделах
Организация не оценивала риски практики «приноса собственных устройств».

Никогда не поздно усилить контроль кибербезопасности для этих практик. По мере развития киберрисков организации должны адаптироваться для защиты своей информации. Оцените финансовые и репутационные риски утечки данных, и вы почти наверняка обнаружите, что стоит потратить деньги заранее, чтобы предотвратить огромные потери в будущем.

Управление рисками

Организации с необходимыми ресурсами кибербезопасности могут принять меры внутри компании. Другим может потребоваться рассмотреть возможность аутсорсинга в критических областях, где есть серьезные пробелы.

Во-первых, вам нужна комплексная стратегия «принеси свое устройство», адаптированная к потребностям вашей организации. Она должна соответствовать целям организации и определять, кто должен иметь какие меры. Она должна описывать, как разрешение сотрудникам использовать свои собственные устройства для работы будет отвечать потребностям бизнеса.

Затем компания должна разработать политику, которая поможет в управлении частными устройствами.

Но бесполезно просто излагать политику на бумаге: донесите ее до всех сотрудников и сделайте ее легкодоступной в любое время через такие платформы, как интранет. Доводите любые обновления политики до всех пользователей через различные каналы, такие как электронная почта или семинары. Проводите регулярное индивидуальное обучение. Не все разбираются в технологиях; сотрудникам может потребоваться помощь в установке необходимых мер безопасности.

И не забудьте информировать свою команду о любых изменениях. Крайне важно проводить регулярные (ежемесячные или ежеквартальные) или непрерывные оценки рисков и вносить необходимые изменения.

Критически важно, чтобы организация следила за соблюдением и обеспечивала его соблюдение. Все сотрудники, от руководителей высшего звена до младших сотрудников, должны придерживаться политик по поддержанию безопасности данных. Кибербезопасность — это общая ответственность, и важно быть бдительным в отношении определенных угроз, таких как фишинг-кит , когда мошенники выдают себя за старших должностных лиц компании, чтобы целенаправленно атаковать других старших и ключевых должностных лиц.

Избежать катастрофы

Эти стратегии могут помочь компаниям предотвратить превращение «принеси свое устройство» в «принеси свою катастрофу». Хорошо управляемый подход — это не просто защита от угроз, это инвестиции в рост, стабильность и авторитет вашей организации.