Politika mobilních zařízení a BYOD – SME

Politika mobilních zařízení a využívání soukromých zařízení (BYOD) (P34S) je vytvořena specificky pro SME a zajišťuje, že organizace bez dedikovaných pracovníků IT nebo bezpečnosti mohou i tak zavést robustní, certifikovatelná opatření pro mobilní koncové body. Její jasná struktura přiřazuje odpovědnost generálnímu řediteli (GM) a nahrazuje tradiční role IT nebo ředitele informační bezpečnosti (CISO) praktickým, dostupným dohledem vhodným pro kontext SME. Primárním cílem politiky je vytvořit vynutitelné ochrany všude tam, kde se přistupuje k firemním nebo zákaznickým datům, kde se tato data zpracovávají nebo ukládají, bez ohledu na to, zda jsou zařízení firemní nebo osobní. Stanovuje základní technická a procesní zmírňující kontrolní opatření, například požadavek na šifrování zařízení, zámky obrazovky a antivirový program, při zachování uživatelsky přívětivých pravidel vhodných pro neodborný personál. Rozsah je komplexní a vztahuje se na veškerý personál a poskytovatele služeb třetích stran, kteří používají mobilní zařízení (včetně chytrých telefonů, tabletů nebo notebooků) pro obchodní účely, bez ohledu na lokalitu nebo vlastnictví zařízení. Přísné požadavky správy nařizují, aby všechna zařízení využívající soukromá zařízení (BYOD) byla registrována a schválena a měla bezpečnostní aplikace, přičemž odpovědnost je podpořena záznamy o registrovaných zařízeních a uživatelskými dohodami. Soukromí je pečlivě chráněno: společnost spravuje pouze firemní data na osobních zařízeních a respektuje hranice uživatelů, v souladu s právními požadavky, jako je GDPR. Politika vynucuje širokou škálu opatření: firemní i osobní zařízení musí mít aktuální software ochrany před škodlivým kódem, silnou autentizaci, šifrování a nesmí využívat neoprávněné cloudové služby pro firemní data. Uživatelé využívající soukromá zařízení (BYOD) jsou povinni podepsat dohody a podle potřeby instalovat bezpečnostní aplikace nebo nástroje správy mobilních zařízení. GM (nebo určení pracovníci) odpovídá za schvalování zařízení, vedení inventáře aktiv, provádění přezkumů incidentů a zajištění vynucování politiky, a to i u poskytovatelů služeb třetích stran. Řízení incidentů je pragmatické a rychlé a vyžaduje, aby ztracená nebo kompromitovaná zařízení byla nahlášena do jedné hodiny, což spouští okamžité vyhodnocení vzdáleného vymazání a resetů autentizačních údajů. Je popsán jasný proces jak pro ošetření výjimek prostřednictvím záznamů o výjimkách z politik a schválení GM, tak pro vynucování souladu: pravidelné revize přístupových práv, audity a důsledky porušení včetně odebrání přístupu, formálních upozornění a v případě potřeby smluvních nebo právních nápravných opatření. Jako politika, která výslovně odkazuje na článek 5.1 (Leadership & Commitment) a článek 8.1 (Operational Planning & Control) normy ISO/IEC 27001:2022, spolu s NIST, GDPR, NIS2 a DORA, tento dokument zajišťuje, že SME splní základní požadavky na připravenost na certifikaci i ve scénářích práce na dálku a hybridní práce. GM je pověřen každoročními přezkoumáními vedením, aktualizacemi po incidentech nebo regulačních změnách a zajištěním, že všichni uživatelé jsou informováni a proškoleni. Celkově je politika úzce integrována se souvisejícími dokumenty politik pro SME a vytváří kompletní rámec pro řízení rizik zařízení a zajištění auditovatelného, právně vyhovujícího a zákaznicky důvěryhodného zabezpečení mobilních zařízení pro menší organizace.