Politika mobilnih uređaja i BYOD-a - SME

Politika mobilnih uređaja i korištenja vlastitih uređaja (BYOD) (P34S) izrađena je posebno za SME-ove, osiguravajući da organizacije bez namjenskog IT ili sigurnosnog osoblja i dalje mogu implementirati snažne, certifikabilne kontrole za mobilne krajnje točke. Njezina jasna struktura dodjeljuje odgovornost Glavnom direktoru (GM), zamjenjujući tradicionalne IT ili uloge glavnog službenika za informacijsku sigurnost (CISO) praktičnim, pristupačnim nadzorom prilagođenim SME kontekstu. Primarni cilj politike je uspostaviti provedive zaštite gdje god se pristupa, obrađuju ili pohranjuju podaci tvrtke ili kupaca, neovisno o tome jesu li uređaji izdani od strane tvrtke ili su u osobnom vlasništvu. Postavlja polazne tehnološke i proceduralne zaštitne mjere, poput zahtjeva za šifriranje uređaja, zaključavanje zaslona i antivirusni softver, uz zadržavanje politika prilagođenih korisnicima i prikladnih za nestručno osoblje. Opseg je sveobuhvatan i primjenjuje se na svo osoblje i pružatelje usluga koji koriste mobilne uređaje (uključujući pametne telefone, tablete ili prijenosna računala) u poslovne svrhe, neovisno o lokaciji ili vlasništvu uređaja. Strogi zahtjevi upravljanja nalažu da svi BYOD uređaji moraju biti registrirani, odobreni i imati sigurnosne aplikacije, pri čemu zapisi o registriranim uređajima i korisnički sporazumi podupiru odgovornost. Privatnost je pažljivo zaštićena: tvrtka upravlja samo poslovnim podacima na osobnim uređajima i poštuje granice korisnika, usklađujući se s pravnim zahtjevima kao što je GDPR. Politika provodi širok skup kontrola: službeni i osobni uređaji moraju imati ažuriran sigurnosni softver, snažnu autentifikaciju, šifriranje te ne smiju koristiti neovlaštene usluge u oblaku za podatke tvrtke. BYOD korisnici obvezni su potpisati sporazume i instalirati sigurnosne aplikacije ili MDM alate prema potrebi. GM (ili imenovano osoblje) odgovoran je za odobravanje uređaja, održavanje popisa imovine, provođenje pregleda incidenata i osiguravanje provedbe politike, uključujući i za vanjske pružatelje IT usluga. Upravljanje incidentima je pragmatično i brzo, zahtijeva da se izgubljeni ili kompromitirani uređaji prijave u roku od jednog sata, što pokreće brzu procjenu, udaljeno brisanje podataka i resetiranje vjerodajnica. Jasno je opisan postupak i za postupanje s iznimkama, putem Dnevnika iznimaka BYOD-a i odobrenja GM-a, te za provedbu usklađenosti: periodični pregledi, revizije i posljedice za kršenja, uključujući opoziv pristupa, formalna upozorenja te, po potrebi, ugovorne ili pravne mjere. Kao politika koja izričito upućuje na klauzulu 5.1 (Leadership & Commitment) i klauzulu 8.1 (Operational Planning & Control) norme ISO/IEC 27001:2022, zajedno s NIST-om, GDPR-om, NIS2 i DORA-om, ovaj dokument osigurava da SME-ovi ispune ključne zahtjeve za certifikaciju čak i u scenarijima rada na daljinu i hibridnog rada. GM je zadužen za godišnje preglede, ažuriranja nakon incidenata ili regulatornih promjena te osiguravanje da su svi korisnici obaviješteni i obučeni. Zaključno, politika je usko integrirana s povezanim SME dokumentima politika, stvarajući cjelovit okvir za upravljanje rizicima uređaja i osiguravanje revizibilne, zakonite i pouzdane mobilne sigurnosti za manje organizacije.