Politica privind dispozitivele mobile și BYOD - IMM

Politica privind dispozitivele mobile și aducerea propriului dispozitiv (BYOD) (P34S) este elaborată special pentru IMM-uri, asigurând că organizațiile fără personal IT sau de securitate dedicat pot implementa totuși controale robuste și certificabile pentru puncte terminale mobile. Structura sa clară atribuie responsabilitatea directorului general (DG), înlocuind rolurile tradiționale IT sau CISO cu o supraveghere practică și accesibilă, adecvată contextului IMM. Scopul principal al politicii este de a crea protecții aplicabile oriunde sunt accesate, prelucrate sau stocate date ale companiei sau ale clienților, indiferent dacă dispozitivele sunt emise de companie sau sunt deținute personal. Politica stabilește măsuri de protecție tehnice și procedurale de bază, cum ar fi cerința de criptare a dispozitivului, blocarea ecranului și antivirus, menținând în același timp politici ușor de utilizat, potrivite pentru personal fără expertiză. Domeniul de aplicare este cuprinzător, aplicându-se întregului personal și furnizorilor terți de servicii care folosesc dispozitive mobile (inclusiv smartphone-uri, tablete sau laptopuri) în scopuri de afaceri, indiferent de locație sau de proprietatea dispozitivului. Cerințele stricte de guvernanță impun ca toate dispozitivele BYOD să fie înregistrate, aprobate și să aibă aplicații de securitate, cu înregistrări ale dispozitivelor și acorduri ale utilizatorilor care susțin responsabilitatea. Confidențialitatea este protejată cu atenție: compania gestionează doar datele de afaceri pe dispozitivele personale și respectă limitele utilizatorilor, aliniindu-se cu cerințe legale precum GDPR. Politica impune o gamă largă de controale: dispozitivele companiei și cele personale trebuie să aibă software de securitate actualizat, autentificare puternică, criptare și nu trebuie să utilizeze servicii cloud neautorizate pentru datele companiei. Utilizatorii BYOD trebuie să semneze acorduri și să instaleze aplicații de securitate sau controale echivalente MDM, după caz. DG (sau personalul desemnat) este responsabil pentru aprobarea dispozitivelor, menținerea inventarului activelor, efectuarea revizuirilor incidentelor și asigurarea aplicării politicii, inclusiv pentru furnizori terți de servicii. Managementul incidentelor este pragmatic și rapid, cerând ca dispozitivele pierdute sau compromise să fie raportate în termen de o oră, declanșând evaluarea promptă a ștergerii la distanță și a resetărilor credențialelor. Este descris un proces clar atât pentru gestionarea excepțiilor, printr-un registru al excepțiilor BYOD și aprobarea DG, cât și pentru aplicarea conformității: revizuiri periodice, audituri și consecințe pentru încălcări, inclusiv revocarea accesului, avertismente formale și, dacă este necesar, remedii contractuale sau juridice. Ca politică ce face referire explicită la Clauza 5.1 (Leadership & Commitment) și Clauza 8.1 (Operational Planning & Control) din ISO/IEC 27001:2022, împreună cu NIST, GDPR, NIS2 și DORA, acest document asigură că IMM-urile îndeplinesc cerințele esențiale de certificare chiar și în scenarii de lucru la distanță și hibrid. DG are sarcina de a efectua revizuiri anuale, actualizări după incidente sau schimbări de reglementare și de a se asigura că toți utilizatorii sunt notificați și instruiți. În ansamblu, politica este strâns integrată cu documente de politici IMM conexe, creând un cadru complet pentru gestionarea riscurilor dispozitivelor și asigurarea unei securități mobile auditabile, legale și demne de încrederea clienților pentru organizațiile mai mici.