Politika mobilnih naprav in BYOD - SME

Politika mobilnih naprav in uporabe lastnih naprav (BYOD) (P34S) je pripravljena posebej za SME in zagotavlja, da lahko organizacije brez namenskega osebja IT ali varnosti še vedno uvedejo robustne, certifikabilne kontrole za mobilne končne točke. Njena jasna struktura dodeli odgovornost generalnemu direktorju (GM) ter nadomesti tradicionalne vloge IT ali CISO s praktičnim, dostopnim nadzorom, prilagojenim kontekstu SME. Primarni cilj politike je vzpostaviti uveljavljive zaščite povsod, kjer se dostopa do podatkov podjetja ali strank, jih obdeluje ali hrani, ne glede na to, ali so naprave izdane s strani podjetja ali v osebni lasti. Določa izhodiščne tehnološke in postopkovne varovalne ukrepe, kot so zahteve po šifriranju naprave, zaklepih zaslona in antivirusni programski opremi, hkrati pa ohranja uporabniku prijazna pravila, primerna za nestrokovno osebje. Obseg je celovit in velja za vse osebje ter ponudnike storitev tretjih oseb, ki uporabljajo mobilne naprave (vključno s pametnimi telefoni, tablicami ali prenosniki) za poslovne namene, ne glede na lokacijo ali lastništvo naprave. Stroge zahteve upravljanja določajo, da morajo biti vse naprave uporabe lastnih naprav (BYOD) registrirane, odobrene in imeti varnostne aplikacije, pri čemer evidenca registriranih naprav in uporabniški dogovori podpirajo odgovornost. Zasebnost je skrbno zaščitena: podjetje upravlja samo poslovne podatke na osebnih napravah in spoštuje meje uporabnikov, skladno z zakonskimi zahtevami, kot je GDPR. Politika uveljavlja širok nabor kontrol: naprave podjetja in osebne naprave morajo imeti posodobljeno varnostno programsko opremo, močno avtentikacijo, šifriranje in ne smejo uporabljati nepooblaščenih storitev v oblaku za podatke podjetja. Uporabniki uporabe lastnih naprav (BYOD) morajo podpisati dogovore ter po potrebi namestiti varnostne aplikacije ali orodja za upravljanje mobilnih naprav. Generalni direktor (ali določeno osebje) je odgovoren za odobritev naprav, vzdrževanje popisa, izvajanje pregledov incidentov in zagotavljanje uveljavljanja politike, tudi za zunanje ponudnike IT. Upravljanje incidentov je pragmatično in hitro ter zahteva, da se izgubljene ali kompromitirane naprave prijavijo v eni uri, kar sproži hitro oceno oddaljenega izbrisa in ponastavitev poverilnic. Opredeljen je jasen postopek tako za obravnavo izjem prek dnevnika izjem BYOD in odobritve generalnega direktorja kot tudi za uveljavljanje skladnosti: periodični pregledi, presoje in posledice za kršitve, vključno s preklicem dostopa, formalnimi opozorili ter po potrebi pogodbenimi ali pravnimi ukrepi. Kot politika, ki izrecno navaja klavzulo 5.1 (Voditeljstvo in zavezanost) in klavzulo 8.1 (Operativno načrtovanje in nadzor) standarda ISO/IEC 27001:2022, skupaj z NIST, GDPR, NIS2 in DORA, ta dokument zagotavlja, da SME izpolnijo ključne zahteve za certificiranje tudi v scenarijih dela na daljavo in hibridnega dela. Generalni direktor je zadolžen za letne preglede, posodobitve po incidentih ali regulativnih spremembah ter za zagotavljanje, da so vsi uporabniki obveščeni in usposobljeni. Skupaj politika tesno povezuje povezane dokumente politik za SME ter ustvarja celovit okvir za upravljanje tveganj naprav in zagotavljanje revidirljive, zakonite in zaupanja vredne mobilne varnosti za manjše organizacije.