Rawpixel.com - Fotolia
Warum Sie eine Mobile-Sicherheitsrichtlinie haben müssen
Eine Sicherheitsrichtlinie für mobile Geräte sollte Punkte wie die erlaubte Nutzung, Sicherheitsanforderungen, Geräte-Beschränkungen oder Sanktionen bei Verstößen enthalten.
Eine Sicherheitsrichtlinie für mobile Geräte spielt eine Schlüsselrolle beim Schutz der Arbeitsumgebung eines Unternehmens vor Datenschutzverletzungen und anderen Sicherheitsvorfällen, da dort alle potenziellen Risikofaktoren für die Mitarbeiter definiert werden.
Eine entsprechende Richtlinie umfasst mehr als nur die Verteilung von rechtlichen Verträgen und Schulungsmaterial an jeden Mitarbeiter. Und es geht um mehr als den Zugang zu Unternehmensressourcen und darum, was auf den im Unternehmen eingesetzten mobilen Geräten erlaubt und verboten ist.
Da Cyberangriffe zunehmend auf mobile Geräte abzielen, ist es wichtiger denn je, die Sicherheitsrichtlinien für die Verwaltung mobiler Geräte zu aktualisieren. Was sollten IT-Abteilungen also über die Durchsetzung mobiler Richtlinien wissen, und was sollten sie beachten, wenn sie ihre bestehenden Richtlinie für mobilen Sicherheit aktualisieren müssen?
Was sind Richtlinien für die Sicherheit mobiler Geräte und BYOD?
IT-Unternehmensrichtlinien können verschiedene Technologie- und Nutzungsfragen für Mitarbeiter regeln, zum Beispiel Internetnutzung, Datenspeicherung, Mobilitätsrichtlinien des Unternehmens, BYOD-Richtlinien, Richtlinien zur Nutzung sozialer Medien oder Change Management. Die IT-Abteilung ist in der Regel für die Festlegung der erforderlichen Sicherheitsrichtlinien verantwortlich, aber auch die Personalabteilung spielt eine wichtige Rolle beim Erstellen zusätzlich erforderlicher Technologierichtlinien.
Das Fehlen einer Sicherheitsrichtlinie für mobile Geräte kann zu Sicherheitsvorfällen und anderen potenziell kostspieligen Problemen führen. Denkbar sind beispielsweise Verstöße gegen den Datenschutz, wenn sich die Mitarbeiter der Risiken einer unsachgemäßen Nutzung von Technologien nicht bewusst sind. Vorfälle wie die Weitergabe von geschützten Gesundheitsdaten eines Patienten an unbefugte Nutzer per SMS oder über eine Social-Media-App sind ein klarer Verstoß gegen die Vorschriften und können schwerwiegende rechtliche und finanzielle Konsequenzen nach sich ziehen.
Inhalte der Richtlinie
Die IT-Abteilung eines Unternehmens widmet der mobilen Sicherheit und den BYOD-Richtlinien aufgrund der kritischen Bedrohungslage immer mehr Aufmerksamkeit. Daher muss die IT-Abteilung die bestehenden Unternehmensrichtlinien an die sich verändernden Angriffsvektoren und Technologien anpassen. Im Allgemeinen sollten die Richtlinien für mobile Sicherheit und BYOD die folgenden Dokumente umfassen:
Beispiel für Vorlagen für Richtlinien zur mobilen Sicherheit und BYOD
Der Inhalt der Richtlinien für mobile Sicherheit und BYOD kann je nach den Anforderungen und der Sicherheitsstrategie eines Unternehmens für mobile Geräte variieren. Eine typische BYOD-Richtlinienvorlage sollte mehrere Abschnitte enthalten, die von der IT-Abteilung angepasst werden.
Kurze Einführung in die Richtlinie: Hier beschreiben Firmen den Zweck der Richtlinie, was sie abdeckt und welche Konsequenzen die Nichteinhaltung ihrer Anforderungen hat. Zum Beispiel: „Das Unternehmen xxx räumt seinen Mitarbeitern und Angestellten die Möglichkeit ein, ihre eigenen Smartphones und andere mobile Geräte für die Arbeit zu nutzen. Das Unternehmen xxx behält sich das Recht vor, das gewährte Privileg der Nutzung persönlicher Geräte am Arbeitsplatz und für arbeitsbezogene Aktivitäten zu widerrufen, wenn der Nutzer gegen die dargelegten Verfahren und Richtlinien verstößt."
Erlaubte Nutzung: Hier beschreiben Firmen, was sie von den Mitarbeitern erwarten, wenn sie mit ihren Geräten auf Unternehmensdaten zugreifen oder eine Verbindung zum Netzwerk herstellen. Dazu gehören folgende Punkte:
- Die Benutzer sind verpflichtet, ihre Apps immer auf dem neuesten Stand zu halten, wenn sie auf Arbeitsinhalte und -ressourcen zugreifen.
- Das mobile Gerät sollte über grundlegende Schutzmaßnahmen wie Passcodes verfügen, und die Verschlüsselung muss aktiviert sein.
- Mitarbeiter sollten nicht auf Websites und Inhalte zugreifen, die als unzulässig, urheberrechtlich geschützt oder illegal gelten.
- Die Mitarbeiter sollten ihr Gerät während Aktivitäten wie Bedienen von Maschinen oder Hosten und Freigeben von Inhalten im Unternehmensnetz nicht für arbeitsbezogene Aufgaben verwenden.
Beschränkungen auf den Geräten und Sicherheitsanforderungen: Die Richtlinie sollte Anforderungen an Tools zur Verwaltung mobiler Anwendungen enthalten, um sicherzustellen, dass Unternehmensanwendungen und -daten auf dem Gerät ordnungsgemäß geschützt sind. Das Dokument kann auch die erforderlichen Sicherheitskonfigurationen ansprechen, die von der IT-Abteilung verlangt werden, damit das Gerät für die Arbeit und für den Zugriff auf Unternehmensdaten eingesetzt werden kann. Folgende Punkte sollten auf jeden Fall enthalten sein:
- Mitarbeiter müssen das Gerät mit der neuesten Firmware und dem neuesten Betriebssystem stets aktuell halten und einen Virenschutz für ihr mobiles Gerät einsetzen.
- Mitarbeiter müssen auf ihren Geräten sichere Passwörter mit einer Mindestanzahl von Zeichen und einer Mischung aus Groß-/Klein-Schreibung, Zahlen und Sonderzeichen verwenden.
- Verbot, illegale oder raubkopierte Software auf einem mobilen Gerät zu installieren, das für den Zugriff auf Unternehmensdaten verwendet wird.
Zugelassene Geräte und verfügbarer IT-Support: Die IT-Abteilung lässt in der Regel nur Geräte zu, die als sicher gelten und die Anforderungen der Unternehmensrichtlinien erfüllen. Daher kann die Richtlinie eine Liste der zugelassenen Gerätemodelle und Betriebssysteme enthalten. Die IT-Abteilung überlässt in der Regel dem Hersteller des mobilen Geräts den Telefonsupport, sofern es sich nicht um Geschäftsanwendungen handelt, die für die Verbindung zum Unternehmensnetzwerk verwendet werden. Die Mitarbeiter sollten über die Leistungen des Supports informiert werden.
Haftung und Sanktionen: Beschreiben Sie die Risiken, denen Mitarbeiter ausgesetzt sein können, wenn sie ihre privaten Geräte für arbeitsbezogene Aktivitäten nutzen. Weisen Sie darauf hin, dass Mitarbeiter mit disziplinarischen Maßnahmen bis hin zur Kündigung rechnen müssen, wenn sie die mobilen Sicherheitsrichtlinien des Unternehmens nicht einhalten.
BYOD versus unternehmenseigene Geräte: CYOD-, COBO- und COPE-Geräte, die von Mitarbeitern verwendet werden, unterliegen strengeren Kontrollen als BYOD-Geräte. Hier sollte die Richtlinie Punkte enthalten wie die Verwaltung und Kontrolle firmeneigener mobiler Geräte, die Beschränkung des Zugriffs auf Anwendungen und Inhalte sowie die Haftung der Mitarbeiter im Falle einer Beschädigung des Geräts.
Richtlinie für die Sicherheit mobiler Geräte implementieren und durchsetzen
Richtlinien zum sicheren Einsatz eigener (BYOD) oder firmeneigener mobiler Geräte fördern Best Practices für Mitarbeiter, die über mobile Geräte auf Unternehmensdaten zugreifen. Diese Richtlinien können Unternehmen auch helfen, die Produktivität zu steigern und Kosten zu senken.
In den meisten Unternehmen werden die Unternehmensrichtlinien und -dokumente mit den Mitarbeitern während des Onboarding-Prozesses besprochen. Da BYOD-Probleme jedoch nicht für alle Mitarbeiter gelten, sollte die IT-Abteilung die Benutzerregistrierungen verfolgen und die Sicherheitsrichtlinie des Unternehmens für mobile Geräte regelmäßig überprüfen und aktualisieren.