Adam - stock.adobe.com

Warum eine Richtlinie für mobile Sicherheit ein Muss ist

Eine Sicherheitsrichtlinie für mobile Geräte, die Mitarbeiter über die ordnungsgemäße BYOD-Nutzung aufklärt, hilft Schwachstellen zu schließen und stärkt die Bedrohungsabwehr.

Eine Richtlinie für mobile Sicherheit spielt eine Schlüsselrolle, wenn es darum geht, die Arbeitsumgebung eines Unternehmens angemessen vor Datenverletzungen und anderen Sicherheitsvorfällen zu schützen, indem sie alle potenziellen Risikofaktoren für die Mitarbeiter definiert. Aber mobile Sicherheitsrichtlinien sind mehr als nur die Aushändigung von rechtlichen Verträgen und Schulungsmaterial an jeden Mitarbeiter. Und es geht um mehr als nur um den Zugang zu Unternehmensressourcen und darum, was auf den im Unternehmen verwendeten Mobilgeräten erlaubt und verboten ist.

Da Cyberangriffe zunehmend auf mobile Geräte abzielen, ist es wichtiger denn je, die Sicherheitsrichtlinien für die Verwaltung mobiler Geräte zu aktualisieren. Was sollten IT-Abteilungen also über die Durchsetzung mobiler Richtlinien wissen und was sollten sie einbeziehen, wenn sie ihre bestehenden mobilen Sicherheitsrichtlinien aktualisieren müssen?

Was sind Richtlinien für mobile Sicherheitsgeräte und BYOD?

IT-Unternehmensrichtlinien können sich mit verschiedenen Technologie- und Nutzungsfragen für Mitarbeiter befassen, zum Beispiel mit Internetnutzung, Datenspeicherung, Unternehmensmobilität, BYOD-Richtlinien (Bring Your Own Device), Richtlinien für die Nutzung sozialer Medien und Änderungsmanagement. Die IT-Abteilung ist in der Regel für die Festlegung der erforderlichen Sicherheitsrichtlinien verantwortlich, aber auch die Personalabteilung spielt eine wichtige Rolle, wenn es darum geht, zusätzliche erforderliche Technologierichtlinien aufzuzeigen.

Das Fehlen einer mobilen Sicherheitsrichtlinie kann zu Sicherheitsvorfällen und anderen potenziell kostspieligen Problemen führen, die in Datenschutzverletzungen resultieren, wenn sich die Mitarbeiter der Risiken einer unsachgemäßen Nutzung von Technologien nicht bewusst sind. Vorfälle wie die Weitergabe von geschützten Gesundheitsdaten eines Patienten an unbefugte Nutzer per SMS oder über eine Social-Media-App sind ein klarer Verstoß gegen die Datenschutzbestimmungen und können schwerwiegende rechtliche und finanzielle Konsequenzen nach sich ziehen.

Was sollten diese Richtlinien beinhalten?

Die IT-Abteilung eines Unternehmens widmet den Richtlinien für mobile Sicherheit und BYOD aufgrund der wachsenden Besorgnis über die Nutzung von Smartphones immer mehr Aufmerksamkeit. Infolgedessen muss das IT-Team die bestehenden Unternehmensrichtlinien an die sich verändernde Bedrohungslandschaft und Technologien anpassen. Im Allgemeinen sollten die Richtlinien für mobile Sicherheit und BYOD die folgenden Dokumente enthalten

  • Richtlinie zur akzeptablen Nutzung von Mobilgeräten;
  • BYOD-, CYOD- (Choose Your Own Device), COPE- (Corporate-owned, Personal Enabled) und COBO- (Corporate-owned, Business-only) Richtlinien; und
  • Richtlinien zur mobilen Sicherheit.

Beispiel für Vorlagen für mobile Sicherheit und BYOD-Richtlinien

Der Inhalt von Dokumenten für mobile Sicherheit und BYOD-Richtlinien kann je nach den Anforderungen und der Sicherheitsstrategie eines Unternehmens für mobile Geräte variieren. Eine typische BYOD-Richtlinienvorlage sollte mehrere Abschnitte enthalten, die von der IT-Abteilung angepasst werden.

Kurze Einführung in die Richtlinie: Heben Sie den Zweck der Richtlinie hervor, was sie abdeckt und welche Folgen die Nichteinhaltung der Anforderungen hat. Zum Beispiel: „Das Beispielunternehmen räumt seinen Mitarbeitern und Angestellten die Möglichkeit ein, ihre persönlichen Smartphones und andere mobile Geräte für die Arbeit zu erwerben und zu nutzen. Das Beispielunternehmen behält sich das Recht vor, das gewährte Privileg der Nutzung persönlicher Geräte am Arbeitsplatz und für arbeitsbezogene Aktivitäten zu widerrufen, wenn der Nutzer gegen die dargelegten Verfahren und Richtlinien verstößt und sich nicht daran hält.“

Akzeptable Nutzung: Beschreiben Sie, was von den Mitarbeitern erwartet wird, wenn sie mit ihren Geräten mit Unternehmensdaten interagieren oder eine Verbindung zum Netzwerk herstellen, einschließlich:

  • Die Benutzer sind verpflichtet, ihre Apps immer auf dem neuesten Stand zu halten, wenn sie auf Arbeitsinhalte und -ressourcen zugreifen.
  • Das mobile Gerät sollte über grundlegende Schutzmaßnahmen wie Passcodes verfügen, und die Verschlüsselung muss aktiviert sein.
  • Mitarbeiter sollten nicht auf Websites und Inhalte zugreifen, die als unzulässig, urheberrechtlich geschützt oder illegal gelten.
  • Die Mitarbeiter sollten ihr Gerät nicht für arbeitsbezogene Aufgaben wie Autofahren oder Bedienen von Maschinen oder zum Hosten und Freigeben von Inhalten im Unternehmensnetzwerk verwenden.

Gerätebeschränkungen und Sicherheitsanforderungen: Dazu gehören auch Anforderungen an Tools zur Verwaltung mobiler Anwendungen, um sicherzustellen, dass Unternehmensanwendungen und -daten auf dem Gerät ordnungsgemäß geschützt sind. Das Dokument kann auch die erwarteten Sicherheitskonfigurationen ansprechen, die von der IT-Abteilung verlangt werden, damit das Gerät für arbeitsbezogene Aktivitäten verwendet werden kann und mit Unternehmensdaten interagiert. Diese spezifischen Details können Folgendes beinhalten:

  • Sicherstellen, dass die Mitarbeiter das Gerät mit der neuesten Firmware und dem neuesten Betriebssystem auf dem neuesten Stand halten und einen Virenschutz für ihr mobiles Gerät einsetzen.
  • Verpflichten Sie die Mitarbeiter, auf ihren Geräten sichere Passwörter mit einer Mindestanzahl von Zeichen zu verwenden.
  • Verbieten Sie Mitarbeitern, illegale oder raubkopierte Software auf einem mobilen Gerät zu installieren, das für den Zugriff auf Unternehmensdaten verwendet wird.

Zugelassene Geräte und verfügbarer IT-Support: Die IT-Abteilung lässt in der Regel nur solche Geräte zu, die als sicher gelten und die Anforderungen der Unternehmensrichtlinien erfüllen. Es kann eine Liste der zugelassenen Gerätemodelle und Betriebssysteme enthalten sein. Die IT-Abteilung überlässt in der Regel dem Hersteller des mobilen Geräts den Telefonsupport, sofern es sich nicht um Geschäftsanwendungen handelt, die für die Verbindung zum Unternehmensnetzwerk verwendet werden. Die Erwartungen an den Support sollten den Mitarbeitern jedoch klar gemacht werden.

Haftungsausschlüsse und Haftung: Beschreiben Sie die Risiken, denen Mitarbeiter ausgesetzt sein können, wenn sie ihre privaten Geräte für arbeitsbezogene Aktivitäten nutzen. Weisen Sie darauf hin, dass Mitarbeiter mit disziplinarischen Maßnahmen bis hin zur Kündigung rechnen müssen, wenn sie die mobilen Sicherheitsrichtlinien des Unternehmens nicht einhalten.

BYOD versus unternehmenseigene Geräte: CYOD-, COBO- und COPE-Geräte, die von Mitarbeitern verwendet werden, unterliegen strengeren Kontrollen als BYOD-Geräte. Erläutern Sie die Auswirkungen der Verwendung firmeneigener Geräte in Bezug auf die Verwaltung und Kontrolle mobiler Geräte, die Beschränkung des Zugriffs auf Apps und Inhalte sowie die Haftung der Mitarbeiter im Falle einer Beschädigung des Geräts.

Wie man eine Richtlinie für mobile Sicherheitsgeräte implementiert und durchsetzt

BYOD- und andere mobile Sicherheitsrichtlinien tragen dazu bei, Best Practices für Mitarbeiter zu fördern, die über mobile Geräte auf Unternehmensdaten zugreifen. Diese Richtlinien können Unternehmen auch helfen, die Produktivität zu steigern und Kosten zu senken.

In den meisten Unternehmen werden die Unternehmensrichtlinien und -dokumente mit den Mitarbeitern während des Onboarding-Prozesses besprochen. Da BYOD-Probleme jedoch nicht für alle Mitarbeiter gelten, sollte die IT-Abteilung die Benutzerregistrierungen verfolgen und rechtzeitige Aktualisierungen der mobilen Sicherheitsrichtlinien des Unternehmens einplanen.

Erfahren Sie mehr über Mobile Management