Správa a řízení BYOD pro ISO 27001, NIS2, DORA a GDPR
Ztracený iPad v 8:12
V 8:12 se Sarah na obrazovce objevil běžný tiket podpory: „Ztracený iPad, obchodní ředitel.“
Sarah byla ředitelkou informační bezpečnosti (CISO) rychle rostoucí fintech společnosti a okamžitě věděla, že nejde o běžný problém správy aktiv. Obchodní ředitel intenzivně používal svůj osobní iPad. Z hotelových pokojů, letištních salonků a prostor zákazníků přistupoval k záznamům v CRM, e-mailu, citlivým seznamům potenciálních klientů, prostorům pro spolupráci a přehledům platebního pipeline.
Během několika minut se situace zhoršila. Zařízení nebylo zařazeno do správy mobilních zařízení. Nebylo potvrzeno, že je šifrované. Nebyla k dispozici možnost vzdáleného vymazání. Pravidla podmíněného přístupu existovala, ale obchodní ředitel měl už několik měsíců schválenou výjimku, protože „je pořád na cestách“. Tým ochrany soukromí nedokázal potvrdit, jaká klientská data byla lokálně uložena v mezipaměti. Manažer souladu přeposlal novou zprávu od externího auditora: „Předložte prosím důkazy, že osobní mobilní zařízení přistupující k zákaznickým datům podléhají správě a řízení, jsou monitorována, šifrována a lze je v případě kompromitace vyřadit z používání.“
Ztracený iPad nebyl skutečnou explozí. Byl to varovný výstřel.
To je problém správy a řízení mobilních zařízení a BYOD v roce 2026. Osobní telefony a tablety už nejsou jen pohodlnou pomůckou zaměstnanců. Jsou to podnikové koncové body, faktory identity, úložiště dat, nástroje pro schvalování plateb, podpůrné prostředky privilegovaného přístupu a kanály pro hlášení incidentů. Jedno osobní zařízení může obsahovat autentizační aplikaci pro administrátorský přístup, firemní e-mail s osobními údaji, soubory z cloudu uložené v mezipaměti, snímky obrazovky s regulovanými informacemi, aktivní relace prohlížeče do konzolí SaaS a přístupové tokeny pro provozní nástroje.
Pro ředitele informační bezpečnosti, manažery souladu a řídicí orgány už otázka nezní: „Povolujeme BYOD?“ Skutečná otázka zní: „Dokážeme prokázat, že každá cesta mobilního přístupu je řízená, posouzená z hlediska rizik, technicky kontrolovaná, monitorovaná a obnovitelná?“
Odpověď nesmí vyžadovat samostatné programy souladu pro ISO 27001, NIS2, DORA a GDPR. Dobře vymezený systém řízení bezpečnosti informací podle ISO/IEC 27001:2022 ISO/IEC 27001:2022 dokáže zahrnout rizika mobilních zařízení a BYOD do politik, vlastnictví aktiv, řízení přístupu, souladu zařízení, protokolování, reakce na incidenty, opatření ochrany soukromí a důkazů týkajících se dodavatelů. Přístup Clarysec spočívá v tom, že se důkazy vytvoří jednou a následně se opakovaně použijí pro kybernetickou hygienu podle NIS2, řízení rizik v oblasti ICT podle DORA a zabezpečení zpracování podle GDPR Article 32.
Proč je BYOD nyní otázkou souladu na úrovni řídicích orgánů
Hybridní režim práce změnil mobilní přístup v trvalou součást provozu. Obchodní manažeři schvalují smlouvy z osobních iPhonů. Finanční manažeři autorizují platby z tabletů. Inženýři používají autentizační aplikace na vlastních telefonech. Členové vrcholového vedení cestují s firemním e-mailem na osobních zařízeních, protože je to pohodlné. Dodavatelé přistupují k tiketům z mobilních prohlížečů. Týmy podpory přijímají upozornění na incidenty prostřednictvím mobilních aplikací pro zasílání zpráv.
Tato flexibilita vytváří mezeru ve správě a řízení, pokud přístup roste rychleji než návrh politik a opatření.
NIS2 tuto mezeru zviditelňuje na úrovni vedení. Article 20 vyžaduje, aby řídicí orgány schvalovaly opatření k řízení rizik kybernetické bezpečnosti, dohlížely na jejich implementaci a absolvovaly školení. Article 21 vyžaduje vhodná a přiměřená technická, provozní a organizační opatření, včetně analýzy rizik, zvládání incidentů, kontinuity činností, zabezpečení dodavatelského řetězce, bezpečného pořizování a údržby, posuzování účinnosti, kybernetické hygieny, kryptografie, bezpečnosti lidských zdrojů, řízení přístupu a správy aktiv. Správa a řízení mobilních zařízení a BYOD se dotýká téměř všech těchto témat.
DORA zvyšuje nároky na finanční subjekty. Od ledna 2025 DORA vyžaduje dokumentovaný rámec řízení rizik v oblasti ICT, dohled řídicího orgánu, kontinuitu činností v oblasti ICT, řízení incidentů v oblasti ICT, testování digitální provozní odolnosti a řízení rizik třetích stran v oblasti ICT. Pokud zaměstnanci přistupují ke kritickým nebo důležitým funkcím prostřednictvím mobilních zařízení, jsou tato zařízení součástí povrchu rizik v oblasti ICT. Poskytovatel správy mobilních zařízení nebo sjednocené správy koncových bodů se také může stát relevantním pro důkazy týkající se třetích stran v oblasti ICT, pokud chrání přístup k regulovaným činnostem.
GDPR přidává pohled odpovědnosti. Article 5 vyžaduje, aby osobní údaje byly zpracovávány bezpečně, a ukládá správci povinnost prokázat soulad. Article 32 vyžaduje vhodná technická a organizační opatření, včetně důvěrnosti, integrity, dostupnosti, odolnosti a schopnosti obnovit přístup, kde je to potřeba. V praxi se posuzovatelé ochrany soukromí ptají konkrétně: Kdo může přistupovat k osobním údajům z mobilních zařízení? Jak je přístup omezen? Co se stane, když se telefon ztratí? Lze firemní data vymazat bez zásahu do osobního soukromí? Uchovávají se logy? Jsou k dispozici důkazy pro posouzení porušení zabezpečení?
ISO/IEC 27001:2022 poskytuje provozní model. Kapitoly 4.1 až 4.4 vyžadují, aby organizace určily interní a externí otázky, požadavky zainteresovaných stran, regulační povinnosti, rozsah a závislosti. Kapitola 5 vyžaduje vedení, role a odpovědnosti. Kapitola 6 vyžaduje posouzení rizik a ošetření rizik. Kapitoly 8.2 a 8.3 vyžadují, aby organizace prováděla posouzení rizik bezpečnosti informací a implementovala plány ošetření rizik.
To znamená, že BYOD nemůže zůstat v zapomenutém IT memorandu. Patří do rozsahu ISMS, kde se řídí právní povinnosti, očekávání zákazníků, provozní závislosti a rozhodnutí o ošetření rizik.
Klastr opatření ISO 27001 pro správu a řízení mobilních zařízení a BYOD
Clarysec obvykle zahajuje správu mobilních zařízení tříprvkovým klastrem opatření z přílohy A normy ISO/IEC 27001:2022, podporovaným implementačními pokyny ISO/IEC 27002:2022.
| Téma opatření | Význam pro správu mobilních zařízení | Typické důkazy |
|---|---|---|
| A.8.1 Uživatelská koncová zařízení | Chytré telefony, tablety a notebooky musí být bezpečnostně zpevněny, spravovány a monitorovány podle rizika | Výstupy o registraci do MDM, stav šifrování, soulad se základní konfigurací OS, ochrana před škodlivým kódem, možnost vzdáleného vymazání |
| A.6.7 Práce na dálku | Přístup mimo pracoviště musí být řízen politikou, oprávněností, bezpečným přístupem a očekáváními vůči chování uživatelů | Politika práce na dálku, dohoda BYOD, pravidla VPN nebo podmíněného přístupu, záznamy o školení |
| A.7.9 Bezpečnost aktiv mimo prostory organizace | Zařízení a média mimo kontrolované prostory musí být fyzicky chráněna a sledována | Evidence aktiv, přiřazené vlastnictví, postup pro ztracené zařízení, cestovní pokyny, důkazy o šifrování |
V Zenith Controls: The Cross-Compliance Guide Zenith Controls Clarysec tato opatření chápe jako vzájemně se posilující. U uživatelských koncových zařízení Zenith Controls klasifikuje opatření A.8.1 jako preventivní, podporující důvěrnost, integritu a dostupnost, mapované na koncept kybernetické bezpečnosti Protect a na provozní schopnosti správy aktiv a ochrany informací.
Příručka také vysvětluje, proč opatření pro koncová zařízení přímo souvisejí s přípustným používáním, prací na dálku, omezením přístupu, bezpečnou autentizací, fyzickou ochranou, povinnostmi zachování důvěrnosti a školením bezpečnostního povědomí.
„Koncová zařízení jsou primární platformy, prostřednictvím kterých se prosazují politiky přípustného používání.“
Zdroj: Zenith Controls, uživatelská koncová zařízení, opatření 8.1 Zenith Controls
U práce na dálku Zenith Controls mapuje A.6.7 na A.7.9 bezpečnost aktiv mimo prostory organizace, A.8.1 uživatelská koncová zařízení, A.5.1 politiky bezpečnosti informací, A.6.3 povědomí, vzdělávání a školení v oblasti bezpečnosti informací, A.5.14 přenos informací, A.8.20 bezpečnost sítí, A.8.22 oddělení sítí, A.7.7 čistý stůl a uzamčená obrazovka, A.5.29 bezpečnost informací během narušení a A.5.30 připravenost ICT pro kontinuitu činností.
Toto mapování odpovídá tomu, jak audity skutečně probíhají. Auditor se nezastaví u otázky: „Máte politiku BYOD?“ Ověřuje, zda je politika implementována, zda jsou zařízení registrována, zda přístup závisí na souladu, zda existují logy, zda jsou uživatelé proškoleni, zda se zvládají incidenty se ztracenými zařízeními a zda jsou výjimky akceptovány na základě rizika.
Základ politiky: jasné vyjádření pravidel správy a řízení
Obhajitelný program BYOD začíná explicitními pravidly. Knihovna politik Clarysec poskytuje vzory pro malé a střední podniky i podniková prostředí, aby organizace mohly škálovat požadavky bez ztráty auditní srozumitelnosti.
Pro malé a střední podniky vytváří Mobile Device and BYOD Policy-sme Mobile Device and BYOD Policy - SME jednoduchou bránu správy a řízení:
„Osobní zařízení BYOD musí být před použitím schválena generálním ředitelem (GM).“
Zdroj: Mobile Device and BYOD Policy-sme, Požadavky na správu a řízení, kapitola 5.1.1 Mobile Device and BYOD Policy - SME
Tato krátká věta uzavírá běžnou auditní mezeru. Brání tichému přístupu z osobních zařízení, vytváří schvalovací bod a dává vlastníkovi společnosti nebo generálnímu řediteli viditelnou roli ve správě a řízení. Podporuje také kapitoly ISO 27001 5.1 až 5.3, podle nichž musí vrcholové vedení prokazovat vedení, komunikovat očekávání a přiřazovat odpovědnosti.
Politika pro malé a střední podniky také jasně stanoví vynucování základních opatření:
„Následující opatření musí být vynucena na všech mobilních zařízeních (firemních i BYOD):“
Zdroj: Mobile Device and BYOD Policy-sme, Požadavky na správu a řízení, kapitola 5.2.1 Mobile Device and BYOD Policy - SME
Pro regulované nebo větší organizace je Mobile device and byod policy Mobile device and byod policy preskriptivnější:
„Všechna mobilní zařízení (firemní nebo osobní), která přistupují ke zdrojům organizace, musí být:
5.1.1 Registrována a zařazena do schválené platformy pro správu mobilních zařízení (MDM).
5.1.2 Nakonfigurována s technickými bezpečnostními opatřeními, včetně vynuceného šifrování a autentizace.
5.1.3 Monitorována z hlediska souladu s definovanými základními úrovněmi operačního systému (OS) a záplatování.“
Zdroj: Mobile device and byod policy, Požadavky na správu a řízení, kapitola 5.1 Mobile device and byod policy
Toto je jazyk připravený pro audit. Auditor může otestovat populaci mobilních zařízení, porovnat ji s logy přístupu, vzorkovat záznamy o registraci a ověřit, že šifrování, autentizace a základní úrovně záplat jsou vynucovány.
BYOD také vyžaduje hranice souhlasu citlivé na ochranu soukromí. Podniková politika uvádí:
„Přístup v režimu Bring Your Own Device (BYOD) se udělí pouze po formálním přijetí dohody organizace o používání BYOD, která zahrnuje:
5.2.1 Souhlas s monitorováním firemních kontejnerů nebo spravovaných aplikací
5.2.2 Potvrzení seznámení s opatřeními správy mobilních zařízení (MDM), jako je vzdálené vymazání nebo zablokování
5.2.3 Souhlas s dobrovolnou účastí a právem odstoupit“
Zdroj: Mobile device and byod policy, Požadavky na správu a řízení, kapitola 5.2 Mobile device and byod policy
Tato kapitola je zásadní pro sladění s GDPR. Vyjasňuje, že monitorování se vztahuje na firemní kontejnery nebo spravované aplikace, dokumentuje potvrzení zaměstnance o zablokování nebo vzdáleném vymazání a zachovává právo odstoupit. Pomáhá oddělit legitimní firemní bezpečnostní monitorování od nadměrného sledování osobního života.
Od politiky k opatřením: MDM, kontejnery, přístup a logy
Politika se stává správou a řízením teprve tehdy, když je implementována a doložena důkazy. Praktický základ začíná registrací zařízení.
„Všechna mobilní zařízení musí být před přístupem k firemním systémům zařazena do řešení správy mobilních zařízení (MDM).“
Zdroj: Mobile device and byod policy, Požadavky na implementaci politiky, kapitola 6.1.1 Mobile device and byod policy
V podnikových prostředích má stejná implementační vrstva vynucovat šifrování, PIN, přístupový kód nebo biometrickou autentizaci, zablokování při nečinnosti, podporované verze OS, detekci jailbreaku nebo rootu, základní úrovně záplat a vymazání nebo přeinstalování obrazu systému po opakovaných neúspěšných pokusech o přihlášení.
U BYOD je obvykle vhodnějším návrhem použití spravovaných aplikací nebo firemních kontejnerů místo dohledu nad celým zařízením. Politika to zachycuje takto:
„Firemní data musí být ukládána pouze v šifrovaných, spravovaných kontejnerech.“
Zdroj: Mobile device and byod policy, Požadavky na implementaci politiky, kapitola 6.6.1 Mobile device and byod policy
To podporuje minimalizaci údajů podle GDPR a zabezpečení zpracování podle Article 32, protože podniková data jsou omezena na spravované oblasti a osobní oblasti nejsou považovány za firemní úložiště. Organizaci to také poskytuje praktickou odpověď v případě ztráty osobního telefonu: odebrat relace, vymazat firemní data, uchovat logy a posoudit expozici bez mazání osobních fotografií, zpráv nebo aplikací.
Podmíněný přístup pak propojuje identitu se stavem zařízení. Citlivé systémy musí minimálně vyžadovat registraci zařízení, MFA, šifrování, podporovaný OS, uzamčení obrazovky, neexistenci selhání kvůli jailbreaku nebo rootu, přístup přes spravované aplikace a omezení stahování, sdílení schránky nebo pořizování snímků obrazovky tam, kde to riziko vyžaduje. Tím se prakticky uplatní A.8.1 uživatelská koncová zařízení, A.8.3 omezení přístupu k informacím a A.8.5 bezpečná autentizace.
Protokolování uzavírá smyčku. Podniková politika vyžaduje:
„Logy mobilního přístupu musí být zachycovány a uchovávány po dobu nejméně 90 dní, případně s integrací do centrální platformy SIEM.“
Zdroj: Mobile device and byod policy, Požadavky na správu a řízení, kapitola 5.6 Mobile device and byod policy
Pro menší prostředí doplňuje Logging and Monitoring Policy-sme Logging and Monitoring Policy - SME praktické minimum:
„Systémy BYOD a vzdálené systémy musí mít zapnuté lokální protokolování autentizačních událostí a antivirových detekcí“
Zdroj: Logging and Monitoring Policy-sme, Požadavky na implementaci politiky, kapitola 6.3.1 Logging and Monitoring Policy - SME
Program správy mobilních zařízení bez logů se obtížně obhajuje. Vyšetřování ztraceného zařízení vyžaduje historii přístupů, neúspěšné pokusy, stav souladu zařízení, důkazy o odebrání relací a veškerou relevantní aktivitu DLP nebo kontejneru.
Kam správa mobilních zařízení zapadá v 30krokovém plánu
Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint od Clarysec umisťuje správu a řízení mobilních zařízení a BYOD napříč více implementačními fázemi. Nepovažuje BYOD za jeden samostatný dokument politiky.
Ve fázi Controls in Action, krok 16, People Controls II, se Zenith Blueprint věnuje práci na dálku a BYOD:
„Používání osobních zařízení (BYOD) má být buď zakázáno, nebo povoleno pouze za přísných podmínek, například při zařazení do řešení Mobile Device Management (MDM), které podporuje kontejnerizaci dat a vzdálené vymazání firemních dat, pokud je zařízení ztraceno nebo pokud uživatel odchází ze společnosti.“
Zdroj: Zenith Blueprint, fáze Controls in Action, krok 16, People Controls II Zenith Blueprint
V kroku 19, Technological Controls I, Zenith Blueprint rámuje koncové body jako počátek digitální interakce:
„Uživatelská koncová zařízení, notebooky, chytré telefony, tablety, stolní počítače a dokonce i thin klienti jsou místem, kde digitální interakce začíná. Jsou to dveře a okna do vašich systémů.“
Zdroj: Zenith Blueprint, fáze Controls in Action, krok 19, Technological Controls I Zenith Blueprint
Krok 18, Physical Controls II, pokrývá bezpečnost aktiv mimo prostory organizace. Zahrnuje zařízení ponechaná v autech, tablety používané ve veřejných prostorách, notebooky odbavené v zavazadlech a soubory uložené offline. Princip je jednoduchý: i když je zařízení ztraceno nebo odcizeno, data musí zůstat nepřístupná.
| Fáze a krok Zenith Blueprint | Výstup správy mobilních zařízení | Hodnota pro audit |
|---|---|---|
| Controls in Action, krok 16 | Podmínky práce na dálku a BYOD | Ukazuje politiku, oprávněnost, školení a očekávání MDM |
| Controls in Action, krok 18 | Ochrana aktiv mimo pracoviště | Ukazuje přiřazení aktiv, chování při cestách a důkazy o šifrování |
| Controls in Action, krok 19 | Bezpečnostní zpevnění a správa koncových bodů | Ukazuje soulad zařízení, záplatování, monitorování a podmíněný přístup |
Tento vrstvený přístup je způsob, jakým se Sarah posunula od paniky ke správě a řízení. Nekoupila nástroj a neprohlásila problém za vyřešený. Propojila pravidla pro osoby, fyzické chování a technické vynucování do jednoho auditovatelného systému.
Týdenní sprint pro vytvoření balíčku důkazů BYOD
Praktickým způsobem, jak uzavřít mezeru, je vytvořit balíček důkazů BYOD. Jde o soubor artefaktů, který může ředitel informační bezpečnosti předat auditorovi, regulačnímu orgánu, hodnotiteli zákazníka nebo výboru řídicího orgánu.
| Den | Činnost | Vytvořené důkazy |
|---|---|---|
| Den 1 | Definovat rozsah mobilního přístupu podle kapitol ISO 27001 4.1 až 4.4 | Evidence scénářů mobilního použití, požadavky zainteresovaných stran, systémy v rozsahu |
| Den 2 | Schválit pravidlo BYOD a přiřadit vlastnictví | Schválená politika, RACI, záznam o schválení vedením |
| Den 3 | Nakonfigurovat technický základ | Export registrace MDM, nastavení šifrování, základní úroveň OS, pravidla autentizace |
| Den 4 | Propojit přístup se souladem zařízení | Politika podmíněného přístupu, důkaz o zamítnutí nevyhovujícího zařízení, seznam výjimek |
| Den 5 | Zachytit důkazy z protokolování a incidentů | Vzorek SIEM, logy mobilního přístupu, šablona incidentního tiketu, workflow pro ztracené zařízení |
| Den 6 | Otestovat reakci na ztracené zařízení | Zápis ze stolního cvičení, důkaz o odebrání relací, test vzdáleného vymazání, poznámky k posouzení porušení zabezpečení |
| Den 7 | Schválit výjimky a zbytkové riziko | Záznam o přijetí rizika, kompenzační opatření, datum expirace, schválení vlastníkem rizika |
Pro Den 1 identifikujte firemní telefony, osobní telefony používané pro MFA, tablety BYOD přistupující k řídicím panelům, mobilní zařízení dodavatelů, privilegované uživatele přistupující k administrátorským konzolím a jakýkoli mobilní přístup k systémům zpracovávajícím osobní údaje nebo finanční transakce.
Pro Den 6 otestujte realistický scénář: obchodní ředitel nahlásí, že mu byl na letišti odcizen osobní telefon se spravovaným firemním e-mailem. Politika pro malé a střední podniky nastavuje jasné očekávání pro hlášení:
„Ztracená, odcizená nebo kompromitovaná zařízení musí být nahlášena generálnímu řediteli (GM) do 1 hodiny“
Zdroj: Mobile Device and BYOD Policy-sme, Požadavky na implementaci politiky, kapitola 6.4.1 Mobile Device and BYOD Policy - SME
Cvičení má ověřit, zda tým dokáže identifikovat zařízení, odebrat relace, vzdáleně vymazat firemní data, uchovat logy, posoudit expozici osobních údajů, rozhodnout, zda je potřeba analýza porušení zabezpečení podle GDPR, a určit, zda by mohly být naplněny prahové hodnoty pro hlášení podle NIS2 nebo DORA.
Křížový soulad: jeden mobilní program, čtyři příběhy důkazů
Hodnota správy a řízení BYOD založené na ISO 27001 spočívá v opakovaném použití. Jeden soubor opatření může vytvářet důkazy pro několik povinností, pokud je správně strukturován.
| Rámec | Otázka k mobilním zařízením a BYOD | Důkazy z přístupu Clarysec |
|---|---|---|
| ISO/IEC 27001:2022 | Jsou mobilní rizika identifikována, ošetřena a řízena prostřednictvím ISMS? | Rozsah, posouzení rizik, Prohlášení o použitelnosti, schválení politiky, výstupy MDM, logy, záznamy o incidentech |
| NIS2 | Jsou implementovány kybernetická hygiena, řízení přístupu, správa aktiv, zvládání incidentů a školení? | Schválení řídicím orgánem, politika BYOD, záznamy o školení, řízení přístupu, workflow pro ztracené zařízení, důkazy k dodavatelům |
| DORA | Jsou mobilní zařízení součástí rizik v oblasti ICT, řízení incidentů, testování odolnosti a správy třetích stran? | Registr rizik v oblasti ICT, soulad zařízení, klasifikace incidentů, důkazy o testování, náležitá péče u dodavatele MDM |
| GDPR Article 32 | Jsou činnosti zpracování osobních údajů chráněny vhodnými technickými a organizačními opatřeními? | Kontejnerizace, šifrování, omezení přístupu, protokolování, posouzení porušení zabezpečení, záznamy ochrany osobních údajů již od návrhu |
Stejná logika platí na úrovni opatření.
| Opatření přílohy A ISO/IEC 27001:2022 | Hodnota důkazů pro NIS2 | Hodnota důkazů pro DORA | Hodnota důkazů pro GDPR Article 32 |
|---|---|---|---|
| A.8.1 Uživatelská koncová zařízení | Podporuje kybernetickou hygienu, správu aktiv a politiky řízení přístupu | Podporuje ochranu aktiv ICT, monitorování koncových bodů a testování odolnosti | Podporuje šifrování, důvěrnost, integritu a bezpečný přístup k osobním údajům |
| A.6.7 Práce na dálku | Podporuje bezpečný vzdálený přístup, školení a očekávání hlášení incidentů | Podporuje postupy rámce rizik v oblasti ICT a zvládání incidentů při práci na dálku | Podporuje organizační pravidla pro zpracování osobních údajů mimo kontrolované prostory |
| A.7.9 Bezpečnost aktiv mimo prostory organizace | Podporuje ochranu aktiv, kontinuitu a očekávání pro nakládání třetími stranami | Podporuje zmírnění rizik odcizení nebo ztráty zařízení používaných vzdáleně | Podporuje prevenci náhodné ztráty, zničení nebo neoprávněného přístupu |
U NIS2 záleží na rozsahu. Poskytovatelé digitální infrastruktury, poskytovatelé cloudových služeb, poskytovatelé datových center, sítě pro doručování obsahu, poskytovatelé DNS, registry TLD, poskytovatelé služeb vytvářejících důvěru, poskytovatelé veřejných elektronických komunikací, B2B poskytovatelé řízených služeb a poskytovatelé řízených bezpečnostních služeb mohou v závislosti na velikosti, odvětví a národní implementaci spadat do kategorií základních nebo důležitých subjektů. Nespravovaný mobilní přístup k provozním systémům v tomto kontextu není drobnou IT výjimkou. Je to otázka správy a řízení.
U DORA se poskytovatel MDM nebo UEM může stát součástí důkazů o riziku třetích stran, pokud podporuje přístup ke kritickým nebo důležitým funkcím. Organizace orientované na DORA musí dokumentovat náležitou péči, úrovně služeb, umístění dat, podporu při incidentech, bezpečnostní opatření, práva na audit, ujednání o ukončení a účast poskytovatele na testování, kde je to relevantní.
U GDPR ztracený osobní telefon automaticky neznamená ohlašované porušení zabezpečení osobních údajů. Závažným problémem se stává, pokud jsou firemní data přístupná, nešifrovaná, uložená v mezipaměti mimo spravované kontejnery nebo exponovaná prostřednictvím aktivních relací. Organizace musí vědět, jaká data byla přístupná, zda opatření zabránila neoprávněnému přístupu a zda logy podporují daný závěr.
Jak budou auditoři testovat správu a řízení BYOD
Vyspělý program musí být připraven na různé auditní styly.
| Profil auditora | Pravděpodobný auditní přístup | Očekávané důkazy |
|---|---|---|
| Auditor ISO 27001 | Sledovat mobilní riziko od kontextu, rozsahu, posouzení rizik a Prohlášení o použitelnosti k implementovaným opatřením | Rozsah ISMS, záznamy o mobilních rizicích, SoA, politika, výstupy registrace, pravidla přístupu, nápravná opatření |
| Hodnotitel NIST CSF | Porovnat aktuální a cílové profily napříč výsledky GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND a RECOVER | Profil CSF, prioritizovaný akční plán, evidence zařízení, monitorování, plány reakce, důkazy o obnově |
| Auditor COBIT 2019 nebo ISACA | Zaměřit se na cíle správy a řízení, odpovědnost za činnosti, výkonnost, vlastnictví rizik a účinnost kontrol | Schválení vedením, RACI, metriky, registr výjimek, testování kontrol, náprava problémů |
| Posuzovatel DORA | Považovat mobilní přístup za součást rizik v oblasti ICT, řízení incidentů, testování odolnosti a závislosti na třetí straně | Rámec rizik v oblasti ICT, klasifikace incidentů, záznamy z testování odolnosti, registr dodavatele MDM, plán ukončení |
| Auditor GDPR nebo posuzovatel ochrany soukromí | Posoudit, zda je mobilní zpracování osobních údajů zákonné, nezbytné, zabezpečené a doložitelné | Hranice souhlasu BYOD, kontejnerizace, DLP, šifrování, logy přístupu, záznamy o posouzení porušení zabezpečení |
Auditní kontrolní seznam Zenith Blueprint pro práci na dálku je přímý: auditoři budou ověřovat, zda je politika implementována, nikoli pouze zdokumentována. Buďte připraveni předložit formální politiku, vysvětlit vynucování, například používání VPN, šifrování koncových bodů nebo MDM, ukázat registraci BYOD nebo omezení, poskytnout záznamy o školení a prokázat, že zaměstnanci pracující na dálku rozumějí svým povinnostem.
NIST CSF 2.0 poskytuje užitečný doplňkový model. Jeho funkce GOVERN vyžaduje, aby právní, regulační a smluvní požadavky kybernetické bezpečnosti byly pochopeny a řízeny, aby riziko kybernetické bezpečnosti bylo integrováno do řízení podnikových rizik, aby byly definovány role a pravomoci, aby byly stanoveny a monitorovány politiky a aby byla vyhodnocována výkonnost. Pro správu mobilních zařízení může praktický cílový profil znít: všechna zařízení přistupující k osobním údajům nebo kritickým podnikovým systémům jsou registrována, šifrována, ve shodě, monitorována a odstranitelná do jedné hodiny od oznámení kompromitace.
Běžná auditní zjištění u BYOD
Zjištění týkající se správy mobilních zařízení málokdy vycházejí z jednoho katastrofického selhání. Obvykle vznikají z malých výjimek, které nebyly nikdy uzavřeny.
Mezi běžná zjištění patří:
- BYOD je v praxi povoleno, ale není formálně schváleno
- Autentizační aplikace jsou považovány za mimo rozsah ISMS
- MDM je nakonfigurováno pro firemní zařízení, ale ne pro osobní zařízení s firemním přístupem
- Členové vrcholového vedení jsou vyňati ze základních úrovní souladu zařízení
- Podmíněný přístup je obcházen prostřednictvím starších protokolů nebo nespravovaných prohlížečů
- Osobní zařízení přistupují k e-mailu bez kontejnerizace
- Mobilní logy jsou uchovávány v platformách SaaS, ale nejsou přezkoumávány ani exportovány
- Postup pro ztracené zařízení existuje, ale personál nezná lhůtu pro hlášení
- Chybí jazyk ochrany soukromí vysvětlující, co společnost může a nemůže monitorovat
- Chybí důkazy, že mobilní výjimky jsou časově omezené a akceptované na základě rizika
- Dodavatel MDM není zahrnut do řízení rizik třetích stran v oblasti ICT
- Neproběhlo stolní cvičení pro kompromitaci mobilního zařízení
- Neexistuje mapování opatření BYOD na důkazy pro GDPR Article 32, NIS2 nebo DORA
Každé zjištění je opravitelné. Problémem obvykle není nedostatek nástrojů. Je jím nedostatek vlastnictví, návrhu důkazů a mapování křížového souladu.
Příběh pro řídicí orgán
Vedení nepotřebuje každý detail konfigurace MDM. Potřebuje jasný příběh odpovědnosti.
Silná pozice BYOD na úrovni řídicího orgánu říká:
- Víme, která mobilní zařízení přistupují ke zdrojům organizace.
- Rozlišujeme firemně vlastněný přístup a přístup BYOD.
- BYOD je dobrovolné, schválené a řízené dohodou.
- Firemní data jsou šifrována a izolována.
- Přístup závisí na souladu zařízení.
- Logy jsou uchovávány a přezkoumávány.
- Ztracená nebo kompromitovaná zařízení jsou rychle hlášena.
- Firemní data lze vymazat nebo přístup odebrat.
- Rizika pro osobní údaje jsou posuzována podle GDPR.
- Výjimky jsou schvalovány, časově omezeny a přezkoumávány.
To propojuje správu mobilních zařízení s ochotou podstupovat riziko, provozní odolností, právní odpovědností a důvěrou zákazníků. Zároveň to řídicím orgánům poskytuje důkazy potřebné k prokázání dohledu podle NIS2 a DORA.
Jak pomáhá Clarysec
Model správy a řízení mobilních zařízení a BYOD společnosti Clarysec kombinuje politiku, implementaci a mapování křížového souladu.
Za prvé, knihovna politik poskytuje organizacím jazyk správy a řízení připravený k přizpůsobení. Mobile Device and BYOD Policy-sme je praktická pro menší organizace, které potřebují jasná pravidla schvalování a hlášení. Mobile device and byod policy podporuje regulovaná prostředí vyžadující MDM, šifrování, autentizaci, základní úrovně OS, DLP, kontejnery, protokolování a formální dohody BYOD.
Za druhé, Zenith Blueprint poskytuje implementační cestu. Ukazuje, kam správa mobilních zařízení patří v 30krokovém auditním plánu: práce na dálku, bezpečnost aktiv mimo prostory organizace a opatření pro koncová zařízení. Tím brání běžné chybě, kdy je BYOD považováno za jediný dokument místo živého systému opatření.
Za třetí, Zenith Controls poskytuje kompas křížového souladu. Propojuje opatření přílohy A ISO/IEC 27001:2022 A.8.1, A.6.7 a A.7.9 se souvisejícími opatřeními, podpůrnými normami a auditními očekáváními. Toto mapování pomáhá ředitelům informační bezpečnosti odpovědět na skutečnou otázku regulačního orgánu: ukažte, že vaše správa mobilních zařízení je přiměřená, implementovaná a účinná.
Další kroky: vytvořte obhajitelný balíček důkazů BYOD
Pokud vaše organizace umožňuje mobilní přístup nebo přístup BYOD, nečekejte, až ztracený iPad odhalí mezeru v důkazech.
Začněte cíleným posouzením:
- Vypište každou cestu mobilního přístupu k firemním datům a kritickým systémům.
- Porovnejte skutečný přístup s Mobile device and byod policy Mobile device and byod policy nebo Mobile Device and BYOD Policy-sme Mobile Device and BYOD Policy - SME.
- Vytvořte jednostránkový záznam v registru mobilních rizik propojený s ISO/IEC 27001:2022 ISO/IEC 27001:2022.
- Použijte Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint k implementaci opatření pro práci na dálku, aktiva mimo pracoviště a koncové body.
- Použijte Zenith Controls: The Cross-Compliance Guide Zenith Controls k mapování důkazů na očekávání NIS2, DORA, GDPR, NIST a COBIT 19.
- Použijte Logging and Monitoring Policy-sme Logging and Monitoring Policy - SME k definování praktických očekávání protokolování pro menší prostředí.
- Proveďte stolní cvičení ztraceného zařízení a uchovejte důkazy.
Clarysec vám může pomoci proměnit nespravovaný mobilní přístup v obhajitelný, auditovatelný program správy a řízení. Stáhněte si politiky, namapujte svá opatření pomocí Zenith Controls, implementujte plán pomocí Zenith Blueprint a naplánujte posouzení Clarysec dříve, než se váš další auditor zeptá na otázku z 8:12.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
