Διακυβέρνηση BYOD για ISO 27001, NIS2, DORA και GDPR

Το χαμένο iPad στις 8:12 π.μ.

Στις 8:12 π.μ., η οθόνη της Sarah άναψε με ένα συνηθισμένο αίτημα υποστήριξης: «Χαμένο iPad, Διευθυντής Πωλήσεων».

Η Sarah ήταν η Επικεφαλής Ασφάλειας Πληροφοριών μιας ταχέως αναπτυσσόμενης εταιρείας fintech και κατάλαβε αμέσως ότι αυτό δεν ήταν ένα συνηθισμένο ζήτημα περιουσιακού στοιχείου. Ο Διευθυντής Πωλήσεων χρησιμοποιούσε εντατικά το προσωπικό του iPad. Είχε πρόσβαση σε αρχεία CRM, ηλεκτρονικό ταχυδρομείο, ευαίσθητες λίστες υποψήφιων πελατών, συνεργατικούς χώρους εργασίας και πίνακες ελέγχου ροών πληρωμών από δωμάτια ξενοδοχείων, αίθουσες αναμονής αεροδρομίων και εγκαταστάσεις πελατών.

Μέσα σε λίγα λεπτά, η κατάσταση επιδεινώθηκε. Η συσκευή δεν είχε ενταχθεί σε Διαχείριση Κινητών Συσκευών (MDM). Δεν υπήρχε επιβεβαίωση ότι ήταν κρυπτογραφημένη. Δεν υπήρχε δυνατότητα απομακρυσμένης διαγραφής. Υπήρχαν κανόνες πρόσβασης υπό όρους, αλλά στον Διευθυντή Πωλήσεων είχε χορηγηθεί εξαίρεση μήνες πριν, επειδή «ταξίδευε συνεχώς». Η ομάδα προστασίας δεδομένων δεν μπορούσε να επιβεβαιώσει ποια δεδομένα πελατών είχαν αποθηκευτεί προσωρινά τοπικά. Ο Διευθυντής Συμμόρφωσης προώθησε ένα νέο μήνυμα από τον εξωτερικό ελεγκτή: «Παρακαλούμε να μας παράσχετε τεκμήρια ότι οι προσωπικές κινητές συσκευές που έχουν πρόσβαση σε δεδομένα πελατών υπόκεινται σε διακυβέρνηση, παρακολούθηση και κρυπτογράφηση και μπορούν να αποσυρθούν από τη χρήση σε περίπτωση συμβιβασμού».

Το χαμένο iPad δεν ήταν η πραγματική έκρηξη. Ήταν η προειδοποιητική βολή.

Αυτό είναι το πρόβλημα διακυβέρνησης κινητών συσκευών και BYOD το 2026. Τα προσωπικά τηλέφωνα και tablet δεν είναι πλέον απλές διευκολύνσεις για τους εργαζομένους. Είναι επιχειρησιακά τερματικά σημεία, παράγοντες ταυτότητας, αποθετήρια δεδομένων, εργαλεία έγκρισης πληρωμών, συνοδευτικά μέσα προνομιούχου πρόσβασης και δίαυλοι αναφοράς περιστατικών. Μια μόνο προσωπική συσκευή μπορεί να περιέχει εφαρμογή αυθεντικοποίησης για πρόσβαση διαχειριστή, εταιρικό ηλεκτρονικό ταχυδρομείο με δεδομένα προσωπικού χαρακτήρα, προσωρινά αποθηκευμένα αρχεία cloud, στιγμιότυπα οθόνης ρυθμιζόμενων πληροφοριών, ενεργές συνεδρίες προγράμματος περιήγησης σε κονσόλες SaaS και διακριτικά πρόσβασης για επιχειρησιακά εργαλεία.

Για Επικεφαλής Ασφάλειας Πληροφοριών, Διευθυντές Συμμόρφωσης και Διοικητικά Συμβούλια, το ερώτημα δεν είναι πλέον «Επιτρέπουμε το BYOD;». Το πραγματικό ερώτημα είναι: «Μπορούμε να αποδείξουμε ότι κάθε διαδρομή πρόσβασης μέσω κινητής συσκευής υπόκειται σε διακυβέρνηση, αξιολόγηση κινδύνου, τεχνικούς ελέγχους, παρακολούθηση και δυνατότητα ανάκτησης;»

Η απάντηση δεν πρέπει να απαιτεί ξεχωριστά προγράμματα συμμόρφωσης για ISO 27001, NIS2, DORA και GDPR. Ένα ορθά οριοθετημένο Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών ISO/IEC 27001:2022 ISO/IEC 27001:2022 μπορεί να ενσωματώσει τον κίνδυνο κινητών συσκευών και BYOD σε πολιτικές, ιδιοκτησία περιουσιακών στοιχείων, έλεγχο πρόσβασης, συμμόρφωση συσκευών, καταγραφή, αντιμετώπιση περιστατικών, ελέγχους ιδιωτικότητας και τεκμήρια προμηθευτών. Η προσέγγιση της Clarysec είναι η δημιουργία αυτών των τεκμηρίων μία φορά και η επαναχρησιμοποίησή τους για την κυβερνοϋγιεινή NIS2, τη διαχείριση κινδύνων ΤΠΕ DORA και την ασφάλεια της επεξεργασίας του GDPR Article 32.

Γιατί το BYOD αποτελεί πλέον ζήτημα συμμόρφωσης σε επίπεδο Διοικητικού Συμβουλίου

Η υβριδική εργασία έχει καταστήσει μόνιμη την πρόσβαση μέσω κινητών συσκευών. Στελέχη πωλήσεων εγκρίνουν συμβάσεις από προσωπικά iPhone. Διευθυντές οικονομικών εγκρίνουν πληρωμές από tablet. Μηχανικοί χρησιμοποιούν εφαρμογές αυθεντικοποίησης στα δικά τους τηλέφωνα. Διευθυντικά στελέχη ταξιδεύουν με εταιρικό ηλεκτρονικό ταχυδρομείο σε προσωπικές συσκευές επειδή είναι βολικό. Ανάδοχοι αποκτούν πρόσβαση σε αιτήματα από φορητά προγράμματα περιήγησης. Ομάδες υποστήριξης λαμβάνουν ειδοποιήσεις περιστατικών μέσω εφαρμογών ανταλλαγής μηνυμάτων σε κινητές συσκευές.

Αυτή η ευελιξία δημιουργεί κενό διακυβέρνησης όταν η πρόσβαση αυξάνεται ταχύτερα από την πολιτική και τον σχεδιασμό ελέγχων.

Το NIS2 καθιστά το κενό ορατό σε επίπεδο διοίκησης. Το Article 20 απαιτεί από τα διοικητικά όργανα να εγκρίνουν μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας, να εποπτεύουν την υλοποίηση και να λαμβάνουν εκπαίδευση. Το Article 21 απαιτεί κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα, συμπεριλαμβανομένων της ανάλυσης κινδύνου, του χειρισμού περιστατικών, της επιχειρησιακής συνέχειας, της ασφάλειας εφοδιαστικής αλυσίδας, της ασφαλούς απόκτησης και συντήρησης, της αξιολόγησης αποτελεσματικότητας, της κυβερνοϋγιεινής, της κρυπτογραφίας, της ασφάλειας ανθρώπινου δυναμικού, του ελέγχου πρόσβασης και της διαχείρισης περιουσιακών στοιχείων. Η διακυβέρνηση κινητών συσκευών και BYOD αγγίζει σχεδόν όλα αυτά τα θέματα.

Το DORA αυξάνει το διακύβευμα για τις χρηματοοικονομικές οντότητες. Από τον Ιανουάριο του 2025, το DORA απαιτεί τεκμηριωμένο πλαίσιο διαχείρισης κινδύνων ΤΠΕ, εποπτεία από το διοικητικό όργανο, επιχειρησιακή συνέχεια ΤΠΕ, διαχείριση περιστατικών ΤΠΕ, δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας και διαχείριση κινδύνων τρίτων παρόχων ΤΠΕ. Εάν οι εργαζόμενοι έχουν πρόσβαση σε κρίσιμες ή σημαντικές λειτουργίες μέσω κινητών συσκευών, οι συσκευές αυτές αποτελούν μέρος της επιφάνειας κινδύνου ΤΠΕ. Ένας πάροχος Διαχείρισης Κινητών Συσκευών (MDM) ή ενοποιημένης διαχείρισης τερματικών σημείων μπορεί επίσης να καταστεί σχετικός με τα τεκμήρια τρίτων παρόχων ΤΠΕ, εφόσον προστατεύει την πρόσβαση σε ρυθμιζόμενες λειτουργίες.

Το GDPR προσθέτει την οπτική της λογοδοσίας. Το Article 5 απαιτεί ασφαλή επεξεργασία δεδομένων προσωπικού χαρακτήρα και απαιτεί από τον υπεύθυνο επεξεργασίας να αποδεικνύει τη συμμόρφωση. Το Article 32 απαιτεί κατάλληλα τεχνικά και οργανωτικά μέτρα, συμπεριλαμβανομένων της εμπιστευτικότητας, της ακεραιότητας, της διαθεσιμότητας, της ανθεκτικότητας και της δυνατότητας αποκατάστασης της πρόσβασης όπου χρειάζεται. Στην πράξη, οι υπεύθυνοι ανασκόπησης ιδιωτικότητας θέτουν συγκεκριμένα ερωτήματα: Ποιος μπορεί να έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα από κινητές συσκευές; Πώς περιορίζεται η πρόσβαση; Τι συμβαίνει όταν χαθεί ένα τηλέφωνο; Μπορούν τα εταιρικά δεδομένα να διαγραφούν χωρίς παρέμβαση στην προσωπική ιδιωτικότητα; Διατηρούνται αρχεία καταγραφής; Υπάρχουν διαθέσιμα τεκμήρια αξιολόγησης παραβίασης;

Το ISO/IEC 27001:2022 παρέχει το λειτουργικό μοντέλο. Οι Clauses 4.1 έως 4.4 απαιτούν από τους οργανισμούς να προσδιορίζουν εσωτερικά και εξωτερικά ζητήματα, απαιτήσεις ενδιαφερόμενων μερών, ρυθμιστικές υποχρεώσεις, πεδίο εφαρμογής και εξαρτήσεις. Η Clause 5 απαιτεί ηγεσία, ρόλους και αρμοδιότητες. Η Clause 6 απαιτεί αξιολόγηση κινδύνου και αντιμετώπιση κινδύνου. Οι Clauses 8.2 και 8.3 απαιτούν από τον οργανισμό να διενεργεί αξιολογήσεις κινδύνων ασφάλειας πληροφοριών και να υλοποιεί σχέδια αντιμετώπισης κινδύνων.

Αυτό σημαίνει ότι το BYOD δεν μπορεί να παραμένει σε ένα ξεχασμένο υπόμνημα πληροφορικής. Ανήκει στο πεδίο εφαρμογής του ISMS, όπου διαχειρίζονται οι νομικές υποχρεώσεις, οι προσδοκίες πελατών, οι επιχειρησιακές εξαρτήσεις και οι αποφάσεις αντιμετώπισης κινδύνων.

Η δέσμη ελέγχων ISO 27001 για τη διακυβέρνηση κινητών συσκευών και BYOD

Η Clarysec συνήθως ξεκινά τη διακυβέρνηση κινητών συσκευών με μια δέσμη τριών ελέγχων από το ISO/IEC 27001:2022 Annex A, υποστηριζόμενη από τις οδηγίες υλοποίησης του ISO/IEC 27002:2022.

Στο Zenith Controls: Οδηγός Διασυμμόρφωσης Zenith Controls, η Clarysec αντιμετωπίζει αυτούς τους ελέγχους ως αμοιβαία ενισχυτικούς. Για τις συσκευές τερματικών σημείων χρηστών, το Zenith Controls ταξινομεί τον έλεγχο A.8.1 ως προληπτικό, υποστηρίζοντας την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα, αντιστοιχισμένο στην έννοια κυβερνοασφάλειας Protect και στις επιχειρησιακές δυνατότητες διαχείρισης περιουσιακών στοιχείων και προστασίας πληροφοριών.

Ο οδηγός εξηγεί επίσης γιατί οι έλεγχοι συσκευών τερματικών σημείων συνδέονται άμεσα με την αποδεκτή χρήση, την τηλεργασία, τον περιορισμό πρόσβασης, την ασφαλή αυθεντικοποίηση, τη φυσική προστασία, τις υποχρεώσεις εμπιστευτικότητας και την εκπαίδευση ευαισθητοποίησης.

«Οι συσκευές τερματικών σημείων αποτελούν τις βασικές πλατφόρμες μέσω των οποίων εφαρμόζονται οι πολιτικές αποδεκτής χρήσης.»
Πηγή: Zenith Controls, Συσκευές τερματικών σημείων χρηστών, control 8.1 Zenith Controls

Για την τηλεργασία, το Zenith Controls αντιστοιχίζει το A.6.7 με το A.7.9 ασφάλεια περιουσιακών στοιχείων εκτός εγκαταστάσεων, το A.8.1 συσκευές τερματικών σημείων χρηστών, το A.5.1 πολιτικές για την ασφάλεια πληροφοριών, το A.6.3 ευαισθητοποίηση, εκπαίδευση και κατάρτιση στην ασφάλεια πληροφοριών, το A.5.14 μεταφορά πληροφοριών, το A.8.20 ασφάλεια δικτύων, το A.8.22 διαχωρισμός δικτύων, το A.7.7 καθαρό γραφείο και καθαρή οθόνη, το A.5.29 ασφάλεια πληροφοριών κατά τη διακοπή και το A.5.30 ετοιμότητα ΤΠΕ για επιχειρησιακή συνέχεια.

Αυτή η αντιστοίχιση αντικατοπτρίζει τον τρόπο με τον οποίο διεξάγονται οι έλεγχοι στην πράξη. Ένας ελεγκτής δεν σταματά στο «Έχετε πολιτική BYOD;». Ελέγχει αν η πολιτική εφαρμόζεται, αν οι συσκευές έχουν ενταχθεί, αν η πρόσβαση εξαρτάται από τη συμμόρφωση, αν υπάρχουν αρχεία καταγραφής, αν οι χρήστες έχουν εκπαιδευτεί, αν τα περιστατικά χαμένων συσκευών αντιμετωπίζονται και αν οι εξαιρέσεις έχουν γίνει αποδεκτές βάσει κινδύνου.

Η βάση της πολιτικής: ρητή διατύπωση των κανόνων διακυβέρνησης

Ένα υπερασπίσιμο πρόγραμμα BYOD ξεκινά με ρητούς κανόνες. Η βιβλιοθήκη πολιτικών της Clarysec παρέχει πρότυπα τόσο για ΜΜΕ όσο και για επιχειρήσεις, ώστε οι οργανισμοί να μπορούν να κλιμακώνουν τις απαιτήσεις χωρίς να χάνουν τη σαφήνεια που απαιτείται για σκοπούς ελέγχου.

Για ΜΜΕ, η Πολιτική Κινητών Συσκευών και Χρήσης Προσωπικών Συσκευών (BYOD) - ΜΜΕ Πολιτική Κινητών Συσκευών και BYOD - ΜΜΕ δημιουργεί μια απλή πύλη διακυβέρνησης:

«Οι προσωπικές συσκευές BYOD πρέπει να εγκρίνονται από τον Γενικό Διευθυντή πριν από τη χρήση.»
Πηγή: Πολιτική Κινητών Συσκευών και Χρήσης Προσωπικών Συσκευών (BYOD) - ΜΜΕ, Απαιτήσεις διακυβέρνησης, clause 5.1.1 Πολιτική Κινητών Συσκευών και BYOD - ΜΜΕ

Αυτή η σύντομη πρόταση κλείνει ένα συνηθισμένο κενό ελέγχου. Αποτρέπει τη σιωπηρή πρόσβαση από προσωπικές συσκευές, δημιουργεί σημείο έγκρισης και δίνει στον ιδιοκτήτη της επιχείρησης ή στον Γενικό Διευθυντή έναν ορατό ρόλο διακυβέρνησης. Υποστηρίζει επίσης τις clauses 5.1 έως 5.3 του ISO 27001, όπου η Ανώτατη Διοίκηση πρέπει να αποδεικνύει ηγεσία, να επικοινωνεί προσδοκίες και να αναθέτει αρμοδιότητες.

Η πολιτική για ΜΜΕ καθιστά επίσης σαφή την εφαρμογή της βασικής γραμμής:

«Οι ακόλουθοι έλεγχοι πρέπει να εφαρμόζονται σε όλες τις κινητές συσκευές (εταιρικές και BYOD):»
Πηγή: Πολιτική Κινητών Συσκευών και Χρήσης Προσωπικών Συσκευών (BYOD) - ΜΜΕ, Απαιτήσεις διακυβέρνησης, clause 5.2.1 Πολιτική Κινητών Συσκευών και BYOD - ΜΜΕ

Για ρυθμιζόμενους ή μεγαλύτερους οργανισμούς, η Πολιτική Κινητών Συσκευών και BYOD Πολιτική Κινητών Συσκευών και BYOD είναι πιο δεσμευτική:

«Όλες οι κινητές συσκευές (εταιρικές ή προσωπικές) που αποκτούν πρόσβαση σε πόρους του οργανισμού πρέπει να είναι:
5.1.1 Καταχωρισμένες και ενταγμένες σε εγκεκριμένη πλατφόρμα Διαχείρισης Κινητών Συσκευών (MDM).
5.1.2 Διαμορφωμένες με τεχνικούς ελέγχους ασφάλειας, συμπεριλαμβανομένης της υποχρεωτικής κρυπτογράφησης και αυθεντικοποίησης.
5.1.3 Υπό παρακολούθηση ως προς τη συμμόρφωση με καθορισμένες βασικές γραμμές λειτουργικού συστήματος (OS) και εφαρμογής διορθώσεων.»
Πηγή: Πολιτική Κινητών Συσκευών και BYOD, Απαιτήσεις διακυβέρνησης, clause 5.1 Πολιτική Κινητών Συσκευών και BYOD

Αυτή είναι διατύπωση κατάλληλη για έλεγχο. Ο ελεγκτής μπορεί να ελέγξει τον πληθυσμό των κινητών συσκευών, να τον συγκρίνει με τα αρχεία καταγραφής πρόσβασης, να εξετάσει δειγματοληπτικά αρχεία ένταξης και να επαληθεύσει ότι εφαρμόζονται η κρυπτογράφηση, η αυθεντικοποίηση και οι βασικές γραμμές διορθώσεων.

Το BYOD απαιτεί επίσης όρια συναίνεσης με σεβασμό στην ιδιωτικότητα. Η πολιτική για επιχειρήσεις αναφέρει:

«Η πρόσβαση μέσω χρήσης προσωπικών συσκευών (BYOD) χορηγείται μόνο κατόπιν επίσημης αποδοχής της Συμφωνίας Χρήσης BYOD του οργανισμού, η οποία περιλαμβάνει:
5.2.1 Συναίνεση στην παρακολούθηση εταιρικών containers ή διαχειριζόμενων εφαρμογών
5.2.2 Αναγνώριση ελέγχων Διαχείρισης Κινητών Συσκευών (MDM), όπως η απομακρυσμένη διαγραφή ή το κλείδωμα
5.2.3 Συμφωνία για εθελοντική συμμετοχή και δικαίωμα αποχώρησης»
Πηγή: Πολιτική Κινητών Συσκευών και BYOD, Απαιτήσεις διακυβέρνησης, clause 5.2 Πολιτική Κινητών Συσκευών και BYOD

Αυτή η clause είναι κεντρική για την ευθυγράμμιση με το GDPR. Διευκρινίζει ότι η παρακολούθηση εφαρμόζεται σε εταιρικά containers ή διαχειριζόμενες εφαρμογές, τεκμηριώνει την αναγνώριση από τον εργαζόμενο του κλειδώματος ή της απομακρυσμένης διαγραφής και διατηρεί το δικαίωμα αποχώρησης. Βοηθά να διαχωριστεί η νόμιμη εταιρική παρακολούθηση ασφάλειας από την υπερβολική επιτήρηση της προσωπικής ζωής.

Από την πολιτική στους ελέγχους: MDM, containers, πρόσβαση και αρχεία καταγραφής

Η πολιτική γίνεται διακυβέρνηση μόνο όταν υλοποιείται και τεκμηριώνεται. Η πρακτική βασική γραμμή ξεκινά με την ένταξη.

«Όλες οι κινητές συσκευές πρέπει να εντάσσονται σε λύση Διαχείρισης Κινητών Συσκευών (MDM) πριν αποκτήσουν πρόσβαση σε εταιρικά συστήματα.»
Πηγή: Πολιτική Κινητών Συσκευών και BYOD, Απαιτήσεις εφαρμογής της πολιτικής, clause 6.1.1 Πολιτική Κινητών Συσκευών και BYOD

Για επιχειρησιακά περιβάλλοντα, το ίδιο επίπεδο υλοποίησης πρέπει να επιβάλλει κρυπτογράφηση, PIN, κωδικό πρόσβασης ή βιομετρική αυθεντικοποίηση, κλείδωμα λόγω αδράνειας, υποστηριζόμενες εκδόσεις λειτουργικού συστήματος, ανίχνευση jailbreak ή root, βασικές γραμμές διορθώσεων και εκκαθάριση ή επανεγκατάσταση μετά από επανειλημμένες αποτυχημένες προσπάθειες σύνδεσης.

Για το BYOD, ο βέλτιστος σχεδιασμός είναι συνήθως οι διαχειριζόμενες εφαρμογές ή τα εταιρικά containers αντί της επιτήρησης ολόκληρης της συσκευής. Η πολιτική το αποτυπώνει ως εξής:

«Τα εταιρικά δεδομένα πρέπει να αποθηκεύονται μόνο μέσα σε κρυπτογραφημένα, διαχειριζόμενα containers.»
Πηγή: Πολιτική Κινητών Συσκευών και BYOD, Απαιτήσεις εφαρμογής της πολιτικής, clause 6.6.1 Πολιτική Κινητών Συσκευών και BYOD

Αυτό υποστηρίζει την ελαχιστοποίηση δεδομένων του GDPR και την ασφάλεια της επεξεργασίας του Article 32, επειδή τα επιχειρησιακά δεδομένα περιορίζονται σε διαχειριζόμενους χώρους και οι προσωπικοί χώροι δεν αντιμετωπίζονται ως εταιρικά αποθετήρια. Παρέχει επίσης στην επιχείρηση μια πρακτική απάντηση όταν χαθεί ένα προσωπικό τηλέφωνο: ανάκληση συνεδριών, διαγραφή εταιρικών δεδομένων, διατήρηση αρχείων καταγραφής και αξιολόγηση της έκθεσης χωρίς διαγραφή προσωπικών φωτογραφιών, μηνυμάτων ή εφαρμογών.

Η πρόσβαση υπό όρους συνδέει στη συνέχεια την ταυτότητα με την κατάσταση ασφάλειας της συσκευής. Κατ’ ελάχιστον, τα ευαίσθητα συστήματα πρέπει να απαιτούν ένταξη, MFA, κρυπτογράφηση, υποστηριζόμενο λειτουργικό σύστημα, κλείδωμα οθόνης, απουσία αποτυχίας λόγω jailbreak ή root, πρόσβαση μέσω διαχειριζόμενων εφαρμογών και περιορισμούς σε λήψεις, κοινή χρήση clipboard ή λήψη στιγμιότυπων οθόνης όπου το απαιτεί ο κίνδυνος. Αυτό δίνει πρακτικό αποτέλεσμα στο A.8.1 συσκευές τερματικών σημείων χρηστών, στο A.8.3 περιορισμός πρόσβασης σε πληροφορίες και στο A.8.5 ασφαλής αυθεντικοποίηση.

Η καταγραφή κλείνει τον κύκλο. Η πολιτική για επιχειρήσεις απαιτεί:

«Τα αρχεία καταγραφής πρόσβασης μέσω κινητών συσκευών πρέπει να συλλέγονται και να διατηρούνται για τουλάχιστον 90 ημέρες, με ενσωμάτωση στην κεντρική πλατφόρμα SIEM όπου εφαρμόζεται.»
Πηγή: Πολιτική Κινητών Συσκευών και BYOD, Απαιτήσεις διακυβέρνησης, clause 5.6 Πολιτική Κινητών Συσκευών και BYOD

Για μικρότερα περιβάλλοντα, η Πολιτική Καταγραφής και Παρακολούθησης - ΜΜΕ Πολιτική Καταγραφής και Παρακολούθησης - ΜΜΕ της Clarysec προσθέτει ένα πρακτικό ελάχιστο:

«Τα συστήματα BYOD και τα απομακρυσμένα συστήματα πρέπει να έχουν ενεργοποιημένη τοπική καταγραφή για συμβάντα αυθεντικοποίησης και ανιχνεύσεις αντιιικού λογισμικού»
Πηγή: Πολιτική Καταγραφής και Παρακολούθησης - ΜΜΕ, Απαιτήσεις εφαρμογής της πολιτικής, clause 6.3.1 Πολιτική Καταγραφής και Παρακολούθησης - ΜΜΕ

Ένα πρόγραμμα διακυβέρνησης κινητών συσκευών χωρίς αρχεία καταγραφής είναι δύσκολο να υποστηριχθεί. Μια διερεύνηση χαμένης συσκευής χρειάζεται ιστορικό πρόσβασης, αποτυχημένες προσπάθειες, κατάσταση συμμόρφωσης συσκευής, τεκμήρια ανάκλησης συνεδριών και κάθε σχετική δραστηριότητα DLP ή container.

Πού εντάσσεται η διακυβέρνηση κινητών συσκευών στον οδικό χάρτη 30 βημάτων

Το Zenith Blueprint: Οδικός Χάρτης 30 Βημάτων για Ελεγκτές Zenith Blueprint της Clarysec τοποθετεί τη διακυβέρνηση κινητών συσκευών και BYOD σε πολλαπλές φάσεις υλοποίησης. Δεν αντιμετωπίζει το BYOD ως ένα μεμονωμένο έγγραφο πολιτικής.

Στη φάση Controls in Action, Step 16, People Controls II, το Zenith Blueprint εξετάζει την τηλεργασία και το BYOD:

«Η χρήση προσωπικών συσκευών (BYOD) πρέπει είτε να απαγορεύεται είτε να επιτρέπεται μόνο υπό αυστηρές προϋποθέσεις, όπως η ένταξη σε λύση Mobile Device Management (MDM) που υποστηρίζει απομόνωση δεδομένων σε container και απομακρυσμένη διαγραφή εταιρικών δεδομένων εάν η συσκευή χαθεί ή εάν ο χρήστης αποχωρήσει από την εταιρεία.»
Πηγή: Zenith Blueprint, φάση Controls in Action, Step 16, People Controls II Zenith Blueprint

Στο Step 19, Technological Controls I, το Zenith Blueprint παρουσιάζει τα τερματικά σημεία ως σημείο εκκίνησης της ψηφιακής αλληλεπίδρασης:

«Οι συσκευές τερματικών σημείων χρηστών, φορητοί υπολογιστές, έξυπνα τηλέφωνα, tablet, επιτραπέζιοι υπολογιστές και ακόμη και thin clients, είναι εκεί όπου αρχίζει η ψηφιακή αλληλεπίδραση. Είναι οι πόρτες και τα παράθυρα προς τα συστήματά σας.»
Πηγή: Zenith Blueprint, φάση Controls in Action, Step 19, Technological Controls I Zenith Blueprint

Το Step 18, Physical Controls II, καλύπτει την ασφάλεια περιουσιακών στοιχείων εκτός εγκαταστάσεων. Αυτό περιλαμβάνει συσκευές που μένουν σε αυτοκίνητα, tablet που χρησιμοποιούνται σε δημόσιους χώρους, φορητούς υπολογιστές που παραδίδονται ως αποσκευές και αρχεία που αποθηκεύονται εκτός σύνδεσης. Η αρχή είναι απλή: ακόμη και αν μια συσκευή χαθεί ή κλαπεί, τα δεδομένα πρέπει να παραμένουν μη προσβάσιμα.

Αυτή η πολυεπίπεδη προσέγγιση είναι ο τρόπος με τον οποίο η Sarah πέρασε από τον πανικό στη διακυβέρνηση. Δεν αγόρασε απλώς ένα εργαλείο για να δηλώσει ότι το ζήτημα λύθηκε. Συνέδεσε κανόνες προσωπικού, φυσική συμπεριφορά και τεχνική εφαρμογή σε ένα ενιαίο ελέγξιμο σύστημα.

Sprint μίας εβδομάδας για πακέτο τεκμηρίων BYOD

Ένας πρακτικός τρόπος για να κλείσει το κενό είναι η δημιουργία ενός πακέτου τεκμηρίων BYOD. Πρόκειται για το σύνολο των τεχνουργημάτων που ένας Επικεφαλής Ασφάλειας Πληροφοριών μπορεί να παραδώσει σε ελεγκτή, ρυθμιστική αρχή, αξιολογητή πελάτη ή επιτροπή Διοικητικού Συμβουλίου.

Για την Ημέρα 1, εντοπίστε εταιρικά τηλέφωνα, προσωπικά τηλέφωνα που χρησιμοποιούνται για MFA, tablet BYOD που έχουν πρόσβαση σε πίνακες ελέγχου, κινητές συσκευές αναδόχων, προνομιούχους χρήστες που έχουν πρόσβαση σε διαχειριστικές κονσόλες και κάθε πρόσβαση μέσω κινητής συσκευής σε συστήματα που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα ή χρηματοοικονομικές συναλλαγές.

Για την Ημέρα 6, δοκιμάστε ένα ρεαλιστικό σενάριο: ένας Διευθυντής Πωλήσεων αναφέρει ότι ένα προσωπικό τηλέφωνο με διαχειριζόμενο εταιρικό ηλεκτρονικό ταχυδρομείο κλάπηκε σε αεροδρόμιο. Η πολιτική για ΜΜΕ ορίζει σαφή προσδοκία αναφοράς:

«Οι χαμένες, κλεμμένες ή συμβιβασμένες συσκευές πρέπει να αναφέρονται στον Γενικό Διευθυντή εντός 1 ώρας»
Πηγή: Πολιτική Κινητών Συσκευών και Χρήσης Προσωπικών Συσκευών (BYOD) - ΜΜΕ, Απαιτήσεις εφαρμογής της πολιτικής, clause 6.4.1 Πολιτική Κινητών Συσκευών και BYOD - ΜΜΕ

Η άσκηση πρέπει να ελέγχει αν η ομάδα μπορεί να εντοπίσει τη συσκευή, να ανακαλέσει συνεδρίες, να διαγράψει απομακρυσμένα εταιρικά δεδομένα, να διατηρήσει αρχεία καταγραφής, να αξιολογήσει την έκθεση δεδομένων προσωπικού χαρακτήρα, να αποφασίσει αν απαιτείται ανάλυση παραβίασης GDPR και να καθορίσει αν θα μπορούσαν να ενεργοποιηθούν όρια αναφοράς NIS2 ή DORA.

Διασυμμόρφωση: ένα πρόγραμμα κινητών συσκευών, τέσσερις ιστορίες τεκμηρίων

Η αξία της διακυβέρνησης BYOD βάσει ISO 27001 είναι η επαναχρησιμοποίηση. Ένα σύνολο ελέγχων μπορεί να παράγει τεκμήρια για πολλές υποχρεώσεις, εφόσον είναι σωστά δομημένο.

Η ίδια λογική ισχύει και σε επίπεδο ελέγχου.

Για το NIS2, το πεδίο εφαρμογής έχει σημασία. Πάροχοι ψηφιακών υποδομών, πάροχοι υπηρεσιών cloud, πάροχοι κέντρων δεδομένων, δίκτυα διανομής περιεχομένου, πάροχοι DNS, μητρώα TLD, πάροχοι υπηρεσιών εμπιστοσύνης, δημόσιοι πάροχοι ηλεκτρονικών επικοινωνιών, πάροχοι διαχειριζόμενων υπηρεσιών B2B και πάροχοι διαχειριζόμενων υπηρεσιών ασφάλειας μπορεί να εμπίπτουν σε κατηγορίες βασικών ή σημαντικών οντοτήτων, ανάλογα με το μέγεθος, τον τομέα και την εθνική εφαρμογή. Η μη διαχειριζόμενη πρόσβαση μέσω κινητών συσκευών σε επιχειρησιακά συστήματα δεν αποτελεί μικρή εξαίρεση πληροφορικής σε αυτό το πλαίσιο. Είναι ζήτημα διακυβέρνησης.

Για το DORA, ο πάροχος MDM ή UEM μπορεί να αποτελέσει μέρος των τεκμηρίων κινδύνου τρίτων, εάν υποστηρίζει την πρόσβαση σε κρίσιμες ή σημαντικές λειτουργίες. Οι οργανισμοί που λειτουργούν με γνώμονα το DORA πρέπει να τεκμηριώνουν τη δέουσα επιμέλεια, τα επίπεδα υπηρεσιών, τις τοποθεσίες δεδομένων, την υποστήριξη σε περιστατικά, τα μέτρα ασφάλειας, τα δικαιώματα ελέγχου, τις ρυθμίσεις εξόδου και τη συμμετοχή του παρόχου σε δοκιμές, όπου είναι σχετικό.

Για το GDPR, ένα χαμένο προσωπικό τηλέφωνο δεν αποτελεί αυτόματα κοινοποιητέα παραβίαση δεδομένων προσωπικού χαρακτήρα. Γίνεται σοβαρή ανησυχία εάν τα εταιρικά δεδομένα είναι προσβάσιμα, μη κρυπτογραφημένα, προσωρινά αποθηκευμένα εκτός διαχειριζόμενων containers ή εκτεθειμένα μέσω ενεργών συνεδριών. Ο οργανισμός πρέπει να γνωρίζει ποια δεδομένα ήταν προσβάσιμα, αν οι έλεγχοι απέτρεψαν τη μη εξουσιοδοτημένη πρόσβαση και αν τα αρχεία καταγραφής υποστηρίζουν το συμπέρασμα.

Πώς θα ελέγξουν οι ελεγκτές τη διακυβέρνηση BYOD

Ένα ώριμο πρόγραμμα πρέπει να είναι προετοιμασμένο για διαφορετικά στυλ ελέγχου.

Ο κατάλογος ελέγχου του Zenith Blueprint για την τηλεργασία είναι άμεσος: οι ελεγκτές θα ελέγξουν αν η πολιτική έχει υλοποιηθεί και όχι απλώς αν έχει τεκμηριωθεί. Να είστε έτοιμοι να παρουσιάσετε την επίσημη πολιτική, να εξηγήσετε την εφαρμογή, όπως χρήση VPN, κρυπτογράφηση τερματικών σημείων ή MDM, να δείξετε ένταξη ή περιορισμούς BYOD, να παρέχετε αρχεία εκπαίδευσης και να αποδείξετε ότι οι τηλεργαζόμενοι κατανοούν τα καθήκοντά τους.

Το NIST CSF 2.0 παρέχει ένα χρήσιμο συμπληρωματικό μοντέλο. Η λειτουργία GOVERN απαιτεί οι νομικές, ρυθμιστικές και συμβατικές απαιτήσεις κυβερνοασφάλειας να είναι κατανοητές και διαχειριζόμενες, ο κίνδυνος κυβερνοασφάλειας να ενσωματώνεται στη διαχείριση επιχειρησιακών κινδύνων, οι ρόλοι και οι αρμοδιότητες να ορίζονται, οι πολιτικές να θεσπίζονται και να παρακολουθούνται και η απόδοση να αξιολογείται. Για τη διακυβέρνηση κινητών συσκευών, ένα πρακτικό προφίλ-στόχος θα μπορούσε να αναφέρει: όλες οι συσκευές που έχουν πρόσβαση σε δεδομένα προσωπικού χαρακτήρα ή κρίσιμα επιχειρησιακά συστήματα είναι ενταγμένες, κρυπτογραφημένες, συμμορφούμενες, παρακολουθούνται και μπορούν να αποσυρθούν εντός μίας ώρας από την ειδοποίηση συμβιβασμού.

Συνηθισμένα ευρήματα ελέγχου BYOD

Τα ευρήματα διακυβέρνησης κινητών συσκευών σπάνια προκύπτουν από μία καταστροφική αστοχία. Συνήθως προκύπτουν από μικρές εξαιρέσεις που δεν έκλεισαν ποτέ.

Συνηθισμένα ευρήματα περιλαμβάνουν:

• Το BYOD επιτρέπεται στην πράξη, αλλά δεν έχει εγκριθεί επίσημα
• Οι εφαρμογές αυθεντικοποίησης αντιμετωπίζονται ως εκτός πεδίου εφαρμογής του ISMS
• Το MDM έχει διαμορφωθεί για εταιρικές συσκευές, αλλά όχι για προσωπικές συσκευές με εταιρική πρόσβαση
• Τα διευθυντικά στελέχη εξαιρούνται από τις βασικές γραμμές συμμόρφωσης συσκευών
• Η πρόσβαση υπό όρους παρακάμπτεται μέσω πρωτοκόλλων παλαιού τύπου ή μη διαχειριζόμενων προγραμμάτων περιήγησης
• Προσωπικές συσκευές αποκτούν πρόσβαση σε ηλεκτρονικό ταχυδρομείο χωρίς απομόνωση σε container
• Τα αρχεία καταγραφής κινητών συσκευών διατηρούνται σε πλατφόρμες SaaS, αλλά δεν ανασκοπούνται ούτε εξάγονται
• Υπάρχει διαδικασία για χαμένη συσκευή, αλλά το προσωπικό δεν γνωρίζει το χρονικό πλαίσιο αναφοράς
• Δεν υπάρχει διατύπωση περί ιδιωτικότητας που να εξηγεί τι μπορεί και τι δεν μπορεί να παρακολουθεί η εταιρεία
• Δεν υπάρχουν τεκμήρια ότι οι εξαιρέσεις κινητών συσκευών είναι χρονικά περιορισμένες και αποδεκτές βάσει κινδύνου
• Ο προμηθευτής MDM δεν περιλαμβάνεται στη διαχείριση κινδύνων τρίτων παρόχων ΤΠΕ
• Δεν υπάρχει άσκηση επιτραπέζιων σεναρίων για συμβιβασμό κινητής συσκευής
• Δεν υπάρχει αντιστοίχιση από ελέγχους BYOD σε τεκμήρια GDPR Article 32, NIS2 ή DORA

Κάθε εύρημα μπορεί να διορθωθεί. Το πρόβλημα συνήθως δεν είναι η έλλειψη εργαλείων. Είναι η έλλειψη ιδιοκτησίας, σχεδιασμού τεκμηρίων και αντιστοίχισης διασυμμόρφωσης.

Η αφήγηση σε επίπεδο Διοικητικού Συμβουλίου

Η διοίκηση δεν χρειάζεται κάθε λεπτομέρεια διαμόρφωσης MDM. Χρειάζεται μια σαφή αφήγηση λογοδοσίας.

Μια ισχυρή θέση BYOD σε επίπεδο Διοικητικού Συμβουλίου αναφέρει:

1. Γνωρίζουμε ποιες κινητές συσκευές έχουν πρόσβαση σε πόρους του οργανισμού.
2. Διακρίνουμε την πρόσβαση από εταιρικές συσκευές και από BYOD.
3. Το BYOD είναι εθελοντικό, εγκεκριμένο και διέπεται από συμφωνία.
4. Τα εταιρικά δεδομένα είναι κρυπτογραφημένα και απομονωμένα.
5. Η πρόσβαση εξαρτάται από τη συμμόρφωση της συσκευής.
6. Τα αρχεία καταγραφής διατηρούνται και ανασκοπούνται.
7. Οι χαμένες ή συμβιβασμένες συσκευές αναφέρονται γρήγορα.
8. Τα εταιρικά δεδομένα μπορούν να διαγραφούν ή η πρόσβαση να ανακληθεί.
9. Οι κίνδυνοι για δεδομένα προσωπικού χαρακτήρα αξιολογούνται βάσει GDPR.
10. Οι εξαιρέσεις εγκρίνονται, είναι χρονικά περιορισμένες και ανασκοπούνται.

Αυτό συνδέει τη διακυβέρνηση κινητών συσκευών με τη διάθεση ανάληψης κινδύνου, τη λειτουργική ανθεκτικότητα, τη νομική λογοδοσία και την εμπιστοσύνη των πελατών. Παρέχει επίσης στα διοικητικά όργανα τα τεκμήρια που χρειάζονται για να αποδείξουν εποπτεία βάσει NIS2 και DORA.

Πώς βοηθά η Clarysec

Το μοντέλο διακυβέρνησης κινητών συσκευών και BYOD της Clarysec συνδυάζει πολιτική, υλοποίηση και αντιστοίχιση διασυμμόρφωσης.

Πρώτον, η βιβλιοθήκη πολιτικών παρέχει στους οργανισμούς έτοιμη προς προσαρμογή διατύπωση διακυβέρνησης. Η Πολιτική Κινητών Συσκευών και Χρήσης Προσωπικών Συσκευών (BYOD) - ΜΜΕ είναι πρακτική για μικρότερες επιχειρήσεις που χρειάζονται σαφείς κανόνες έγκρισης και αναφοράς. Η Πολιτική Κινητών Συσκευών και BYOD υποστηρίζει ρυθμιζόμενα περιβάλλοντα που απαιτούν MDM, κρυπτογράφηση, αυθεντικοποίηση, βασικές γραμμές λειτουργικού συστήματος, DLP, containers, καταγραφή και επίσημες συμφωνίες BYOD.

Δεύτερον, το Zenith Blueprint παρέχει τη διαδρομή υλοποίησης. Δείχνει πού ανήκει η διακυβέρνηση κινητών συσκευών στον οδικό χάρτη ελέγχου 30 βημάτων: τηλεργασία, ασφάλεια περιουσιακών στοιχείων εκτός εγκαταστάσεων και έλεγχοι συσκευών τερματικών σημείων. Αυτό αποτρέπει το συνηθισμένο λάθος να αντιμετωπίζεται το BYOD ως ένα μεμονωμένο έγγραφο αντί ως ζωντανό σύστημα ελέγχων.

Τρίτον, το Zenith Controls παρέχει την πυξίδα διασυμμόρφωσης. Συνδέει τους ελέγχους ISO/IEC 27001:2022 Annex A A.8.1, A.6.7 και A.7.9 με συναφείς ελέγχους, υποστηρικτικά πρότυπα και προσδοκίες ελέγχου. Αυτή η αντιστοίχιση βοηθά τους Επικεφαλής Ασφάλειας Πληροφοριών να απαντήσουν στο πραγματικό ερώτημα της ρυθμιστικής αρχής: δείξτε ότι η διακυβέρνηση κινητών συσκευών σας είναι αναλογική, υλοποιημένη και αποτελεσματική.

Επόμενα βήματα: δημιουργήστε το υπερασπίσιμο πακέτο τεκμηρίων BYOD

Εάν ο οργανισμός σας επιτρέπει πρόσβαση μέσω κινητών συσκευών ή BYOD, μην περιμένετε ένα χαμένο iPad να αποκαλύψει το κενό τεκμηρίων.

Ξεκινήστε με μια εστιασμένη αξιολόγηση:

• Καταγράψτε κάθε διαδρομή πρόσβασης μέσω κινητής συσκευής σε εταιρικά δεδομένα και κρίσιμα συστήματα.
• Συγκρίνετε την πραγματική πρόσβαση με την Πολιτική Κινητών Συσκευών και BYOD Πολιτική Κινητών Συσκευών και BYOD ή την Πολιτική Κινητών Συσκευών και Χρήσης Προσωπικών Συσκευών (BYOD) - ΜΜΕ Πολιτική Κινητών Συσκευών και BYOD - ΜΜΕ.
• Δημιουργήστε μια μονοσέλιδη καταχώριση μητρώου κινδύνων κινητών συσκευών συνδεδεμένη με το ISO/IEC 27001:2022 ISO/IEC 27001:2022.
• Χρησιμοποιήστε το Zenith Blueprint: Οδικός Χάρτης 30 Βημάτων για Ελεγκτές Zenith Blueprint για να υλοποιήσετε ελέγχους τηλεργασίας, περιουσιακών στοιχείων εκτός εγκαταστάσεων και τερματικών σημείων.
• Χρησιμοποιήστε το Zenith Controls: Οδηγός Διασυμμόρφωσης Zenith Controls για να αντιστοιχίσετε τεκμήρια στις προσδοκίες NIS2, DORA, GDPR, NIST και COBIT 2019.
• Χρησιμοποιήστε την Πολιτική Καταγραφής και Παρακολούθησης - ΜΜΕ Πολιτική Καταγραφής και Παρακολούθησης - ΜΜΕ για να ορίσετε πρακτικές προσδοκίες καταγραφής για μικρότερα περιβάλλοντα.
• Εκτελέστε μια άσκηση επιτραπέζιων σεναρίων για χαμένη συσκευή και διατηρήστε τα τεκμήρια.

Η Clarysec μπορεί να σας βοηθήσει να μετατρέψετε τη μη διαχειριζόμενη πρόσβαση μέσω κινητών συσκευών σε υπερασπίσιμο, ελέγξιμο πρόγραμμα διακυβέρνησης. Κατεβάστε τις πολιτικές, αντιστοιχίστε τους ελέγχους σας με το Zenith Controls, υλοποιήστε τον οδικό χάρτη με το Zenith Blueprint και προγραμματίστε μια αξιολόγηση Clarysec πριν ο επόμενος ελεγκτής σας θέσει το ερώτημα των 8:12 π.μ.