BYOD juhtimine ISO 27001, NIS2, DORA ja GDPR nõuetele vastavuseks

Kadunud iPad kell 8:12

Kell 8:12 ilmus Sarah’ ekraanile tavapärane kasutajatoe pilet: „Kadunud iPad, müügidirektor.“

Sarah oli kiiresti kasvava finantstehnoloogia ettevõtte infoturbejuht ning sai kohe aru, et tegemist ei ole tavapärase varaprobleemiga. Müügidirektor kasutas oma isiklikku iPadi aktiivselt. Ta pääses hotellitubadest, lennujaama ootesaalidest ja klientide juurest ligi CRM-i kirjetele, e-postile, tundlikele potentsiaalsete klientide nimekirjadele, koostööaladele ja maksete töövoo juhtpaneelidele.

Mõne minutiga muutus olukord halvemaks. Seade ei olnud mobiilseadmete halduses registreeritud. Puudus kinnitus, et see oli krüpteeritud. Puudus kaugkustutuse võimekus. Tingimusliku juurdepääsu reeglid olid olemas, kuid müügidirektorile oli mitu kuud varem tehtud erand, sest ta oli „alati reisil“. Privaatsusmeeskond ei suutnud kinnitada, millised kliendiandmed olid seadmesse lokaalselt vahemällu salvestatud. Vastavusjuht edastas välisaudiitori uue sõnumi: „Palun esitage tõendusmaterjal, et isiklikud mobiilseadmed, mille kaudu pääsetakse ligi kliendiandmetele, on juhitud, seiratud, krüpteeritud ja kompromiteerimise korral teenusest eemaldatavad.“

Kadunud iPad ei olnud tegelik plahvatus. See oli hoiatuslask.

See on mobiilseadmete ja BYOD juhtimise probleem 2026. aastal. Isiklikud telefonid ja tahvelarvutid ei ole enam töötajate mugavusvahendid. Need on ärilised lõppseadmed, identiteeditegurid, andmehoidlad, maksete kinnitamise vahendid, privilegeeritud juurdepääsu abiseadmed ja intsidentidest teavitamise kanalid. Üks isiklik seade võib sisaldada administraatori juurdepääsu autentimisrakendust, isikuandmetega ettevõtte e-posti, vahemällu salvestatud pilvefaile, reguleeritud teabe ekraanitõmmiseid, aktiivseid brauseriseansse SaaS-i konsoolidesse ja operatiivtööriistade juurdepääsutokeneid.

Infoturbejuhtide, vastavusjuhtide ja juhatuste jaoks ei ole küsimus enam „Kas lubame BYOD-i?“. Tegelik küsimus on: „Kas suudame tõendada, et iga mobiilse juurdepääsu tee on juhitud, riskihinnatud, tehniliselt kontrollitud, seiratud ja taastatav?“

Vastus ei tohiks nõuda eraldi vastavusprogramme ISO 27001, NIS2, DORA ja GDPR jaoks. Hästi piiritletud ISO/IEC 27001:2022 ISO/IEC 27001:2022 infoturbe juhtimissüsteem suudab mobiilse ja BYOD-riski siduda poliitikate, varaomanikluse, juurdepääsukontrolli, seadmete vastavuse, logimise, intsidentidele reageerimise, privaatsuskontrollide ja tarnijate tõendusmaterjaliga. Clarysec’i lähenemine on luua see tõendusmaterjal üks kord ning kasutada seda uuesti NIS2 küberhügieeni, DORA IKT-riski juhtimise ja GDPR Article 32 töötlemise turvalisuse jaoks.

Miks BYOD on nüüd juhatuse tasandi vastavusküsimus

Hübriidtöö on muutnud mobiilse juurdepääsu püsivaks. Müügijuhid kinnitavad lepinguid isiklikest iPhone’idest. Finantsjuhid autoriseerivad makseid tahvelarvutitest. Insenerid kasutavad autentimisrakendusi oma telefonides. Tippjuhid reisivad isiklikes seadmetes oleva ettevõtte e-postiga, sest see on mugav. Töövõtjad pääsevad piletitele ligi mobiilibrauseritest. Tugimeeskonnad saavad intsidenditeavitusi mobiilsete sõnumirakenduste kaudu.

See paindlikkus tekitab juhtimislünga, kui juurdepääs kasvab kiiremini kui poliitika ja kontrollimeetmete ülesehitus.

NIS2 muudab selle lünga juhtkonna tasandil nähtavaks. Article 20 nõuab, et juhtorganid kinnitaksid küberturvalisuse riskijuhtimismeetmed, teeksid järelevalvet nende rakendamise üle ja läbiksid koolituse. Article 21 nõuab asjakohaseid ja proportsionaalseid tehnilisi, operatiivseid ja korralduslikke meetmeid, sealhulgas riskianalüüsi, intsidentide käsitlemist, talitluspidevust, tarneahela turvet, turvalist hankimist ja hooldust, tõhususe hindamist, küberhügieeni, krüptograafiat, personaliturvet, juurdepääsukontrolli ja varahaldust. Mobiilse ja BYOD juhtimine puudutab peaaegu kõiki neid teemasid.

DORA tõstab finantssektori üksuste jaoks panuseid. Alates 2025. aasta jaanuarist nõuab DORA dokumenteeritud IKT-riski juhtimise raamistikku, juhtorgani järelevalvet, IKT talitluspidevust, IKT intsidentide haldust, digitaalse tegevuskerksuse testimist ja IKT kolmandate isikute riskijuhtimist. Kui töötajad pääsevad mobiilseadmete kaudu ligi kriitilistele või olulistele funktsioonidele, kuuluvad need seadmed IKT-riskipinna hulka. Mobiilseadmete halduse või ühtse lõppseadmete halduse teenuseosutaja võib samuti muutuda IKT kolmandate isikute tõendusmaterjali seisukohalt oluliseks, kui ta kaitseb juurdepääsu reguleeritud tegevustele.

GDPR lisab vastutuse vaate. Article 5 nõuab, et isikuandmeid töödeldaks turvaliselt, ning kohustab vastutavat töötlejat vastavust tõendama. Article 32 nõuab asjakohaseid tehnilisi ja korralduslikke meetmeid, sealhulgas konfidentsiaalsust, terviklust, käideldavust, vastupidavust ja suutlikkust vajaduse korral juurdepääs taastada. Praktikas esitavad privaatsuse läbivaatajad konkreetseid küsimusi: kes pääseb mobiilseadmetest isikuandmetele ligi? Kuidas juurdepääsu piiratakse? Mis juhtub telefoni kaotamise korral? Kas ettevõtte andmeid saab kustutada ilma isiklikku privaatsust rikkumata? Kas logid säilitatakse? Kas rikkumise hindamise tõendusmaterjal on olemas?

ISO/IEC 27001:2022 annab toimimismudeli. Punktid 4.1 kuni 4.4 nõuavad, et organisatsioon määraks kindlaks sisemised ja välised asjaolud, huvitatud osapoolte nõuded, regulatiivsed kohustused, kohaldamisala ja sõltuvused. Punkt 5 nõuab juhtimist, rolle ja vastutusi. Punkt 6 nõuab riskihindamist ja riskikäsitlust. Punktid 8.2 ja 8.3 nõuavad, et organisatsioon teeks infoturbe riskihindamisi ja rakendaks riski käsitlemise plaane.

See tähendab, et BYOD ei saa jääda unustatud IT-memoks. See kuulub ISMS-i kohaldamisalasse, kus juhitakse õiguslikke kohustusi, klientide ootusi, operatiivseid sõltuvusi ja riskikäsitluse otsuseid.

ISO 27001 kontrollimeetmete kogum mobiilse ja BYOD juhtimise jaoks

Clarysec alustab mobiilse juhtimise kujundamist tavaliselt ISO/IEC 27001:2022 lisa A kolme kontrollimeetme kogumist, mida toetavad ISO/IEC 27002:2022 rakendusjuhised.

Teoses Zenith Controls: The Cross-Compliance Guide Zenith Controls käsitleb Clarysec neid kontrollimeetmeid vastastikku tugevdavatena. Kasutaja lõppseadmete puhul liigitab Zenith Controls kontrollimeetme A.8.1 ennetavaks, mis toetab konfidentsiaalsust, terviklust ja käideldavust ning on seotud küberturvalisuse kaitsefunktsiooni ning varahalduse ja teabekaitse operatiivsete võimekustega.

Juhend selgitab ka, miks lõppseadmete kontrollimeetmed seostuvad otseselt lubatud kasutuse, kaugtöö, juurdepääsupiirangute, turvalise autentimise, füüsilise kaitse, konfidentsiaalsuskohustuste ja teadlikkuse koolitusega.

„Lõppseadmed on peamised platvormid, mille kaudu rakendatakse lubatud kasutuse poliitikaid.“
Allikas: Zenith Controls, kasutaja lõppseadmed, kontrollimeede 8.1 Zenith Controls

Kaugtöö puhul seob Zenith Controls A.6.7 kontrollimeetmega A.7.9 varade turve väljaspool ettevõtte asukohta, A.8.1 kasutaja lõppseadmed, A.5.1 infoturbepoliitikad, A.6.3 infoturbe teadlikkus, haridus ja koolitus, A.5.14 teabe edastamine, A.8.20 võrguturve, A.8.22 võrkude eraldamine, A.7.7 puhta töölaua ja tühja ekraani põhimõte, A.5.29 infoturve häire ajal ning A.5.30 IKT valmisolek talitluspidevuseks.

See kaardistus peegeldab seda, kuidas auditid tegelikult toimuvad. Audiitor ei peatu küsimusel „Kas teil on BYOD-poliitika?“. Ta kontrollib, kas poliitika on rakendatud, kas seadmed on registreeritud, kas juurdepääs sõltub vastavusest, kas logid on olemas, kas kasutajad on koolitatud, kas kadunud seadme intsidendid käsitletakse ja kas erandid on riski aktsepteerimisega heaks kiidetud.

Poliitiline alus: juhtimisreeglid tuleb selgelt välja öelda

Kaitstav BYOD-programm algab selgetest reeglitest. Clarysec’i poliitikateek pakub nii VKE-de kui ka suurettevõtete mustreid, et organisatsioonid saaksid nõudeid skaleerida ilma auditiks vajalikku selgust kaotamata.

VKE-de jaoks loob Clarysec’i Mobiilseadmete ja BYOD-poliitika VKE-dele Mobiilseadmete ja BYOD-poliitika - VKE lihtsa juhtimisvärava:

„Isiklikud BYOD-seadmed peavad enne kasutamist olema tegevjuhi poolt heaks kiidetud.“
Allikas: Mobiilseadmete ja BYOD-poliitika VKE-dele, juhtimisnõuded, punkt 5.1.1 Mobiilseadmete ja BYOD-poliitika - VKE

See lühike lause sulgeb levinud auditilünga. See välistab vaikiva juurdepääsu isikliku seadme kaudu, loob heakskiidupunkti ning annab ettevõtte omanikule või tegevjuhile nähtava juhtimisrolli. See toetab ka ISO 27001 punkte 5.1 kuni 5.3, mille kohaselt peab tippjuhtkond näitama eestvedamist, kommunikeerima ootusi ja määrama vastutused.

VKE-poliitika teeb selgeks ka baastaseme rakendamise:

„Järgmised kontrollimeetmed tuleb rakendada kõigis mobiilseadmetes (ettevõttele kuuluvad ja BYOD):“
Allikas: Mobiilseadmete ja BYOD-poliitika VKE-dele, juhtimisnõuded, punkt 5.2.1 Mobiilseadmete ja BYOD-poliitika - VKE

Reguleeritud või suuremate organisatsioonide jaoks on Clarysec’i Mobiilseadmete ja BYOD-poliitika Mobiilseadmete ja BYOD-poliitika ettekirjutavam:

„Kõik mobiilseadmed (ettevõtte või isiklikud), mis pääsevad ligi organisatsiooni ressurssidele, peavad olema:
5.1.1 registreeritud ja kaasatud heakskiidetud mobiilseadmete halduse (MDM) platvormi.
5.1.2 konfigureeritud tehniliste turbekontrollidega, sealhulgas kohustusliku krüptimise ja autentimisega.
5.1.3 seiratud vastavuse osas määratletud operatsioonisüsteemi (OS) ja paikamise baastasemetele.“
Allikas: Mobiilseadmete ja BYOD-poliitika, juhtimisnõuded, punkt 5.1 Mobiilseadmete ja BYOD-poliitika

See on auditiks valmis sõnastus. Audiitor saab testida mobiilseadmete populatsiooni, võrrelda seda juurdepääsulogidega, võtta valimi registreerimiskirjetest ning kontrollida, et krüptimine, autentimine ja paikamise baastasemed on rakendatud.

BYOD nõuab ka privaatsust arvestavaid nõusolekupiire. Ettevõtte poliitika sätestab:

„Oma seadme kasutamise (BYOD) juurdepääs antakse ainult pärast organisatsiooni oma seadme kasutamise (BYOD) kasutuskokkuleppe ametlikku aktsepteerimist, mis hõlmab järgmist:
5.2.1 nõusolek ettevõtte konteinerite või hallatud rakenduste seireks
5.2.2 mobiilseadmete halduse (MDM) kontrollimeetmete, näiteks kaugkustutuse või lukustamise, kinnitamine
5.2.3 kokkulepe vabatahtliku osalemise ja loobumisõiguse kohta“
Allikas: Mobiilseadmete ja BYOD-poliitika, juhtimisnõuded, punkt 5.2 Mobiilseadmete ja BYOD-poliitika

See punkt on GDPR-iga kooskõla seisukohalt keskne. See täpsustab, et seire rakendub ettevõtte konteineritele või hallatud rakendustele, dokumenteerib töötaja kinnituse lukustamise või kaugkustutuse kohta ning säilitab loobumisõiguse. See aitab eristada õiguspärast ettevõtte turvaseiret isikliku elu ülemäärasest jälgimisest.

Poliitikast kontrollimeetmeteni: MDM, konteinerid, juurdepääs ja logid

Poliitikast saab juhtimine alles siis, kui see on rakendatud ja tõendatud. Praktiline baastase algab registreerimisega.

„Kõik mobiilseadmed peavad enne ettevõtte süsteemidele juurdepääsu olema registreeritud mobiilseadmete halduse (MDM) lahenduses.“
Allikas: Mobiilseadmete ja BYOD-poliitika, poliitika rakendamise nõuded, punkt 6.1.1 Mobiilseadmete ja BYOD-poliitika

Ettevõttekeskkondades peab sama rakenduskiht jõustama krüptimise, PIN-koodi, pääsukoodi või biomeetrilise autentimise, tegevusetuse korral lukustamise, toetatud OS-i versioonid, jailbreak’i või rootimise tuvastamise, paikamise baastasemed ning andmete kustutamise või seadme lähtestamise pärast korduvaid ebaõnnestunud sisselogimiskatseid.

BYOD puhul on parem disain tavaliselt hallatud rakendused või ettevõtte konteinerid, mitte kogu seadme jälgimine. Poliitika sõnastab selle järgmiselt:

„Ettevõtte andmeid tuleb säilitada ainult krüpteeritud ja hallatud konteinerites.“
Allikas: Mobiilseadmete ja BYOD-poliitika, poliitika rakendamise nõuded, punkt 6.6.1 Mobiilseadmete ja BYOD-poliitika

See toetab GDPR andmete minimaalsust ja Article 32 töötlemise turvalisust, sest äriandmed on piiratud hallatud aladega ning isiklikke alasid ei käsitleta ettevõtte hoidlatena. See annab ettevõttele ka praktilise vastuse isikliku telefoni kaotamise korral: tühistada seansid, kustutada ettevõtte andmed, säilitada logid ja hinnata kokkupuudet ilma isiklikke fotosid, sõnumeid või rakendusi kustutamata.

Tingimuslik juurdepääs seob seejärel identiteedi seadme turvaseisundiga. Miinimumina peavad tundlikud süsteemid nõudma registreerimist, MFA-d, krüptimist, toetatud OS-i, ekraanilukustust, jailbreak’i või rootimise tuvastuse puudumist, juurdepääsu hallatud rakenduse kaudu ning allalaadimiste, lõikelaua jagamise või ekraanitõmmiste piiranguid, kui risk seda nõuab. See annab praktilise mõju kontrollimeetmetele A.8.1 kasutaja lõppseadmed, A.8.3 teabele juurdepääsu piirangud ja A.8.5 turvaline autentimine.

Logimine sulgeb juhtimistsükli. Ettevõtte poliitika nõuab:

„Mobiilse juurdepääsu logid tuleb koguda ja säilitada vähemalt 90 päeva ning vajaduse korral integreerida keskse SIEM-platvormiga.“
Allikas: Mobiilseadmete ja BYOD-poliitika, juhtimisnõuded, punkt 5.6 Mobiilseadmete ja BYOD-poliitika

Väiksemate keskkondade jaoks lisab Clarysec’i Logimis- ja seirepoliitika VKE-dele Logimis- ja seirepoliitika - VKE praktilise miinimumi:

„BYOD- ja kaugsüsteemides peab autentimissündmuste ja viirusetõrje tuvastuste jaoks olema lubatud kohalik logimine“
Allikas: Logimis- ja seirepoliitika VKE-dele, poliitika rakendamise nõuded, punkt 6.3.1 Logimis- ja seirepoliitika - VKE

Logideta mobiilse juhtimise programmi on keeruline kaitsta. Kadunud seadme uurimine vajab juurdepääsuajalugu, ebaõnnestunud katseid, seadme vastavuse staatust, seansi tühistamise tõendusmaterjali ning asjakohast DLP või konteineri tegevust.

Kuhu mobiilne juhtimine 30-sammulises teekaardis paigutub

Clarysec’i Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint paigutab mobiilse ja BYOD juhtimise mitmesse rakendusetappi. See ei käsitle BYOD-i ühe poliitikadokumendina.

Etapis „Kontrollimeetmed tegevuses“, 16. samm, inimeste kontrollimeetmed II, käsitleb Zenith Blueprint kaugtööd ja BYOD-i:

„Isiklike seadmete kasutamine (BYOD) peab olema kas keelatud või lubatud ainult rangetel tingimustel, näiteks registreerimisega mobiilseadmete halduse (MDM) lahenduses, mis toetab andmete konteineriseerimist ja ettevõtte andmete kaugkustutust, kui seade kaob või kasutaja lahkub ettevõttest.“
Allikas: Zenith Blueprint, etapp „Kontrollimeetmed tegevuses“, 16. samm, inimeste kontrollimeetmed II Zenith Blueprint

19. sammus, tehnoloogilised kontrollimeetmed I, käsitleb Zenith Blueprint lõppseadmeid digitaalse suhtluse lähtekohana:

„Kasutaja lõppseadmed — sülearvutid, nutitelefonid, tahvelarvutid, lauaarvutid ja isegi õhukliendid — on koht, kust digitaalne suhtlus algab. Need on uksed ja aknad teie süsteemidesse.“
Allikas: Zenith Blueprint, etapp „Kontrollimeetmed tegevuses“, 19. samm, tehnoloogilised kontrollimeetmed I Zenith Blueprint

18. samm, füüsilised kontrollimeetmed II, käsitleb varade turvet väljaspool ettevõtte asukohta. See hõlmab autosse jäetud seadmeid, avalikes kohtades kasutatavaid tahvelarvuteid, äraantavasse pagasisse pandud sülearvuteid ja võrguühenduseta salvestatud faile. Põhimõte on lihtne: isegi kui seade kaob või varastatakse, peavad andmed jääma kättesaamatuks.

Selline kihiline lähenemine aitas Sarah’l liikuda paanikast juhtimiseni. Ta ei ostnud lihtsalt tööriista ega kuulutanud probleemi lahendatuks. Ta sidus inimeste reeglid, füüsilise käitumise ja tehnilise rakendamise üheks auditeeritavaks süsteemiks.

Ühenädalane BYOD tõenduspaketi sprint

Praktiline viis lünga sulgemiseks on koostada BYOD tõenduspakett. See on artefaktide kogum, mille infoturbejuht saab anda audiitorile, regulaatorile, kliendipoolsele hindajale või juhatuse komiteele.

1. päeval tuvasta ettevõttele kuuluvad telefonid, MFA jaoks kasutatavad isiklikud telefonid, juhtpaneelidele ligi pääsevad BYOD-tahvelarvutid, töövõtjate mobiilseadmed, halduskonsoolidele ligi pääsevad privilegeeritud kasutajad ning igasugune mobiilne juurdepääs isikuandmeid või finantstehinguid töötlevatele süsteemidele.

2. päeval testi realistlikku stsenaariumi: müügidirektor teatab, et tema isiklik telefon, milles oli hallatud ettevõtte e-post, varastati lennujaamas. VKE-poliitika seab selge teavitamise ootuse:

„Kadunud, varastatud või kompromiteeritud seadmetest tuleb tegevjuhile teatada 1 tunni jooksul“
Allikas: Mobiilseadmete ja BYOD-poliitika VKE-dele, poliitika rakendamise nõuded, punkt 6.4.1 Mobiilseadmete ja BYOD-poliitika - VKE

Õppus peab testima, kas meeskond suudab seadme tuvastada, seansid tühistada, ettevõtte andmed kaugkustutada, logid säilitada, hinnata isikuandmete võimalikku kokkupuudet, otsustada, kas GDPR rikkumise analüüs on vajalik, ning määrata, kas NIS2 või DORA teavitamislävendid võivad rakenduda.

Ristvastavus: üks mobiilne programm, neli tõenduslugu

ISO 27001-põhise BYOD juhtimise väärtus seisneb taaskasutuses. Üks kontrollimeetmete kogum võib hästi struktureerituna luua tõendusmaterjali mitme kohustuse jaoks.

Sama loogika kehtib kontrollimeetme tasandil.

NIS2 puhul on kohaldamisala oluline. Digitaristu pakkujad, pilveteenuse pakkujad, andmekeskuse teenuseosutajad, sisuedastusvõrgud, DNS-teenuse pakkujad, TLD registrid, usaldusteenuse pakkujad, avalike elektrooniliste sideteenuste osutajad, B2B hallatud teenusepakkujad ja hallatud turvateenuse pakkujad võivad sõltuvalt suurusest, sektorist ja riigisisesest rakendamisest kuuluda oluliste või tähtsate üksuste kategooriatesse. Hallamata mobiilne juurdepääs operatiivsüsteemidele ei ole selles kontekstis väike IT-erand. See on juhtimisküsimus.

DORA puhul võib MDM- või UEM-teenuseosutaja saada osaks kolmanda isiku riski tõendusmaterjalist, kui ta toetab juurdepääsu kriitilistele või olulistele funktsioonidele. DORA-keskse lähenemisega organisatsioonid peavad dokumenteerima hoolsuskontrolli, teenustasemed, andmete asukohad, intsidendiabi, turvameetmed, auditeerimisõigused, väljumiskorralduse ja teenuseosutaja osalemise testimises, kui see on asjakohane.

GDPR puhul ei ole kadunud isiklik telefon automaatselt teatamiskohustuslik isikuandmetega seotud rikkumine. See muutub tõsiseks probleemiks siis, kui ettevõtte andmed on kättesaadavad, krüpteerimata, vahemällu salvestatud väljaspool hallatud konteinereid või aktiivsete seansside kaudu eksponeeritud. Organisatsioon peab teadma, millised andmed olid kättesaadavad, kas kontrollimeetmed takistasid loata juurdepääsu ja kas logid toetavad järeldust.

Kuidas audiitorid BYOD juhtimist testivad

Küps programm peab olema valmis erinevateks auditistiilideks.

Zenith Blueprinti kaugtöö auditi kontrollnimekiri on otsene: audiitorid kontrollivad, kas poliitika on rakendatud, mitte ainult dokumenteeritud. Ole valmis esitama ametlikku poliitikat, selgitama rakendamist, näiteks VPN-i kasutust, lõppseadmete krüptimist või MDM-i, näitama BYOD-registreerimist või piiranguid, esitama koolituskirjeid ja tõendama, et kaugtöötajad mõistavad oma kohustusi.

NIST CSF 2.0 annab kasuliku täiendava mudeli. Selle GOVERN-funktsioon nõuab, et õiguslikud, regulatiivsed ja lepingulised küberturvalisuse nõuded oleksid mõistetud ja juhitud, küberturvalisuse risk oleks integreeritud ettevõtte riskijuhtimisse, rollid ja volitused oleksid määratletud, poliitikad kehtestatud ja seiratud ning toimivust hinnatud. Mobiilse juhtimise puhul võiks praktiline sihtprofiil öelda: kõik seadmed, mis pääsevad ligi isikuandmetele või kriitilistele ärisüsteemidele, on registreeritud, krüpteeritud, nõuetele vastavad, seiratud ning kompromiteerimisest teatamisest ühe tunni jooksul teenusest eemaldatavad.

Levinud BYOD auditileiud

Mobiilse juhtimise leiud ei teki tavaliselt ühest katastroofilisest tõrkest. Need tekivad enamasti väikestest eranditest, mida kunagi ei suletud.

Levinud leiud on järgmised:

• BYOD on praktikas lubatud, kuid ametlikult kinnitamata
• autentimisrakendusi käsitletakse ISMS-i kohaldamisalast väljaspool
• MDM on konfigureeritud ettevõtte seadmetele, kuid mitte isiklikele seadmetele, millel on ettevõtte juurdepääs
• tippjuhid on seadme vastavuse baastasemetest välja jäetud
• tingimuslikust juurdepääsust möödutakse pärandprotokollide või hallamata brauserite kaudu
• isiklikud seadmed pääsevad e-postile ligi ilma konteineriseerimiseta
• mobiilsed logid säilitatakse SaaS-platvormides, kuid neid ei vaadata läbi ega ekspordita
• kadunud seadme protseduur on olemas, kuid töötajad ei tea teavitamise tähtaega
• puudub privaatsussõnastus, mis selgitaks, mida ettevõte võib ja mida ei või seirata
• puudub tõendusmaterjal, et mobiilsed erandid on ajaliselt piiratud ja riski aktsepteerimisega heaks kiidetud
• MDM-tarnija ei ole kaasatud IKT kolmandate isikute riskijuhtimisse
• puudub lauaõppus mobiilse kompromiteerimise kohta
• puudub kaardistus BYOD kontrollimeetmete ning GDPR Article 32, NIS2 või DORA tõendusmaterjali vahel

Iga leid on parandatav. Probleem ei ole tavaliselt tööriistade puudumises. Probleem on omanikluse, tõendusmaterjali ülesehituse ja ristvastavuse kaardistuse puudumises.

Juhatuse tasandi lugu

Juhtkond ei vaja iga MDM-konfiguratsiooni detaili. Ta vajab selget vastutuse narratiivi.

Tugev juhatuse tasandi BYOD-seisukoht ütleb:

1. Me teame, millised mobiilseadmed pääsevad ligi organisatsiooni ressurssidele.
2. Me eristame ettevõttele kuuluvat juurdepääsu ja BYOD-juurdepääsu.
3. BYOD on vabatahtlik, heaks kiidetud ja kokkuleppega juhitud.
4. Ettevõtte andmed on krüpteeritud ja isoleeritud.
5. Juurdepääs sõltub seadme vastavusest.
6. Logid säilitatakse ja vaadatakse läbi.
7. Kadunud või kompromiteeritud seadmetest teatatakse kiiresti.
8. Ettevõtte andmeid saab kustutada või juurdepääsu tühistada.
9. Isikuandmetega seotud riskid hinnatakse GDPR alusel.
10. Erandid on heaks kiidetud, ajaliselt piiratud ja läbi vaadatud.

See seob mobiilse juhtimise riskivalmiduse, talitluspidevuse, õigusliku vastutuse ja kliendi usaldusega. See annab juhtorganitele ka tõendusmaterjali, mida nad vajavad NIS2 ja DORA alusel järelevalve tõendamiseks.

Kuidas Clarysec aitab

Clarysec’i mobiilse ja BYOD juhtimise mudel ühendab poliitika, rakendamise ja ristvastavuse kaardistuse.

Esiteks annab poliitikateek organisatsioonidele kohandamiseks valmis juhtimissõnastuse. Mobiilseadmete ja BYOD-poliitika VKE-dele on praktiline väiksematele ettevõtetele, kes vajavad selgeid heakskiidu- ja teavitamisreegleid. Mobiilseadmete ja BYOD-poliitika toetab reguleeritud keskkondi, kus nõutakse MDM-i, krüptimist, autentimist, OS-i baastasemeid, DLP-d, konteinereid, logimist ja ametlikke BYOD-kokkuleppeid.

Teiseks pakub Zenith Blueprint rakendusteekonda. See näitab, kuhu mobiilne juhtimine 30-sammulises auditi teekaardis kuulub: kaugtöö, väljaspool asukohta olevate varade turve ja lõppseadmete kontrollimeetmed. See hoiab ära levinud vea käsitleda BYOD-i ühe dokumendina, mitte elava kontrollisüsteemina.

Kolmandaks annab Zenith Controls ristvastavuse kompassi. See seob ISO/IEC 27001:2022 lisa A kontrollimeetmed A.8.1, A.6.7 ja A.7.9 seotud kontrollimeetmete, toetavate standardite ja auditiootustega. See kaardistus aitab infoturbejuhtidel vastata regulaatori tegelikule küsimusele: näidake, et teie mobiilne juhtimine on proportsionaalne, rakendatud ja tõhus.

Järgmised sammud: loo kaitstav BYOD tõenduspakett

Kui teie organisatsioon lubab mobiilset või BYOD-juurdepääsu, ärge oodake kadunud iPadi, et tõenduslünk nähtavaks muutuks.

Alustage sihitud hindamisest:

• Loetlege iga mobiilse juurdepääsu tee ettevõtte andmetele ja kriitilistele süsteemidele.
• Võrrelge tegelikku juurdepääsu Mobiilseadmete ja BYOD-poliitikaga Mobiilseadmete ja BYOD-poliitika või Mobiilseadmete ja BYOD-poliitikaga VKE-dele Mobiilseadmete ja BYOD-poliitika - VKE.
• Koostage üheleheküljeline mobiilse riski kirje, mis on seotud ISO/IEC 27001:2022 ISO/IEC 27001:2022 nõuetega.
• Kasutage Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, et rakendada kaugtöö, väljaspool asukohta olevate varade ja lõppseadmete kontrollimeetmed.
• Kasutage Zenith Controls: The Cross-Compliance Guide Zenith Controls, et kaardistada tõendusmaterjal NIS2, DORA, GDPR, NIST ja COBIT 19 ootustega.
• Kasutage Logimis- ja seirepoliitikat VKE-dele Logimis- ja seirepoliitika - VKE, et määratleda praktilised logimise ootused väiksemate keskkondade jaoks.
• Viige läbi kadunud seadme lauaõppus ja säilitage tõendusmaterjal.

Clarysec aitab muuta hallamata mobiilse juurdepääsu kaitstavaks ja auditeeritavaks juhtimisprogrammiks. Laadige poliitikad alla, kaardistage kontrollimeetmed Zenith Controls abil, rakendage teekaart Zenith Blueprint abil ja leppige kokku Clarysec’i hindamine enne, kui järgmine audiitor esitab kell 8:12 küsimuse.