BYOD-hallinnointi ISO 27001-, NIS2-, DORA- ja GDPR-vaatimuksiin
Kadonnut iPad klo 8.12
Klo 8.12 Sarahin näytölle ilmestyi tavanomainen tukipyyntö: ”Kadonnut iPad, myyntijohtaja.”
Sarah oli nopeasti kasvavan fintech-yrityksen tietoturvajohtaja, ja hän ymmärsi heti, ettei kyse ollut tavallisesta omaisuuseräasiasta. Myyntijohtaja käytti henkilökohtaista iPadiaan laajasti. Hän käytti CRM-tietueita, sähköpostia, arkaluonteisia asiakasprospektiluetteloita, yhteistyötiloja ja maksuprosessin hallintanäkymiä hotellihuoneista, lentokenttäloungeista ja asiakkaiden toimipisteistä.
Muutamassa minuutissa tilanne heikkeni. Laitetta ei ollut rekisteröity mobiililaitteiden hallintaan. Sen salauksesta ei ollut vahvistusta. Etätyhjennysmahdollisuutta ei ollut. Ehdollisen pääsyn säännöt olivat olemassa, mutta myyntijohtajalle oli myönnetty poikkeus kuukausia aiemmin, koska hän oli ”aina matkalla”. Tietosuojatiimi ei pystynyt vahvistamaan, mitä asiakastietoja oli tallentunut paikalliseen välimuistiin. Vaatimustenmukaisuuspäällikkö välitti ulkoisen auditoijan uuden viestin: ”Toimittakaa näyttö siitä, että asiakastietoja käyttävät henkilökohtaiset mobiililaitteet ovat hallittuja, valvottuja, salattuja ja poistettavissa käytöstä, jos ne vaarantuvat.”
Kadonnut iPad ei ollut varsinainen räjähdys. Se oli varoituslaukaus.
Tämä on mobiililaitteiden ja BYOD-hallinnoinnin ongelma vuonna 2026. Henkilökohtaiset puhelimet ja tabletit eivät ole enää työntekijöiden mukavuusvälineitä. Ne ovat liiketoiminnan päätelaitteita, identiteettitekijöitä, tietovarastoja, maksujen hyväksyntätyökaluja, etuoikeutetun pääsyn tukivälineitä ja poikkeamien ilmoituskanavia. Yhdellä henkilökohtaisella laitteella voi olla ylläpitäjäkäytön todennussovellus, henkilötietoja sisältävä yrityssähköposti, välimuistiin tallennettuja pilvitiedostoja, kuvakaappauksia sääntelyn alaisista tiedoista, aktiivisia selainistuntoja SaaS-hallintakonsoleihin ja pääsytunnisteita operatiivisiin työkaluihin.
Tietoturvajohtajille, vaatimustenmukaisuuspäälliköille ja hallituksille kysymys ei enää ole: ”Sallimmeko BYOD-käytön?” Todellinen kysymys on: ”Voimmeko osoittaa, että jokainen mobiilikäytön polku on hallinnoitu, riskinarvioitu, teknisesti kontrolloitu, valvottu ja palautettavissa hallintaan?”
Vastauksen ei pitäisi edellyttää erillisiä vaatimustenmukaisuusohjelmia ISO 27001-, NIS2-, DORA- ja GDPR-vaatimuksille. Hyvin rajattu ISO/IEC 27001:2022 ISO/IEC 27001:2022 -standardin mukainen tietoturvallisuuden hallintajärjestelmä voi sisällyttää mobiili- ja BYOD-riskin politiikkoihin, omaisuuden omistajuuteen, pääsynhallintaan, laitteen vaatimustenmukaisuuteen, lokitukseen, tietoturvapoikkeamiin reagointiin, tietosuojakontrolleihin ja toimittajanäyttöön. Clarysecin lähestymistapa on rakentaa tämä näyttö kerran ja hyödyntää sitä uudelleen NIS2:n kyberhygieniaa, DORA:n ICT-riskien hallintaa ja GDPR Article 32:n mukaista käsittelyn turvallisuutta varten.
Miksi BYOD on nyt hallitustason vaatimustenmukaisuuskysymys
Hybridityö on tehnyt mobiilikäytöstä pysyvää. Myyntijohtajat hyväksyvät sopimuksia henkilökohtaisista iPhoneista. Talouspäälliköt valtuuttavat maksuja tableteilta. Insinöörit käyttävät todennussovelluksia omissa puhelimissaan. Johto matkustaa yrityssähköposti henkilökohtaisissa laitteissaan, koska se on kätevää. Sopimuskumppanit käyttävät tikettejä mobiiliselaimista. Tukitiimit vastaanottavat poikkeamahälytyksiä mobiiliviestisovellusten kautta.
Tämä joustavuus luo hallinnointiaukon, kun pääsy laajenee nopeammin kuin politiikat ja kontrollisuunnittelu.
NIS2 tekee aukon näkyväksi johdon tasolla. Article 20 edellyttää, että hallintoelimet hyväksyvät kyberturvallisuuden riskienhallintatoimenpiteet, valvovat niiden toteutusta ja saavat koulutusta. Article 21 edellyttää asianmukaisia ja oikeasuhteisia teknisiä, operatiivisia ja organisatorisia toimenpiteitä, kuten riskianalyysiä, poikkeamien käsittelyä, liiketoiminnan jatkuvuutta, toimitusketjun turvallisuutta, turvallista hankintaa ja ylläpitoa, vaikuttavuuden arviointia, kyberhygieniaa, kryptografiaa, henkilöstöturvallisuutta, pääsynhallintaa ja omaisuudenhallintaa. Mobiili- ja BYOD-hallinnointi koskettaa lähes kaikkia näitä teemoja.
DORA nostaa panoksia rahoitusalan toimijoille. Tammikuusta 2025 lähtien DORA on edellyttänyt dokumentoitua ICT-riskien hallinnan viitekehystä, hallintoelimen valvontaa, ICT-liiketoiminnan jatkuvuutta, ICT-poikkeamien hallintaa, digitaalisen operatiivisen häiriönsietokyvyn testausta ja ICT-kolmansien osapuolten riskienhallintaa. Jos työntekijät käyttävät kriittisiä tai tärkeitä toimintoja mobiililaitteiden kautta, nämä laitteet ovat osa ICT-riskipintaa. Mobiililaitteiden hallinnan tai yhtenäisen päätelaitehallinnan palveluntarjoaja voi myös tulla olennaiseksi ICT-kolmansien osapuolten näytön kannalta, jos se suojaa pääsyä säänneltyihin toimintoihin.
GDPR tuo mukaan osoitusvelvollisuuden näkökulman. Article 5 edellyttää, että henkilötietoja käsitellään turvallisesti ja että rekisterinpitäjä pystyy osoittamaan vaatimustenmukaisuuden. Article 32 edellyttää asianmukaisia teknisiä ja organisatorisia toimenpiteitä, mukaan lukien luottamuksellisuus, eheys, saatavuus, häiriönsietokyky ja kyky palauttaa pääsy tarvittaessa. Käytännössä tietosuojakatselmoijat kysyvät konkreettisia kysymyksiä: Kuka voi käyttää henkilötietoja mobiililaitteilta? Miten pääsyä rajoitetaan? Mitä tapahtuu, kun puhelin katoaa? Voidaanko yritystiedot pyyhkiä puuttumatta henkilökohtaiseen yksityisyyteen? Säilytetäänkö lokit? Onko tietoturvaloukkauksen arviointinäyttö saatavilla?
ISO/IEC 27001:2022 antaa toimintamallin. Kohdat 4.1–4.4 edellyttävät, että organisaatiot määrittävät sisäiset ja ulkoiset kysymykset, sidosryhmien vaatimukset, sääntelyvelvoitteet, soveltamisalan ja riippuvuudet. Kohta 5 edellyttää johtajuutta, rooleja ja vastuita. Kohta 6 edellyttää riskien arviointia ja riskien käsittelyä. Kohdat 8.2 ja 8.3 edellyttävät, että organisaatio toteuttaa tietoturvariskien arvioinnit ja riskienkäsittelysuunnitelmat.
Tämä tarkoittaa, ettei BYOD voi jäädä unohdetuksi IT-muistioksi. Sen paikka on ISMS:n soveltamisalassa, jossa lakisääteiset velvoitteet, asiakkaiden odotukset, operatiiviset riippuvuudet ja riskienkäsittelypäätökset hallitaan.
ISO 27001 -kontrolliryhmä mobiili- ja BYOD-hallinnointiin
Clarysec aloittaa mobiilihallinnoinnin yleensä kolmen kontrollin ryhmällä ISO/IEC 27001:2022 -standardin liitteestä A, ISO/IEC 27002:2022 -standardin toteutusohjeiden tukemana.
| Kontrolliteema | Merkitys mobiilihallinnoinnissa | Tyypillinen näyttö |
|---|---|---|
| A.8.1 Käyttäjien päätelaitteet | Älypuhelimet, tabletit ja kannettavat tietokoneet on kovennettava, hallittava ja valvottava riskin mukaisesti | MDM-rekisteröintiraportit, salauksen tila, käyttöjärjestelmän perustason vaatimustenmukaisuus, haittaohjelmasuojaus, etätyhjennysmahdollisuus |
| A.6.7 Etätyö | Toimipaikan ulkopuolista käyttöä on ohjattava politiikalla, kelpoisuusehdoilla, suojatulla pääsyllä ja käyttäjiin kohdistuvilla käyttäytymisodotuksilla | Etätyöpolitiikka, BYOD-sopimus, VPN- tai ehdollisen pääsyn säännöt, koulutussuoritustiedot |
| A.7.9 Omaisuuserien turvallisuus toimitilojen ulkopuolella | Kontrolloitujen toimitilojen ulkopuolella olevat laitteet ja tietovälineet on suojattava fyysisesti ja pidettävä seurannassa | Omaisuusluettelo, osoitettu omistajuus, kadonneen laitteen menettely, matkustusohjeistus, salausnäyttö |
Teoksessa Zenith Controls: The Cross-Compliance Guide Zenith Controls Clarysec käsittelee näitä kontrolleja toisiaan vahvistavina. Käyttäjien päätelaitteiden osalta Zenith Controls luokittelee kontrollin A.8.1 ennaltaehkäiseväksi, luottamuksellisuutta, eheyttä ja saatavuutta tukevaksi kontrolliksi, joka on kartoitettu Protect-kyberturvallisuuskonseptiin sekä omaisuudenhallinnan ja tietojen suojaamisen operatiivisiin kyvykkyyksiin.
Opas selittää myös, miksi päätelaitekontrollit liittyvät suoraan hyväksyttävään käyttöön, etätyöhön, pääsyn rajoittamiseen, turvalliseen todennukseen, fyysiseen suojaukseen, luottamuksellisuusvelvoitteisiin ja tietoisuuskoulutukseen.
”Päätelaitteet ovat ensisijaisia alustoja, joiden kautta hyväksyttävän käytön politiikkoja sovelletaan.”
Lähde: Zenith Controls, käyttäjien päätelaitteet, kontrolli 8.1 Zenith Controls
Etätyön osalta Zenith Controls kartoittaa A.6.7:n seuraaviin: A.7.9 omaisuuserien turvallisuus toimitilojen ulkopuolella, A.8.1 käyttäjien päätelaitteet, A.5.1 tietoturvallisuutta koskevat politiikat, A.6.3 tietoturvatietoisuus, koulutus ja perehdytys, A.5.14 tiedonsiirto, A.8.20 verkkoturvallisuus, A.8.22 verkkojen eriyttäminen, A.7.7 puhdas pöytä ja tyhjä näyttö, A.5.29 tietoturvallisuus häiriötilanteissa ja A.5.30 ICT-valmius liiketoiminnan jatkuvuutta varten.
Tämä kartoitus vastaa sitä, miten auditoinnit käytännössä etenevät. Auditoija ei pysähdy kysymykseen: ”Onko teillä BYOD-politiikka?” Hän testaa, onko politiikka toteutettu, ovatko laitteet rekisteröityjä, riippuuko pääsy vaatimustenmukaisuudesta, ovatko lokit olemassa, onko käyttäjät koulutettu, käsitelläänkö kadonneiden laitteiden poikkeamat ja onko poikkeukset hyväksytty riskiperusteisesti.
Politiikkaperusta: hallinnointisäännöt selkeästi näkyviin
Puolustettava BYOD-ohjelma alkaa yksiselitteisistä säännöistä. Clarysecin politiikkakirjasto tarjoaa sekä pk-yritys- että yritystason malleja, jotta organisaatiot voivat skaalata vaatimuksia menettämättä auditointiselkeyttä.
Pk-yrityksille Clarysecin Mobile Device and BYOD Policy-sme Mobile Device and BYOD Policy - SME luo yksinkertaisen hallinnointiportin:
”Henkilökohtaisten BYOD-laitteiden käyttö on hyväksytettävä toimitusjohtajalla ennen käyttöä.”
Lähde: Mobile Device and BYOD Policy-sme, hallinnointivaatimukset, kohta 5.1.1 Mobile Device and BYOD Policy - SME
Tämä lyhyt lause sulkee yleisen auditointiaukon. Se estää hiljaisesti syntyvän henkilökohtaisten laitteiden käytön, luo hyväksyntäpisteen ja antaa liiketoimintavastaavalle tai toimitusjohtajalle näkyvän hallinnointiroolin. Se tukee myös ISO 27001 -standardin kohtia 5.1–5.3, joissa ylimmän johdon on osoitettava johtajuutta, viestittävä odotuksista ja osoitettava vastuut.
Pk-yrityspolitiikka tekee myös perustason soveltamisesta selkeää:
”Seuraavat kontrollit on sovellettava kaikkiin mobiililaitteisiin (yrityksen omistamat ja BYOD):”
Lähde: Mobile Device and BYOD Policy-sme, hallinnointivaatimukset, kohta 5.2.1 Mobile Device and BYOD Policy - SME
Säännellyille tai suuremmille organisaatioille Clarysecin Mobile device and byod policy Mobile device and byod policy on määräilevämpi:
”Kaikkien organisaation resursseja käyttävien mobiililaitteiden (yrityksen tai henkilökohtaisten) on oltava:
5.1.1 Rekisteröityjä ja liitettyjä hyväksyttyyn mobiililaitteiden hallinnan (MDM) alustaan.
5.1.2 Konfiguroituja teknisillä tietoturvakontrolleilla, mukaan lukien pakotettu salaus ja todennus.
5.1.3 Seurattuja määritettyjen käyttöjärjestelmä- ja paikkausperustasojen vaatimustenmukaisuuden osalta.”
Lähde: Mobile device and byod policy, hallinnointivaatimukset, kohta 5.1 Mobile device and byod policy
Tämä on auditointivalmista kieltä. Auditoija voi testata mobiililaitteiden populaation, verrata sitä käyttölokeihin, ottaa otoksen rekisteröintitallenteista ja varmistaa, että salaus, todennus ja paikkausperustasot ovat voimassa.
BYOD edellyttää myös tietosuojan kannalta herkkiä suostumuksen ja valvonnan rajoja. Yritystason politiikassa todetaan:
”Omien laitteiden käyttö työssä (BYOD) voidaan myöntää vain, kun organisaation Omien laitteiden käyttö työssä (BYOD) -käyttösopimus on hyväksytty muodollisesti. Sopimus sisältää:
5.2.1 Suostumuksen yrityskonttien tai hallittujen sovellusten seurantaan
5.2.2 Hyväksynnän mobiililaitteiden hallinnan (MDM) kontrolleista, kuten etätyhjennyksestä tai lukituksesta
5.2.3 Sopimuksen vapaaehtoisesta osallistumisesta ja oikeudesta vetäytyä”
Lähde: Mobile device and byod policy, hallinnointivaatimukset, kohta 5.2 Mobile device and byod policy
Tämä kohta on keskeinen GDPR-yhdenmukaisuuden kannalta. Se selventää, että seuranta koskee yrityskontteja tai hallittuja sovelluksia, dokumentoi työntekijän hyväksynnän lukitukselle tai etätyhjennykselle ja säilyttää oikeuden vetäytyä. Se auttaa erottamaan perustellun yrityksen tietoturvavalvonnan henkilökohtaisen elämän liiallisesta valvonnasta.
Politiikasta kontrolleiksi: MDM, kontit, pääsy ja lokit
Politiikasta tulee hallinnointia vasta, kun se toteutetaan ja siitä syntyy näyttöä. Käytännön perustaso alkaa rekisteröinnistä.
”Kaikki mobiililaitteet on rekisteröitävä mobiililaitteiden hallintaratkaisuun (MDM) ennen yritysjärjestelmien käyttöä.”
Lähde: Mobile device and byod policy, politiikan toteutusvaatimukset, kohta 6.1.1 Mobile device and byod policy
Yritysympäristöissä saman toteutuskerroksen tulee pakottaa salaus, PIN-koodi, salasana tai biometrinen todennus, käyttämättömyyteen perustuva lukitus, tuetut käyttöjärjestelmäversiot, jailbreakin tai roottaamisen havaitseminen, paikkausperustasot sekä pyyhintä tai uudelleenasennus toistuvien epäonnistuneiden kirjautumisyritysten jälkeen.
BYOD-käytössä parempi rakenne on yleensä hallitut sovellukset tai yrityskontit koko laitteen valvonnan sijaan. Politiikka kuvaa tämän näin:
”Yritystiedot on tallennettava vain salattuihin, hallittuihin kontteihin.”
Lähde: Mobile device and byod policy, politiikan toteutusvaatimukset, kohta 6.6.1 Mobile device and byod policy
Tämä tukee GDPR:n tietojen minimointia ja Article 32:n mukaista käsittelyn turvallisuutta, koska liiketoimintatiedot rajataan hallituille alueille eikä henkilökohtaisia alueita käsitellä yrityksen tietovarastoina. Se antaa liiketoiminnalle myös käytännöllisen vastauksen, kun henkilökohtainen puhelin katoaa: peruuta istunnot, pyyhi yritystiedot, säilytä lokit ja arvioi altistuminen pyyhkimättä henkilökohtaisia valokuvia, viestejä tai sovelluksia.
Ehdollinen pääsy yhdistää tämän jälkeen identiteetin laitteen tietoturvatilaan. Vähimmäistasolla arkaluonteisten järjestelmien tulee edellyttää rekisteröintiä, MFA:ta, salausta, tuettua käyttöjärjestelmää, näytön lukitusta, jailbreak- tai root-havainnon puuttumista, hallittujen sovellusten käyttöä sekä latausten, leikepöydän jakamisen tai kuvakaappausten rajoituksia, jos riski sitä edellyttää. Tämä antaa käytännön vaikutuksen kontrolleille A.8.1 käyttäjien päätelaitteet, A.8.3 tietojen pääsyn rajoittaminen ja A.8.5 turvallinen todennus.
Lokitus sulkee silmukan. Yritystason politiikka edellyttää:
”Mobiilikäytön lokit on kerättävä ja säilytettävä vähintään 90 päivän ajan, ja ne on integroitava keskitettyyn SIEM-alustaan soveltuvin osin.”
Lähde: Mobile device and byod policy, hallinnointivaatimukset, kohta 5.6 Mobile device and byod policy
Pienemmille ympäristöille Clarysecin Logging and Monitoring Policy-sme Logging and Monitoring Policy - SME lisää käytännöllisen vähimmäistason:
”BYOD- ja etäjärjestelmissä on oltava paikallinen lokitus käytössä todennustapahtumille ja virustorjunnan havainnoille”
Lähde: Logging and Monitoring Policy-sme, politiikan toteutusvaatimukset, kohta 6.3.1 Logging and Monitoring Policy - SME
Mobiilihallinnointiohjelmaa ilman lokeja on vaikea puolustaa. Kadonneen laitteen tutkinta tarvitsee käyttöhistorian, epäonnistuneet yritykset, laitteen vaatimustenmukaisuuden tilan, istuntojen peruuttamisnäytön ja mahdollisen olennaisen DLP- tai konttitoiminnan.
Mihin mobiilihallinnointi sijoittuu 30 vaiheen tiekartassa
Clarysecin Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint sijoittaa mobiili- ja BYOD-hallinnoinnin useisiin toteutusvaiheisiin. Se ei käsittele BYODia yksittäisenä politiikka-asiakirjana.
Controls in Action -vaiheessa, vaiheessa 16, People Controls II, Zenith Blueprint käsittelee etätyötä ja BYODia:
”Henkilökohtaisten laitteiden käyttö (BYOD) tulee joko kieltää tai sallia vain tiukoin ehdoin, kuten rekisteröityminen mobiililaitteiden hallintaratkaisuun (MDM), joka tukee tietojen kontitusta ja yritystietojen etätyhjennystä, jos laite katoaa tai käyttäjä poistuu yrityksestä.”
Lähde: Zenith Blueprint, Controls in Action -vaihe, vaihe 16, People Controls II Zenith Blueprint
Vaiheessa 19, Technological Controls I, Zenith Blueprint kuvaa päätelaitteet digitaalisen vuorovaikutuksen lähtöpisteiksi:
”Käyttäjien päätelaitteet, kannettavat tietokoneet, älypuhelimet, tabletit, pöytäkoneet ja jopa thin client -päätteet ovat paikkoja, joista digitaalinen vuorovaikutus alkaa. Ne ovat ovet ja ikkunat järjestelmiinne.”
Lähde: Zenith Blueprint, Controls in Action -vaihe, vaihe 19, Technological Controls I Zenith Blueprint
Vaihe 18, Physical Controls II, kattaa toimitilojen ulkopuolisen omaisuuden turvallisuuden. Siihen kuuluvat autoihin jätetyt laitteet, julkisissa tiloissa käytetyt tabletit, ruumaan kirjatut kannettavat tietokoneet ja offline-tilassa tallennetut tiedostot. Periaate on yksinkertainen: vaikka laite katoaisi tai varastettaisiin, tietojen on pysyttävä saavuttamattomina.
| Zenith Blueprint -vaihe ja vaihe | Mobiilihallinnoinnin tuotos | Auditointiarvo |
|---|---|---|
| Controls in Action, vaihe 16 | Etätyön ja BYOD-käytön ehdot | Osoittaa politiikan, kelpoisuusehdot, koulutuksen ja MDM-odotukset |
| Controls in Action, vaihe 18 | Toimitilojen ulkopuolisen omaisuuden suojaus | Osoittaa omaisuuserien kohdistamisen, matkustuskäyttäytymisen ja salausnäytön |
| Controls in Action, vaihe 19 | Päätelaitteiden koventaminen ja hallinta | Osoittaa laitteen vaatimustenmukaisuuden, paikkauksen, valvonnan ja ehdollisen pääsyn |
Tämä kerroksellinen lähestymistapa auttoi Sarahia siirtymään paniikista hallinnointiin. Hän ei ostanut työkalua ja julistanut asiaa ratkaistuksi. Hän yhdisti henkilöstöä koskevat säännöt, fyysisen käyttäytymisen ja teknisen toimeenpanon yhdeksi auditoitavaksi järjestelmäksi.
Viikon BYOD-näyttöpakettisprintti
Käytännöllinen tapa sulkea aukko on rakentaa BYOD-näyttöpaketti. Se on artefaktien kokonaisuus, jonka tietoturvajohtaja voi antaa auditoijalle, valvontaviranomaiselle, asiakkaan arvioijalle tai hallituksen valiokunnalle.
| Päivä | Toimenpide | Tuotettu näyttö |
|---|---|---|
| Päivä 1 | Määritä mobiilikäytön soveltamisala ISO 27001 -standardin kohtien 4.1–4.4 mukaisesti | Mobiilikäyttötapausten inventaario, sidosryhmävaatimukset, soveltamisalaan kuuluvat järjestelmät |
| Päivä 2 | Hyväksy BYOD-sääntö ja osoita omistajuus | Hyväksytty politiikka, RACI, johdon hyväksyntätallenne |
| Päivä 3 | Konfiguroi tekninen perustaso | MDM-rekisteröinnin vienti, salausasetukset, käyttöjärjestelmän perustaso, todennussäännöt |
| Päivä 4 | Kytke pääsy laitteen vaatimustenmukaisuuteen | Ehdollisen pääsyn politiikka, näyttö vaatimustenvastaisen laitteen estämisestä, poikkeusluettelo |
| Päivä 5 | Kerää lokitus- ja poikkeamanäyttö | SIEM-otos, mobiilikäytön lokit, poikkeamatiketin malli, kadonneen laitteen työnkulku |
| Päivä 6 | Testaa kadonneeseen laitteeseen reagointi | Pöytäharjoituksen pöytäkirja, istuntojen perumisnäyttö, etätyhjennystesti, tietoturvaloukkauksen arviointimuistiinpanot |
| Päivä 7 | Hyväksy poikkeukset ja jäännösriski | Riskin hyväksymisen tallenne, korvaavat kontrollit, voimassaolon päättymispäivä, riskinomistajan hyväksyntä |
Päivänä 1 tunnista yrityksen omistamat puhelimet, MFA:han käytettävät henkilökohtaiset puhelimet, hallintanäkymiä käyttävät BYOD-tabletit, sopimuskumppanien mobiililaitteet, hallintakonsoleja käyttävät etuoikeutetut käyttäjät sekä kaikki mobiilikäyttö järjestelmiin, joissa käsitellään henkilötietoja tai rahoitustapahtumia.
Päivänä 6 testaa realistinen skenaario: myyntijohtaja ilmoittaa, että henkilökohtainen puhelin, jossa on hallittu yrityssähköposti, on varastettu lentokentällä. Pk-yrityspolitiikka asettaa selkeän raportointiodotuksen:
”Kadonneet, varastetut tai vaarantuneet laitteet on ilmoitettava toimitusjohtajalle 1 tunnin kuluessa”
Lähde: Mobile Device and BYOD Policy-sme, politiikan toteutusvaatimukset, kohta 6.4.1 Mobile Device and BYOD Policy - SME
Harjoituksessa tulee testata, pystyykö tiimi tunnistamaan laitteen, peruuttamaan istunnot, etätyhjentämään yritystiedot, säilyttämään lokit, arvioimaan henkilötietojen altistumisen, päättämään, tarvitaanko GDPR:n mukaista tietoturvaloukkausanalyysiä, ja määrittämään, voisivatko NIS2- tai DORA-raportointikynnykset ylittyä.
Ristiin sovellettava vaatimustenmukaisuus: yksi mobiiliohjelma, neljä näyttötarinaa
ISO 27001 -perustaisen BYOD-hallinnoinnin arvo on uudelleenkäyttö. Yksi kontrollikokonaisuus voi tuottaa näyttöä useisiin velvoitteisiin, jos se on rakennettu oikein.
| Viitekehys | Mobiili- ja BYOD-kysymys | Clarysec-lähestymistavan näyttö |
|---|---|---|
| ISO/IEC 27001:2022 | Onko mobiiliriskit tunnistettu, käsitelty ja kontrolloitu ISMS:n kautta? | Soveltamisala, riskien arviointi, soveltuvuuslausunto, politiikan hyväksyntä, MDM-raportit, lokit, poikkeamatallenteet |
| NIS2 | Onko kyberhygienia, pääsynhallinta, omaisuudenhallinta, poikkeamien käsittely ja koulutus toteutettu? | Hallituksen hyväksyntä, BYOD-politiikka, koulutussuoritustiedot, pääsynhallintakontrollit, kadonneen laitteen työnkulku, toimittajanäyttö |
| DORA | Ovatko mobiililaitteet osa ICT-riskiä, poikkeamien hallintaa, häiriönsietokyvyn testausta ja kolmansien osapuolten hallinnointia? | ICT-riskirekisteri, laitteen vaatimustenmukaisuus, poikkeamaluokittelu, testausnäyttö, MDM-toimittajan huolellisuusarviointi |
| GDPR Article 32 | Onko henkilötietojen käsittelytoiminnot suojattu asianmukaisin teknisin ja organisatorisin toimenpitein? | Kontitus, salaus, pääsyn rajoittaminen, lokitus, tietoturvaloukkauksen arviointi, sisäänrakennetun tietosuojan tallenteet |
Sama logiikka pätee kontrollitasolla.
| ISO/IEC 27001:2022 liitteen A kontrolli | NIS2-näyttöarvo | DORA-näyttöarvo | GDPR Article 32 -näyttöarvo |
|---|---|---|---|
| A.8.1 Käyttäjien päätelaitteet | Tukee kyberhygieniaa, omaisuudenhallintaa ja pääsynhallintapolitiikkoja | Tukee ICT-omaisuuden suojausta, päätelaiteseurantaa ja häiriönsietokyvyn testausta | Tukee salausta, luottamuksellisuutta, eheyttä ja turvallista pääsyä henkilötietoihin |
| A.6.7 Etätyö | Tukee turvallista etäkäyttöä, koulutusta ja poikkeamien ilmoittamisen odotuksia | Tukee ICT-riskiviitekehyksen menettelyjä ja etätyöhön liittyvien poikkeamien käsittelyä | Tukee organisatorisia sääntöjä henkilötietojen käsittelylle kontrolloitujen toimitilojen ulkopuolella |
| A.7.9 Omaisuuserien turvallisuus toimitilojen ulkopuolella | Tukee omaisuuserien suojausta, jatkuvuutta ja kolmannen osapuolen käsittelyodotuksia | Tukee etäkäytössä olevien laitteiden varkaus- tai katoamisriskien lieventämistä | Tukee tahattoman katoamisen, tuhoutumisen tai luvattoman pääsyn ehkäisemistä |
NIS2:ssa soveltamisalalla on merkitystä. Digitaalisen infrastruktuurin tarjoajat, pilvipalveluntarjoajat, datakeskusten tarjoajat, sisällönjakeluverkot, DNS-palveluntarjoajat, TLD-rekisterit, luottamuspalvelujen tarjoajat, yleisten sähköisten viestintäpalvelujen tarjoajat, B2B-hallinnoidut palveluntarjoajat ja hallinnoidut tietoturvapalveluntarjoajat voivat kuulua olennaisten tai tärkeiden toimijoiden luokkiin koon, sektorin ja kansallisen täytäntöönpanon mukaan. Hallitsematon mobiilikäyttö operatiivisiin järjestelmiin ei ole tässä yhteydessä vähäinen IT-poikkeus. Se on hallinnointikysymys.
DORA:ssa MDM- tai UEM-palveluntarjoajasta voi tulla osa kolmannen osapuolen riskinäyttöä, jos se tukee pääsyä kriittisiin tai tärkeisiin toimintoihin. DORA-lähtöisten organisaatioiden tulee dokumentoida huolellisuusarviointi, palvelutasot, tietojen sijainnit, poikkeama-avustus, tietoturvatoimenpiteet, auditointioikeudet, irtautumisjärjestelyt ja palveluntarjoajan osallistuminen testaukseen soveltuvin osin.
GDPR:n näkökulmasta kadonnut henkilökohtainen puhelin ei automaattisesti ole ilmoitettava henkilötietojen tietoturvaloukkaus. Siitä tulee vakava huolenaihe, jos yritystiedot ovat käytettävissä, salaamattomia, hallittujen konttien ulkopuolelle välimuistitettuja tai aktiivisten istuntojen kautta altistuneita. Organisaation on tiedettävä, mitä tietoja oli käytettävissä, estivätkö kontrollit luvattoman pääsyn ja tukevatko lokit johtopäätöstä.
Miten auditoijat testaavat BYOD-hallinnointia
Kypsän ohjelman tulee olla valmis erilaisiin auditointityyleihin.
| Auditoijan tausta | Todennäköinen auditointitapa | Odotettu näyttö |
|---|---|---|
| ISO 27001 -auditoija | Jäljittää mobiiliriskin toimintaympäristöstä, soveltamisalasta, riskien arvioinnista ja soveltuvuuslausunnosta toteutettuihin kontrolleihin | ISMS:n soveltamisala, mobiiliriskitallenteet, SoA, politiikka, rekisteröintiraportit, pääsysäännöt, korjaavat toimenpiteet |
| NIST CSF -arvioija | Vertaa nykyisiä ja tavoiteprofiileja GOVERN-, IDENTIFY-, PROTECT-, DETECT-, RESPOND- ja RECOVER-lopputulosten välillä | CSF-profiili, priorisoitu toimintasuunnitelma, laiteinventaario, valvonta, reagointisuunnitelmat, palautusnäyttö |
| COBIT 2019- tai ISACA-auditoija | Keskittyy hallinnointitavoitteisiin, osoitusvelvollisuuteen, suorituskykyyn, riskinomistajuuteen ja kontrollien tehokkuuteen | Johdon hyväksyntä, RACI, mittarit, poikkeusrekisteri, kontrollien testaus, havaintojen korjaaminen |
| DORA-katselmoija | Käsittelee mobiilikäyttöä osana ICT-riskiä, poikkeamien hallintaa, häiriönsietokyvyn testausta ja kolmannen osapuolen riippuvuutta | ICT-riskiviitekehys, poikkeamaluokittelu, häiriönsietokyvyn testitallenteet, MDM-toimittajarekisteri, irtautumissuunnitelma |
| GDPR-auditoija tai tietosuojakatselmoija | Arvioi, onko henkilötietojen mobiilikäsittely lainmukaista, tarpeellista, suojattua ja osoitettavissa | BYOD-suostumusrajat, kontitus, DLP, salaus, käyttölokit, tietoturvaloukkauksen arviointitallenteet |
Zenith Blueprint -auditointitarkistuslista etätyölle on suora: auditoijat tarkistavat, onko politiikka toteutettu, ei pelkästään dokumentoitu. Valmistaudu esittämään muodollinen politiikka, selittämään soveltaminen, kuten VPN-käyttö, päätelaitteen salaus tai MDM, osoittamaan BYOD-rekisteröinnit tai rajoitukset, toimittamaan koulutussuoritustiedot ja osoittamaan, että etätyötä tekevät henkilöt ymmärtävät velvollisuutensa.
NIST CSF 2.0 tarjoaa hyödyllisen täydentävän mallin. Sen GOVERN-toiminto edellyttää, että lakisääteiset, sääntelyyn perustuvat ja sopimusperusteiset kyberturvallisuusvaatimukset ymmärretään ja hallitaan, kyberturvallisuusriski integroidaan organisaation riskienhallintaan, roolit ja toimivaltuudet määritetään, politiikat laaditaan ja niitä seurataan sekä suorituskykyä arvioidaan. Mobiilihallinnoinnissa käytännöllinen tavoiteprofiili voisi todeta: kaikki henkilötietoja tai kriittisiä liiketoimintajärjestelmiä käyttävät laitteet on rekisteröity, salattu, vaatimustenmukaisia, valvottuja ja poistettavissa käytöstä yhden tunnin kuluessa vaarantumisilmoituksesta.
Yleiset BYOD-auditointihavainnot
Mobiilihallinnoinnin havainnot johtuvat harvoin yhdestä katastrofaalisesta epäonnistumisesta. Ne syntyvät yleensä pienistä poikkeuksista, joita ei koskaan suljettu.
Yleisiä havaintoja ovat:
- BYOD on käytännössä sallittu, mutta sitä ei ole hyväksytty muodollisesti
- Todennussovelluksia käsitellään ISMS:n soveltamisalan ulkopuolisina
- MDM on konfiguroitu yrityslaitteille mutta ei henkilökohtaisille laitteille, joilla on yrityskäyttöä
- Johto on suljettu pois laitteiden vaatimustenmukaisuuden perustasoista
- Ehdollinen pääsy ohitetaan legacy-protokollien tai hallitsemattomien selainten kautta
- Henkilökohtaiset laitteet käyttävät sähköpostia ilman kontitusta
- Mobiililokit säilyvät SaaS-alustoissa, mutta niitä ei katselmoida tai viedä
- Kadonneen laitteen menettely on olemassa, mutta henkilöstö ei tunne raportointiaikaa
- Tietosuojakieli ei selitä, mitä yritys voi ja mitä se ei voi valvoa
- Ei näyttöä siitä, että mobiilipoikkeukset ovat määräaikaisia ja riskiperusteisesti hyväksyttyjä
- MDM-toimittajaa ei ole sisällytetty ICT-kolmansien osapuolten riskienhallintaan
- Mobiilivaarantumista koskevaa pöytäharjoitusta ei ole
- BYOD-kontrolleja ei ole kartoitettu GDPR Article 32-, NIS2- tai DORA-näyttöön
Jokainen havainto on korjattavissa. Ongelma ei yleensä ole työkalujen puute. Se on omistajuuden, näyttösuunnittelun ja ristiin sovellettavan vaatimustenmukaisuuskartoituksen puute.
Hallitustason tarina
Johto ei tarvitse jokaista MDM-konfiguraation yksityiskohtaa. Se tarvitsee selkeän vastuun osoittavan kertomuksen.
Vahva hallitustason BYOD-kannanotto kuuluu:
- Tiedämme, mitkä mobiililaitteet käyttävät organisaation resursseja.
- Erotamme yrityksen omistaman käytön ja BYOD-käytön.
- BYOD on vapaaehtoista, hyväksyttyä ja sopimuksella hallittua.
- Yritystiedot ovat salattuja ja eristettyjä.
- Pääsy riippuu laitteen vaatimustenmukaisuudesta.
- Lokit säilytetään ja katselmoidaan.
- Kadonneet tai vaarantuneet laitteet ilmoitetaan nopeasti.
- Yritystiedot voidaan pyyhkiä tai pääsy perua.
- Henkilötietoriskit arvioidaan GDPR:n mukaisesti.
- Poikkeukset hyväksytään, määräaikaistetaan ja katselmoidaan.
Tämä yhdistää mobiilihallinnoinnin riskinottohalukkuuteen, operatiiviseen häiriönsietokykyyn, oikeudelliseen vastuuvelvollisuuteen ja asiakkaiden luottamukseen. Se antaa myös hallintoelimille näytön, jota ne tarvitsevat valvonnan osoittamiseen NIS2:n ja DORA:n mukaisesti.
Miten Clarysec auttaa
Clarysecin mobiili- ja BYOD-hallinnointimalli yhdistää politiikan, toteutuksen ja ristiin sovellettavan vaatimustenmukaisuuskartoituksen.
Ensinnäkin politiikkakirjasto antaa organisaatioille valmiiksi mukautettavaa hallinnointikieltä. Mobile Device and BYOD Policy-sme on käytännöllinen pienemmille yrityksille, jotka tarvitsevat selkeät hyväksyntä- ja raportointisäännöt. Mobile device and byod policy tukee säänneltyjä ympäristöjä, joissa tarvitaan MDM:ää, salausta, todennusta, käyttöjärjestelmän perustasoja, DLP:tä, kontteja, lokitusta ja muodollisia BYOD-sopimuksia.
Toiseksi Zenith Blueprint tarjoaa toteutuspolun. Se osoittaa, mihin mobiilihallinnointi kuuluu 30 vaiheen auditointitiekartassa: etätyöhön, toimitilojen ulkopuolisen omaisuuden turvallisuuteen ja päätelaitekontrolleihin. Tämä estää yleisen virheen, jossa BYODia käsitellään yksittäisenä asiakirjana eikä elävänä kontrollijärjestelmänä.
Kolmanneksi Zenith Controls tarjoaa ristiin sovellettavan vaatimustenmukaisuuden kompassin. Se yhdistää ISO/IEC 27001:2022 -standardin liitteen A kontrollit A.8.1, A.6.7 ja A.7.9 niihin liittyviin kontrolleihin, tukeviin standardeihin ja auditointiodotuksiin. Tämä kartoitus auttaa tietoturvajohtajia vastaamaan valvontaviranomaisen todelliseen kysymykseen: osoittakaa, että mobiilihallinnointinne on oikeasuhtaista, toteutettua ja vaikuttavaa.
Seuraavat vaiheet: rakenna puolustettava BYOD-näyttöpaketti
Jos organisaatiosi sallii mobiili- tai BYOD-käytön, älä odota kadonnutta iPadia paljastamaan näyttöaukkoa.
Aloita kohdennetulla arvioinnilla:
- Luetteloi kaikki mobiilikäytön polut yritystietoihin ja kriittisiin järjestelmiin.
- Vertaa toteutunutta käyttöä Mobile device and byod policy Mobile device and byod policy- tai Mobile Device and BYOD Policy-sme Mobile Device and BYOD Policy - SME -politiikkaan.
- Laadi yhden sivun mobiiliriskirekisterimerkintä, joka on linkitetty ISO/IEC 27001:2022 ISO/IEC 27001:2022 -standardiin.
- Käytä Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint -tiekarttaa etätyön, toimitilojen ulkopuolisen omaisuuden ja päätelaitekontrollien toteuttamiseen.
- Käytä Zenith Controls: The Cross-Compliance Guide Zenith Controls -opasta näytön kartoittamiseen NIS2-, DORA-, GDPR-, NIST- ja COBIT 19 -odotuksiin.
- Käytä Logging and Monitoring Policy-sme Logging and Monitoring Policy - SME -politiikkaa käytännöllisten lokitusodotusten määrittämiseen pienemmille ympäristöille.
- Toteuta kadonneen laitteen pöytäharjoitus ja säilytä näyttö.
Clarysec voi auttaa muuttamaan hallitsemattoman mobiilikäytön puolustettavaksi ja auditoitavaksi hallinnointiohjelmaksi. Lataa politiikat, kartoita kontrollisi Zenith Controls -oppaalla, toteuta tiekartta Zenith Blueprint -mallilla ja sovi Clarysec-arviointi ennen kuin seuraava auditoijasi esittää klo 8.12 -kysymyksen.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
