Upravljanje BYOD-om i osobnim mobilnim uređajima za ISO 27001, NIS2, DORA i GDPR
Izgubljeni iPad u 8:12
U 8:12 Sarin se zaslon osvijetlio običnom prijavom službi za podršku: „Izgubljeni iPad, direktor prodaje.”
Sarah je bila direktorica informacijske sigurnosti u brzorastućem fintech društvu i odmah je znala da to nije obično pitanje imovine. Direktor prodaje intenzivno je koristio svoj osobni iPad. Iz hotelskih soba, zračnih luka i lokacija klijenata pristupao je CRM zapisima, e-pošti, osjetljivim popisima potencijalnih klijenata, radnim prostorima za suradnju i nadzornim pločama prodajnog procesa plaćanja.
U nekoliko minuta situacija se pogoršala. Uređaj nije bio uključen u upravljanje mobilnim uređajima. Nije bilo potvrde da je šifriran. Nije postojala mogućnost udaljenog brisanja podataka. Pravila uvjetnog pristupa postojala su, ali direktor prodaje dobio je iznimku nekoliko mjeseci ranije jer je „uvijek na putu”. Tim za privatnost nije mogao potvrditi koji su podaci klijenata bili lokalno predmemorirani. Voditelj usklađenosti proslijedio je novu poruku vanjskog revizora: „Molimo dostavite dokaze da su osobni mobilni uređaji koji pristupaju podacima klijenata obuhvaćeni upravljanjem, nadzirani, šifrirani i uklonjivi iz uporabe ako budu kompromitirani.”
Izgubljeni iPad nije bio stvarna eksplozija. Bio je to znak upozorenja.
To je problem upravljanja mobilnim uređajima i BYOD-om u 2026. Osobni telefoni i tableti više nisu samo pogodnost za zaposlenike. Oni su poslovni krajnji uređaji, čimbenici identiteta, spremišta podataka, alati za odobravanje plaćanja, prateći uređaji za pristup s povišenim ovlastima i kanali za prijavu incidenata. Jedan osobni uređaj može sadržavati aplikaciju autentifikatora za administratorski pristup, korporativnu e-poštu s osobnim podacima, predmemorirane datoteke u oblaku, snimke zaslona reguliranih informacija, aktivne sesije preglednika u SaaS konzolama i pristupne tokene za operativne alate.
Za CISO-e, voditelje usklađenosti i uprave pitanje više nije: „Dopuštamo li BYOD?” Pravo pitanje glasi: „Možemo li dokazati da je svaki put mobilnog pristupa obuhvaćen upravljanjem, procijenjen u pogledu rizika, tehnički kontroliran, nadziran i oporavljiv?”
Odgovor ne bi trebao zahtijevati odvojene programe usklađenosti za ISO 27001, NIS2, DORA i GDPR. Dobro definiran sustav upravljanja informacijskom sigurnošću prema ISO/IEC 27001:2022 ISO/IEC 27001:2022 može uključiti rizik mobilnih uređaja i BYOD-a u politike, vlasništvo nad imovinom, kontrolu pristupa, usklađenost uređaja, evidentiranje događaja, odgovor na incidente, kontrole privatnosti i dokaze o dobavljačima. Clarysecov pristup jest izgraditi te dokaze jednom, a zatim ih ponovno koristiti za kibernetičku higijenu prema NIS2, upravljanje IKT rizicima prema DORA-i i sigurnost obrade prema GDPR Article 32.
Zašto je BYOD sada pitanje usklađenosti na razini uprave
Hibridni rad učinio je mobilni pristup trajnim. Direktori prodaje odobravaju ugovore s osobnih iPhonea. Financijski rukovoditelji autoriziraju plaćanja s tableta. Inženjeri koriste aplikacije autentifikatora na vlastitim telefonima. Članovi najvišeg rukovodstva putuju s korporativnom e-poštom na osobnim uređajima jer je to praktično. Ugovorni suradnici pristupaju zahtjevima putem mobilnih preglednika. Timovi podrške primaju upozorenja o incidentima putem mobilnih aplikacija za razmjenu poruka.
Ta fleksibilnost stvara prazninu u upravljanju kada pristup raste brže od politike i dizajna kontrola.
NIS2 čini tu prazninu vidljivom na razini upravljanja. Article 20 zahtijeva da upravljačka tijela odobre mjere upravljanja rizicima kibernetičke sigurnosti, nadziru provedbu i pohađaju osposobljavanje. Article 21 zahtijeva odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere, uključujući analizu rizika, postupanje s incidentima, neprekidnost poslovanja, sigurnost opskrbnog lanca, sigurnu nabavu i održavanje, procjenu učinkovitosti, kibernetičku higijenu, kriptografiju, sigurnost ljudskih resursa, kontrolu pristupa i upravljanje imovinom. Upravljanje mobilnim uređajima i BYOD-om dotiče gotovo svaku od tih tema.
DORA povećava zahtjeve za financijske subjekte. Od siječnja 2025. DORA zahtijeva dokumentiran okvir upravljanja IKT rizicima, nadzor upravljačkog tijela, neprekidnost poslovanja u području IKT-a, upravljanje IKT incidentima, testiranje digitalne operativne otpornosti i upravljanje IKT rizicima trećih strana. Ako zaposlenici pristupaju kritičnim ili važnim funkcijama putem mobilnih uređaja, ti su uređaji dio površine IKT rizika. Pružatelj upravljanja mobilnim uređajima ili objedinjene zaštite krajnjih uređaja također može postati relevantan za dokaze o IKT trećim stranama ako štiti pristup reguliranim operacijama.
GDPR dodaje perspektivu odgovornosti. Article 5 zahtijeva sigurnu obradu osobnih podataka i zahtijeva da voditelj obrade može dokazati usklađenost. Article 32 zahtijeva odgovarajuće tehničke i organizacijske mjere, uključujući povjerljivost, cjelovitost, dostupnost, otpornost i mogućnost pravodobne ponovne uspostave pristupa kada je to potrebno. U praksi stručnjaci za privatnost postavljaju konkretna pitanja: Tko može pristupati osobnim podacima s mobilnih uređaja? Kako je pristup ograničen? Što se događa kada se telefon izgubi? Mogu li se korporativni podaci obrisati bez zadiranja u osobnu privatnost? Zadržavaju li se dnevnički zapisi? Jesu li dostupni dokazi za procjenu povrede?
ISO/IEC 27001:2022 daje operativni model. Clauses 4.1 to 4.4 zahtijevaju da organizacije utvrde unutarnja i vanjska pitanja, zahtjeve zainteresiranih strana, regulatorne obveze, opseg i ovisnosti. Clause 5 zahtijeva vodstvo, uloge i odgovornosti. Clause 6 zahtijeva procjenu rizika i obradu rizika. Clauses 8.2 and 8.3 zahtijevaju da organizacija provodi procjene rizika informacijske sigurnosti i provodi planove obrade rizika.
To znači da BYOD ne može ostati u zaboravljenoj IT bilješci. Mora biti unutar opsega ISMS-a, gdje se upravlja pravnim obvezama, očekivanjima klijenata, operativnim ovisnostima i odlukama o obradi rizika.
Skup kontrola ISO 27001 za upravljanje mobilnim uređajima i BYOD-om
Clarysecovo upravljanje mobilnim uređajima obično započinje skupom od tri kontrole iz Priloga A norme ISO/IEC 27001:2022, uz potporu provedbenih smjernica iz ISO/IEC 27002:2022.
| Tema kontrole | Značenje za upravljanje mobilnim uređajima | Tipični dokazi |
|---|---|---|
| A.8.1 Korisnički krajnji uređaji | Pametni telefoni, tableti i prijenosna računala moraju biti sigurnosno očvrsnuti, upravljani i nadzirani razmjerno riziku | Izvješća o MDM registraciji, status šifriranja, usklađenost s osnovnom konfiguracijom OS-a, zaštita od zlonamjernog softvera, mogućnost udaljenog brisanja podataka |
| A.6.7 Rad na daljinu | Pristup izvan lokacije mora biti uređen politikom, kriterijima prihvatljivosti, sigurnim pristupom i očekivanim ponašanjem korisnika | Politika rada na daljinu, BYOD sporazum, VPN ili pravila uvjetnog pristupa, zapisi o osposobljavanju |
| A.7.9 Sigurnost imovine izvan prostora organizacije | Uređaji i mediji izvan kontroliranih prostora moraju biti fizički zaštićeni i nadzirani | Popis imovine, dodijeljeno vlasništvo, postupak za izgubljeni uređaj, smjernice za putovanja, dokazi o šifriranju |
U Zenith Controls: The Cross-Compliance Guide Zenith Controls, Clarysec te kontrole tretira kao međusobno ojačavajuće. Za korisničke krajnje uređaje Zenith Controls klasificira kontrolu A.8.1 kao preventivnu kontrolu koja podupire povjerljivost, cjelovitost i dostupnost, mapiranu na koncept kibernetičke sigurnosti Protect te na operativne sposobnosti upravljanja imovinom i zaštite informacija.
Vodič također objašnjava zašto se kontrole krajnjih uređaja izravno povezuju s prihvatljivom uporabom, radom na daljinu, ograničenjem pristupa, sigurnom autentifikacijom, fizičkom zaštitom, obvezama povjerljivosti i osposobljavanjem za sigurnosnu svjesnost.
„Krajnji uređaji primarne su platforme putem kojih se provode politike prihvatljive uporabe.”
Izvor: Zenith Controls, korisnički krajnji uređaji, kontrola 8.1 Zenith Controls
Za rad na daljinu Zenith Controls mapira A.6.7 na A.7.9 sigurnost imovine izvan prostora organizacije, A.8.1 korisničke krajnje uređaje, A.5.1 politike informacijske sigurnosti, A.6.3 svijest, edukaciju i osposobljavanje o informacijskoj sigurnosti, A.5.14 prijenos informacija, A.8.20 sigurnost mreža, A.8.22 razdvajanje mreža, A.7.7 čisti radni stol i zaključani zaslon, A.5.29 informacijsku sigurnost tijekom poremećaja i A.5.30 IKT spremnost za neprekidnost poslovanja.
Ovo mapiranje odražava stvarni tijek revizija. Revizor se ne zaustavlja na pitanju: „Imate li BYOD politiku?” Provjerava je li politika provedena, jesu li uređaji registrirani, ovisi li pristup o usklađenosti, postoje li dnevnički zapisi, jesu li korisnici osposobljeni, rješavaju li se incidenti izgubljenih uređaja i jesu li iznimke prihvaćene na temelju rizika.
Temelj politike: jasno definirana pravila upravljanja
Dokaziv BYOD program počinje izričitim pravilima. Clarysecova biblioteka politika pruža predloške za MSP-ove i velika poduzeća, tako da organizacije mogu skalirati zahtjeve bez gubitka jasnoće potrebne za reviziju.
Za MSP-ove, Clarysecova Politika mobilnih uređaja i korištenja vlastitih uređaja (BYOD)-sme Politika mobilnih uređaja i korištenja vlastitih uređaja (BYOD) - SME uspostavlja jednostavnu kontrolnu točku upravljanja:
„Osobni BYOD uređaji moraju biti odobreni od strane glavnog direktora prije uporabe.”
Izvor: Politika mobilnih uređaja i korištenja vlastitih uređaja (BYOD)-sme, zahtjevi upravljanja, točka 5.1.1 Politika mobilnih uređaja i korištenja vlastitih uređaja (BYOD) - SME
Ta kratka rečenica zatvara čestu revizijsku prazninu. Sprječava nevidljivi pristup s osobnih uređaja, uspostavlja točku odobrenja i daje vlasniku poslovanja ili glavnom direktoru vidljivu upravljačku ulogu. Također podupire ISO 27001 točke 5.1 to 5.3, prema kojima najviše rukovodstvo mora pokazati vodstvo, komunicirati očekivanja i dodijeliti odgovornosti.
Politika za MSP-ove također jasno određuje provedbu osnovnih kontrola:
„Sljedeće kontrole moraju se provoditi na svim mobilnim uređajima (u vlasništvu društva i BYOD):”
Izvor: Politika mobilnih uređaja i korištenja vlastitih uređaja (BYOD)-sme, zahtjevi upravljanja, točka 5.2.1 Politika mobilnih uređaja i korištenja vlastitih uređaja (BYOD) - SME
Za regulirane ili veće organizacije Clarysecova Politika mobilnih uređaja i korištenja vlastitih uređaja (BYOD) Politika mobilnih uređaja i korištenja vlastitih uređaja (BYOD) propisuje detaljnije zahtjeve:
„Svi mobilni uređaji (korporativni ili osobni) koji pristupaju resursima organizacije moraju biti:
5.1.1 Registrirani i uključeni u odobrenu platformu za upravljanje mobilnim uređajima (MDM).
5.1.2 Konfigurirani s tehničkim sigurnosnim kontrolama, uključujući obvezno šifriranje i autentifikaciju.
5.1.3 Praćeni u pogledu usklađenosti s definiranim polaznim osnovama operativnog sustava (OS) i zakrpavanja.”
Izvor: Politika mobilnih uređaja i korištenja vlastitih uređaja (BYOD), zahtjevi upravljanja, točka 5.1 Politika mobilnih uređaja i korištenja vlastitih uređaja (BYOD)
To je jezik spreman za reviziju. Revizor može testirati populaciju mobilnih uređaja, usporediti je s evidencijama pristupa, uzorkovati zapise o registraciji i provjeriti provode li se šifriranje, autentifikacija i osnovne konfiguracije zakrpa.
BYOD također zahtijeva granice privole koje uvažavaju privatnost. Politika za velika poduzeća navodi:
„Pristup u okviru korištenja vlastitih uređaja (BYOD) odobrava se samo nakon formalnog prihvaćanja Sporazuma o uporabi BYOD-a organizacije, koji uključuje:
5.2.1 Privolu za praćenje korporativnih spremnika ili upravljanih aplikacija
5.2.2 Potvrdu upoznatosti s kontrolama upravljanja mobilnim uređajima (MDM), kao što su udaljeno brisanje podataka ili zaključavanje
5.2.3 Suglasnost za dobrovoljno sudjelovanje i pravo na odustanak”
Izvor: Politika mobilnih uređaja i korištenja vlastitih uređaja (BYOD), zahtjevi upravljanja, točka 5.2 Politika mobilnih uređaja i korištenja vlastitih uređaja (BYOD)
Ova je točka ključna za usklađivanje s GDPR-om. Pojašnjava da se praćenje odnosi na korporativne spremnike ili upravljane aplikacije, dokumentira potvrdu zaposlenika o zaključavanju ili udaljenom brisanju podataka i čuva pravo na odustanak. Pomaže odvojiti legitimni korporativni sigurnosni nadzor od prekomjernog nadzora privatnog života.
Od politike do kontrola: MDM, spremnici, pristup i dnevnički zapisi
Politika postaje upravljanje tek kada je provedena i potkrijepljena dokazima. Praktična osnovica počinje registracijom uređaja.
„Svi mobilni uređaji moraju biti uključeni u rješenje za upravljanje mobilnim uređajima (MDM) prije pristupa korporativnim sustavima.”
Izvor: Politika mobilnih uređaja i korištenja vlastitih uređaja (BYOD), zahtjevi za provedbu politike, točka 6.1.1 Politika mobilnih uređaja i korištenja vlastitih uređaja (BYOD)
Za okruženja velikih poduzeća isti provedbeni sloj treba nametnuti šifriranje, PIN, zaporku ili biometrijsku autentifikaciju, zaključavanje zbog neaktivnosti, podržane verzije OS-a, otkrivanje jailbreaka ili rootanja, osnovne konfiguracije zakrpa te brisanje ili ponovno postavljanje sistemske slike nakon ponovljenih neuspjelih pokušaja prijave.
Za BYOD je bolji dizajn najčešće uporaba upravljanih aplikacija ili korporativnih spremnika umjesto nadzora cijelog uređaja. Politika to obuhvaća ovako:
„Korporativni podaci moraju se pohranjivati samo unutar šifriranih, upravljanih spremnika.”
Izvor: Politika mobilnih uređaja i korištenja vlastitih uređaja (BYOD), zahtjevi za provedbu politike, točka 6.6.1 Politika mobilnih uređaja i korištenja vlastitih uređaja (BYOD)
Time se podupiru minimizacija podataka prema GDPR-u i sigurnost obrade prema Article 32 jer su poslovni podaci ograničeni na upravljana područja, a osobna područja ne tretiraju se kao korporativni repozitoriji. To poslovanju daje i praktičan odgovor kada se osobni telefon izgubi: opozvati sesije, obrisati korporativne podatke, očuvati dnevničke zapise i procijeniti izloženost bez brisanja osobnih fotografija, poruka ili aplikacija.
Uvjetni pristup zatim povezuje identitet sa sigurnosnim stanjem uređaja. Kao minimum, osjetljivi sustavi trebaju zahtijevati registraciju uređaja, MFA, šifriranje, podržani OS, zaključavanje zaslona, odsutnost jailbreaka ili rootanja, pristup putem upravljane aplikacije te ograničenja preuzimanja, dijeljenja međuspremnika ili snimanja zaslona kada to rizik zahtijeva. Time se daje praktičan učinak A.8.1 korisničkim krajnjim uređajima, A.8.3 ograničenju pristupa informacijama i A.8.5 sigurnoj autentifikaciji.
Evidentiranje događaja zatvara krug. Politika za velika poduzeća zahtijeva:
„Zapisi dnevnika mobilnog pristupa moraju se prikupljati i zadržavati najmanje 90 dana, uz integraciju sa središnjom SIEM platformom gdje je primjenjivo.”
Izvor: Politika mobilnih uređaja i korištenja vlastitih uređaja (BYOD), zahtjevi upravljanja, točka 5.6 Politika mobilnih uređaja i korištenja vlastitih uređaja (BYOD)
Za manja okruženja Clarysecova Politika zapisivanja događaja i praćenja-sme Politika zapisivanja događaja i praćenja - SME dodaje praktični minimum:
„BYOD i udaljeni sustavi moraju imati omogućeno lokalno zapisivanje događaja autentifikacije i detekcija antivirusnog softvera”
Izvor: Politika zapisivanja događaja i praćenja-sme, zahtjevi za provedbu politike, točka 6.3.1 Politika zapisivanja događaja i praćenja - SME
Program upravljanja mobilnim uređajima bez dnevničkih zapisa teško je obraniti. Istraga izgubljenog uređaja treba povijest pristupa, neuspjele pokušaje, status usklađenosti uređaja, dokaze o opozivu sesija i relevantne DLP aktivnosti ili aktivnosti spremnika.
Gdje se upravljanje mobilnim uređajima uklapa u plan od 30 koraka
Clarysecov Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint smješta upravljanje mobilnim uređajima i BYOD-om kroz više faza provedbe. BYOD ne tretira kao jedan dokument politike.
U fazi Controls in Action, korak 16, People Controls II, Zenith Blueprint obrađuje rad na daljinu i BYOD:
„Korištenje osobnih uređaja (BYOD) treba biti ili zabranjeno ili dopušteno samo pod strogim uvjetima, kao što je registracija u rješenju za upravljanje mobilnim uređajima (MDM) koje podržava kontejnerizaciju podataka i udaljeno brisanje korporativnih podataka ako se uređaj izgubi ili ako korisnik napusti društvo.”
Izvor: Zenith Blueprint, faza Controls in Action, korak 16, People Controls II Zenith Blueprint
U koraku 19, Technological Controls I, Zenith Blueprint opisuje krajnje uređaje kao početnu točku digitalne interakcije:
„Korisnički krajnji uređaji, prijenosna računala, pametni telefoni, tableti, stolna računala, pa čak i tanki klijenti, mjesta su gdje digitalna interakcija počinje. Oni su vrata i prozori prema vašim sustavima.”
Izvor: Zenith Blueprint, faza Controls in Action, korak 19, Technological Controls I Zenith Blueprint
Korak 18, Physical Controls II, pokriva sigurnost imovine izvan prostora organizacije. To uključuje uređaje ostavljene u automobilima, tablete korištene u javnim prostorima, prijenosna računala predana u prtljagu i datoteke pohranjene izvanmrežno. Načelo je jednostavno: čak i ako je uređaj izgubljen ili ukraden, podaci moraju ostati nedostupni.
| Faza i korak Zenith Blueprinta | Ishod upravljanja mobilnim uređajima | Vrijednost za reviziju |
|---|---|---|
| Controls in Action, korak 16 | Uvjeti rada na daljinu i BYOD-a | Pokazuje politiku, prihvatljivost, obuku i MDM očekivanja |
| Controls in Action, korak 18 | Zaštita imovine izvan prostora organizacije | Pokazuje dodjelu imovine, ponašanje tijekom putovanja i dokaze o šifriranju |
| Controls in Action, korak 19 | Sigurnosno očvršćivanje i upravljanje krajnjim uređajima | Pokazuje usklađenost uređaja, zakrpavanje, nadzor i uvjetni pristup |
Ovaj slojeviti pristup pokazuje kako je Sarah prešla iz panike u upravljanje. Nije kupila alat i proglasila problem riješenim. Povezala je pravila za ljude, fizičko ponašanje i tehničku provedbu u jedan revizijski provjerljiv sustav.
Jednotjedni sprint za BYOD paket dokaza
Praktičan način zatvaranja praznine jest izgradnja BYOD paketa dokaza. To je skup artefakata koje CISO može predati revizoru, regulatoru, procjenitelju klijenta ili odboru uprave.
| Dan | Radnja | Izrađeni dokazi |
|---|---|---|
| Dan 1 | Definirati opseg mobilnog pristupa prema ISO 27001 točkama 4.1 to 4.4 | Popis slučajeva uporabe mobilnog pristupa, zahtjevi zainteresiranih strana, sustavi u opsegu |
| Dan 2 | Odobriti BYOD pravilo i dodijeliti vlasništvo | Odobrena politika, RACI, zapis odobrenja uprave |
| Dan 3 | Konfigurirati tehničku osnovicu | Izvoz MDM registracija, postavke šifriranja, osnovna konfiguracija OS-a, pravila autentifikacije |
| Dan 4 | Povezati pristup s usklađenošću uređaja | Politika uvjetnog pristupa, dokaz odbijanja neusklađenih uređaja, popis iznimaka |
| Dan 5 | Prikupiti dokaze o evidentiranju događaja i incidentima | SIEM uzorak, dnevnički zapisi mobilnog pristupa, predložak prijave incidenta, radni tok za izgubljeni uređaj |
| Dan 6 | Testirati odgovor na izgubljeni uređaj | Zapisnik stolne vježbe, dokaz opoziva sesije, test udaljenog brisanja podataka, bilješke procjene povrede |
| Dan 7 | Odobriti iznimke i preostali rizik | Zapis o prihvaćanju rizika, kompenzacijske kontrole, datum isteka, odobrenje vlasnika rizika |
Za dan 1 identificirajte korporativne telefone, osobne telefone koji se koriste za MFA, BYOD tablete koji pristupaju nadzornim pločama, mobilne uređaje ugovornih suradnika, korisnike s povišenim ovlastima koji pristupaju administratorskim konzolama i svaki mobilni pristup sustavima koji obrađuju osobne podatke ili financijske transakcije.
Za dan 6 testirajte realističan scenarij: direktor prodaje prijavljuje da mu je na aerodromu ukraden osobni telefon s upravljanom korporativnom e-poštom. Politika za MSP-ove postavlja jasno očekivanje prijavljivanja:
„Izgubljeni, ukradeni ili kompromitirani uređaji moraju se prijaviti glavnom direktoru u roku od 1 sata”
Izvor: Politika mobilnih uređaja i korištenja vlastitih uređaja (BYOD)-sme, zahtjevi za provedbu politike, točka 6.4.1 Politika mobilnih uređaja i korištenja vlastitih uređaja (BYOD) - SME
Vježba treba provjeriti može li tim identificirati uređaj, opozvati sesije, udaljeno obrisati korporativne podatke, očuvati dnevničke zapise, procijeniti izloženost osobnih podataka, odlučiti je li potrebna analiza povrede prema GDPR-u i utvrditi mogu li se aktivirati pragovi prijavljivanja prema NIS2 ili DORA-i.
Međusobna usklađenost: jedan mobilni program, četiri priče o dokazima
Vrijednost upravljanja BYOD-om temeljenog na ISO 27001 jest ponovna uporaba. Jedan skup kontrola može generirati dokaze za više obveza ako je dobro strukturiran.
| Okvir | Pitanje o mobilnim uređajima i BYOD-u | Dokazi iz Clarysecova pristupa |
|---|---|---|
| ISO/IEC 27001:2022 | Jesu li mobilni rizici identificirani, obrađeni i kontrolirani kroz ISMS? | Opseg, procjena rizika, Izjava o primjenjivosti, odobrenje politike, MDM izvješća, dnevnički zapisi, zapisi o incidentima |
| NIS2 | Jesu li provedeni kibernetička higijena, kontrola pristupa, upravljanje imovinom, postupanje s incidentima i obuka? | Odobrenje uprave, BYOD politika, zapisi o osposobljavanju, kontrole pristupa, radni tok za izgubljeni uređaj, dokazi o dobavljačima |
| DORA | Jesu li mobilni uređaji dio IKT rizika, upravljanja incidentima, testiranja otpornosti i upravljanja trećim stranama? | Registar IKT rizika, usklađenost uređaja, klasifikacija incidenata, dokazi testiranja, dubinska analiza MDM dobavljača |
| GDPR Article 32 | Jesu li aktivnosti obrade osobnih podataka zaštićene odgovarajućim tehničkim i organizacijskim mjerama? | Kontejnerizacija, šifriranje, ograničenje pristupa, evidentiranje događaja, procjena povrede, zapisi o ugrađenoj zaštiti podataka |
Ista logika vrijedi na razini kontrola.
| Kontrola iz Priloga A norme ISO/IEC 27001:2022 | Vrijednost dokaza za NIS2 | Vrijednost dokaza za DORA | Vrijednost dokaza za GDPR Article 32 |
|---|---|---|---|
| A.8.1 Korisnički krajnji uređaji | Podupire kibernetičku higijenu, upravljanje imovinom i politike kontrole pristupa | Podupire zaštitu IKT imovine, nadzor krajnjih uređaja i testiranje otpornosti | Podupire šifriranje, povjerljivost, cjelovitost i siguran pristup osobnim podacima |
| A.6.7 Rad na daljinu | Podupire siguran udaljeni pristup, obuku i očekivanja prijave incidenata | Podupire postupke okvira IKT rizika i postupanje s incidentima rada na daljinu | Podupire organizacijska pravila za obradu osobnih podataka izvan kontroliranih prostora |
| A.7.9 Sigurnost imovine izvan prostora organizacije | Podupire zaštitu imovine, neprekidnost poslovanja i očekivanja postupanja trećih strana | Podupire ublažavanje rizika krađe ili gubitka uređaja koji se koriste na daljinu | Podupire sprječavanje slučajnog gubitka, uništenja ili neovlaštenog pristupa |
Za NIS2 opseg je važan. Pružatelji digitalne infrastrukture, pružatelji usluga u oblaku, pružatelji podatkovnih centara, mreže za isporuku sadržaja, DNS pružatelji, registri vršnih domena, pružatelji usluga povjerenja, javni pružatelji elektroničkih komunikacija, B2B pružatelji upravljanih usluga i pružatelji upravljanih sigurnosnih usluga mogu spadati u kategorije ključnih ili važnih subjekata, ovisno o veličini, sektoru i nacionalnoj provedbi. Neupravljani mobilni pristup operativnim sustavima u tom kontekstu nije manja IT iznimka. To je pitanje upravljanja.
Za DORA, MDM ili UEM pružatelj može postati dio dokaza o riziku trećih strana ako podržava pristup kritičnim ili važnim funkcijama. Organizacije usmjerene na DORA-u trebaju dokumentirati dubinsku analizu dobavljača, razine usluge, lokacije podataka, pomoć pri incidentima, sigurnosne mjere, prava na reviziju, izlazne aranžmane i sudjelovanje pružatelja u testiranju gdje je relevantno.
Za GDPR izgubljeni osobni telefon nije automatski prijavljiva povreda osobnih podataka. Postaje ozbiljna zabrinutost ako su korporativni podaci dostupni, nešifrirani, predmemorirani izvan upravljanih spremnika ili izloženi kroz aktivne sesije. Organizacija mora znati koji su podaci bili dostupni, jesu li kontrole spriječile neovlašteni pristup i podupiru li dnevnički zapisi zaključak.
Kako će revizori testirati upravljanje BYOD-om
Zreo program treba biti pripremljen za različite revizijske pristupe.
| Profil revizora | Vjerojatan revizijski pristup | Dokazi koje će očekivati |
|---|---|---|
| Revizor ISO 27001 | Prati mobilni rizik od konteksta, opsega, procjene rizika i Izjave o primjenjivosti do provedenih kontrola | Opseg ISMS-a, zapisi o mobilnim rizicima, SoA, politika, izvješća o registraciji, pravila pristupa, korektivne radnje |
| Procjenitelj NIST CSF | Uspoređuje trenutačne i ciljne profile kroz ishode GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND i RECOVER | CSF profil, prioritizirani akcijski plan, popis uređaja, nadzor, planovi odgovora, dokazi oporavka |
| Revizor COBIT 2019 ili ISACA | Usredotočuje se na ciljeve upravljanja, odgovornost, učinkovitost, vlasništvo nad rizikom i djelotvornost kontrola | Odobrenje uprave, RACI, metrike, registar iznimaka, testiranje kontrola, otklanjanje problema |
| DORA pregledavatelj | Tretira mobilni pristup kao dio IKT rizika, upravljanja incidentima, testiranja otpornosti i ovisnosti o trećim stranama | Okvir IKT rizika, klasifikacija incidenata, zapisi testova otpornosti, registar MDM dobavljača, izlazni plan |
| GDPR revizor ili pregledavatelj privatnosti | Procjenjuje je li mobilna obrada osobnih podataka zakonita, nužna, zaštićena i dokaziva | Granice privole za BYOD, kontejnerizacija, DLP, šifriranje, evidencije pristupa, zapisi procjene povrede |
Revizijski kontrolni popis Zenith Blueprinta za rad na daljinu izravan je: revizori će provjeriti je li politika provedena, a ne samo dokumentirana. Budite spremni predstaviti formalnu politiku, objasniti provedbu kao što su uporaba VPN-a, šifriranje krajnjih uređaja ili MDM, pokazati BYOD registraciju ili ograničenja, dostaviti zapise o osposobljavanju i dokazati da zaposlenici koji rade na daljinu razumiju svoje dužnosti.
NIST CSF 2.0 daje koristan dopunski model. Njegova funkcija GOVERN zahtijeva da se pravni, regulatorni i ugovorni zahtjevi kibernetičke sigurnosti razumiju i da se njima upravlja, da se rizik kibernetičke sigurnosti integrira u upravljanje rizicima organizacije, da se definiraju uloge i ovlasti, da se politike uspostave i prate te da se vrednuje učinkovitost. Za upravljanje mobilnim uređajima praktični ciljni profil mogao bi glasiti: svi uređaji koji pristupaju osobnim podacima ili kritičnim poslovnim sustavima registrirani su, šifrirani, usklađeni, nadzirani i mogu se ukloniti u roku od jednog sata od obavijesti o kompromitaciji.
Česti nalazi revizije BYOD-a
Nalazi u upravljanju mobilnim uređajima rijetko proizlaze iz jednog katastrofalnog propusta. Obično proizlaze iz malih iznimaka koje nikada nisu zatvorene.
Česti nalazi uključuju:
- BYOD je dopušten u praksi, ali nije formalno odobren
- Aplikacije autentifikatora tretiraju se kao izvan opsega ISMS-a
- MDM je konfiguriran za korporativne uređaje, ali ne i za osobne uređaje s korporativnim pristupom
- Članovi najvišeg rukovodstva izuzeti su iz osnovnih zahtjeva usklađenosti uređaja
- Uvjetni pristup zaobilazi se kroz naslijeđene protokole ili neupravljane preglednike
- Osobni uređaji pristupaju e-pošti bez kontejnerizacije
- Mobilni dnevnički zapisi zadržavaju se u SaaS platformama, ali se ne pregledavaju niti izvoze
- Postupak za izgubljeni uređaj postoji, ali osoblje ne zna rok prijave
- Nema teksta o privatnosti koji objašnjava što društvo smije, a što ne smije pratiti
- Nema dokaza da su mobilne iznimke vremenski ograničene i prihvaćene na temelju rizika
- MDM dobavljač nije uključen u upravljanje IKT rizicima trećih strana
- Nema stolne vježbe za kompromitaciju mobilnog uređaja
- Nema mapiranja BYOD kontrola na dokaze za GDPR Article 32, NIS2 ili DORA
Svaki se nalaz može otkloniti. Problem obično nije nedostatak alata. Problem je nedostatak vlasništva, dizajna dokaza i mapiranja međusobne usklađenosti.
Priča za upravu
Upravi nisu potrebni svi detalji MDM konfiguracije. Potrebna joj je jasna priča o odgovornosti.
Snažan stav o BYOD-u na razini uprave glasi:
- Znamo koji mobilni uređaji pristupaju resursima organizacije.
- Razlikujemo pristup s korporativnih uređaja i BYOD pristup.
- BYOD je dobrovoljan, odobren i uređen sporazumom.
- Korporativni podaci su šifrirani i izolirani.
- Pristup ovisi o usklađenosti uređaja.
- Dnevnički zapisi se zadržavaju i pregledavaju.
- Izgubljeni ili kompromitirani uređaji prijavljuju se brzo.
- Korporativni podaci mogu se obrisati ili se pristup može opozvati.
- Rizici za osobne podatke procjenjuju se prema GDPR-u.
- Iznimke su odobrene, vremenski ograničene i pregledavaju se.
To povezuje upravljanje mobilnim uređajima s apetitom za rizik, operativnom otpornošću, pravnom odgovornošću i povjerenjem klijenata. Također upravljačkim tijelima daje dokaze potrebne za dokazivanje nadzora prema NIS2 i DORA-i.
Kako Clarysec pomaže
Clarysecov model upravljanja mobilnim uređajima i BYOD-om kombinira politiku, provedbu i mapiranje međusobne usklađenosti.
Prvo, biblioteka politika daje organizacijama jezik upravljanja spreman za prilagodbu. Politika mobilnih uređaja i korištenja vlastitih uređaja (BYOD)-sme praktična je za manja poduzeća kojima trebaju jasna pravila odobravanja i prijavljivanja. Politika mobilnih uređaja i korištenja vlastitih uređaja (BYOD) podržava regulirana okruženja koja zahtijevaju MDM, šifriranje, autentifikaciju, osnovne konfiguracije OS-a, DLP, spremnike, evidentiranje događaja i formalne BYOD sporazume.
Drugo, Zenith Blueprint daje provedbeni put. Pokazuje gdje upravljanje mobilnim uređajima pripada u revizijskom planu od 30 koraka: rad na daljinu, sigurnost imovine izvan prostora organizacije i kontrole krajnjih uređaja. Time se sprječava česta pogreška tretiranja BYOD-a kao jednog dokumenta umjesto živog sustava kontrola.
Treće, Zenith Controls pruža kompas za međusobnu usklađenost. Povezuje kontrole ISO/IEC 27001:2022 iz Priloga A A.8.1, A.6.7 i A.7.9 s povezanim kontrolama, potpornim standardima i revizijskim očekivanjima. To mapiranje pomaže CISO-ima odgovoriti na stvarno pitanje regulatora: pokažite da je vaše upravljanje mobilnim uređajima razmjerno, provedeno i učinkovito.
Sljedeći koraci: izgradite dokaziv BYOD paket dokaza
Ako vaša organizacija dopušta mobilni ili BYOD pristup, nemojte čekati da izgubljeni iPad razotkrije prazninu u dokazima.
Započnite fokusiranom procjenom:
- Popišite svaki put mobilnog pristupa korporativnim podacima i kritičnim sustavima.
- Usporedite stvarni pristup s Politikom mobilnih uređaja i korištenja vlastitih uređaja (BYOD) Politika mobilnih uređaja i korištenja vlastitih uređaja (BYOD) ili Politikom mobilnih uređaja i korištenja vlastitih uređaja (BYOD)-sme Politika mobilnih uređaja i korištenja vlastitih uređaja (BYOD) - SME.
- Izradite jednokratni zapis u registru mobilnih rizika povezan s ISO/IEC 27001:2022 ISO/IEC 27001:2022.
- Upotrijebite Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint za provedbu kontrola rada na daljinu, imovine izvan prostora organizacije i krajnjih uređaja.
- Upotrijebite Zenith Controls: The Cross-Compliance Guide Zenith Controls za mapiranje dokaza na očekivanja NIS2, DORA, GDPR, NIST i COBIT 19.
- Upotrijebite Politiku zapisivanja događaja i praćenja-sme Politika zapisivanja događaja i praćenja - SME za definiranje praktičnih očekivanja evidentiranja događaja za manja okruženja.
- Provedite stolnu vježbu za izgubljeni uređaj i očuvajte dokaze.
Clarysec vam može pomoći pretvoriti neupravljani mobilni pristup u dokaziv, revizijski provjerljiv program upravljanja. Preuzmite politike, mapirajte svoje kontrole s Zenith Controls, provedite plan s Zenith Blueprint i zakažite Clarysec procjenu prije nego što vaš sljedeći revizor postavi pitanje iz 8:12.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
