BYOD valdysena pagal ISO 27001, NIS2, DORA ir GDPR

Prarastas iPad 8:12 val.

8:12 val. Saros ekrane pasirodė įprasta pagalbos tarnybos užklausa: „Prarastas iPad, pardavimų direktorius.“

Sara buvo sparčiai augančios finansinių technologijų įmonės vyriausioji informacijos saugumo vadovė (CISO) ir iš karto suprato, kad tai nėra įprasta turto valdymo problema. Pardavimų direktorius intensyviai naudojo savo asmeninį iPad. Iš viešbučių kambarių, oro uostų laukimo salių ir klientų objektų jis jungėsi prie CRM įrašų, el. pašto, jautrių potencialių klientų sąrašų, bendradarbiavimo darbo erdvių ir mokėjimų srautų valdymo skydelių.

Per kelias minutes situacija pablogėjo. Įrenginys nebuvo įtrauktas į mobiliųjų įrenginių valdymą. Nebuvo patvirtinimo, kad jis užšifruotas. Nebuvo nuotolinio duomenų ištrynimo galimybės. Sąlyginės prieigos taisyklės buvo nustatytos, tačiau pardavimų direktoriui prieš kelis mėnesius buvo suteikta išimtis, nes jis „nuolat keliauja“. Privatumo komanda negalėjo patvirtinti, kokie klientų duomenys buvo įrašyti vietinėje talpykloje. Atitikties vadovas persiuntė naują išorės auditoriaus pranešimą: „Prašome pateikti įrodymus, kad asmeniniai mobilieji įrenginiai, turintys prieigą prie klientų duomenų, yra valdomi, stebimi, šifruojami ir gali būti pašalinti iš eksploatacijos, jei kompromituojami.“

Prarastas iPad nebuvo tikroji krizė. Tai buvo įspėjamasis šūvis.

Tai yra mobiliųjų įrenginių ir BYOD valdysenos problema 2026 m. Asmeniniai telefonai ir planšetės nebėra vien darbuotojų patogumo priemonės. Tai verslo galiniai įrenginiai, tapatybės veiksniai, duomenų saugyklos, mokėjimų tvirtinimo priemonės, privilegijuotosios prieigos palydovai ir incidentų pranešimo kanalai. Viename asmeniniame įrenginyje gali būti autentifikatoriaus programa administratoriaus lygmens prieigai, organizacijos el. paštas su asmens duomenimis, talpykloje saugomi debesijos failai, reglamentuojamos informacijos ekrano kopijos, aktyvios naršyklės sesijos į SaaS konsoles ir prieigos raktai operacinėms priemonėms.

CISO, atitikties vadovams ir valdyboms klausimas nebėra „Ar leidžiame BYOD?“. Tikrasis klausimas yra: „Ar galime įrodyti, kad kiekvienas mobiliosios prieigos kelias yra valdomas, įvertintas pagal riziką, techniškai kontroliuojamas, stebimas ir atkuriamas?“

Atsakymui neturėtų reikėti atskirų atitikties programų ISO 27001, NIS2, DORA ir GDPR. Tinkamai apibrėžtos taikymo srities ISO/IEC 27001:2022 ISO/IEC 27001:2022 informacijos saugumo valdymo sistema gali įtraukti mobiliosios prieigos ir BYOD riziką į politikas, turto savininkystę, prieigos kontrolę, įrenginių atitiktį, žurnalų tvarkymą, reagavimą į incidentus, privatumo kontrolės priemones ir tiekėjų įrodymus. Clarysec metodas – vieną kartą sukurti įrodymus ir pakartotinai juos naudoti NIS2 kibernetinei higienai, DORA IRT rizikos valdymui ir GDPR Article 32 tvarkymo saugumui pagrįsti.

Kodėl BYOD tapo valdybos lygmens atitikties klausimu

Hibridinis darbas pavertė mobiliąją prieigą nuolatine. Pardavimų vadovai tvirtina sutartis iš asmeninių iPhone. Finansų vadovai autorizuoja mokėjimus iš planšečių. Inžinieriai naudoja autentifikatoriaus programas savo telefonuose. Vadovai keliauja su organizacijos el. paštu asmeniniuose įrenginiuose, nes tai patogu. Rangovai jungiasi prie užduočių per mobiliąsias naršykles. Pagalbos komandos incidentų įspėjimus gauna per mobiliąsias susirašinėjimo programas.

Šis lankstumas sukuria valdysenos spragą, kai prieiga plečiasi greičiau nei politikos ir kontrolės priemonių projektavimas.

NIS2 šią spragą perkelia į valdymo organų lygmenį. Article 20 reikalauja, kad valdymo organai patvirtintų kibernetinio saugumo rizikos valdymo priemones, prižiūrėtų jų įgyvendinimą ir dalyvautų mokymuose. Article 21 reikalauja tinkamų ir proporcingų techninių, operacinių ir organizacinių priemonių, įskaitant rizikos analizę, incidentų valdymą, veiklos tęstinumą, tiekimo grandinės saugumą, saugų įsigijimą ir priežiūrą, veiksmingumo vertinimą, kibernetinę higieną, kriptografiją, žmogiškųjų išteklių saugumą, prieigos kontrolę ir turto apskaitą. Mobilioji ir BYOD valdysena paliečia beveik kiekvieną iš šių temų.

DORA padidina šio klausimo reikšmę finansų subjektams. Nuo 2025 m. sausio DORA reikalauja dokumentuotos IRT rizikos valdymo sistemos, valdymo organo priežiūros, IRT veiklos tęstinumo, IRT incidentų valdymo, skaitmeninio operacinio atsparumo testavimo ir IRT trečiųjų šalių rizikos valdymo. Jei darbuotojai prie kritinių ar svarbių funkcijų jungiasi per mobiliuosius įrenginius, šie įrenginiai yra IRT rizikos paviršiaus dalis. Mobiliųjų įrenginių valdymo arba vieningo galinių įrenginių valdymo paslaugų teikėjas taip pat gali tapti svarbus IRT trečiųjų šalių įrodymams, jei jis saugo prieigą prie reglamentuojamų operacijų.

GDPR prideda atskaitomybės perspektyvą. Article 5 reikalauja, kad asmens duomenys būtų tvarkomi saugiai, ir kad duomenų valdytojas galėtų įrodyti atitiktį. Article 32 reikalauja tinkamų techninių ir organizacinių priemonių, įskaitant konfidencialumą, vientisumą, prieinamumą, atsparumą ir galimybę prireikus atkurti prieigą. Praktikoje privatumo peržiūras atliekantys asmenys kelia konkrečius klausimus: kas gali pasiekti asmens duomenis iš mobiliųjų įrenginių? Kaip ribojama prieiga? Kas vyksta praradus telefoną? Ar organizacijos duomenys gali būti ištrinti nepažeidžiant asmens privatumo? Ar žurnalai saugomi? Ar yra pažeidimo vertinimo įrodymai?

ISO/IEC 27001:2022 suteikia veiklos modelį. 4.1–4.4 punktai reikalauja, kad organizacijos nustatytų vidinius ir išorinius veiksnius, suinteresuotųjų šalių reikalavimus, reglamentavimo įpareigojimus, taikymo sritį ir priklausomybes. 5 punktas reikalauja lyderystės, vaidmenų ir atsakomybių. 6 punktas reikalauja rizikos vertinimo ir rizikos tvarkymo. 8.2 ir 8.3 punktai reikalauja, kad organizacija atliktų informacijos saugumo rizikos vertinimus ir įgyvendintų rizikos tvarkymo planus.

Tai reiškia, kad BYOD negali likti pamirštame IT memorandume. Jis turi būti ISVS taikymo srityje, kur valdomos teisinės prievolės, klientų lūkesčiai, operacinės priklausomybės ir rizikos tvarkymo sprendimai.

ISO 27001 kontrolės priemonių klasteris mobiliajai ir BYOD valdysenai

Clarysec mobiliąją valdyseną paprastai pradeda nuo trijų ISO/IEC 27001:2022 A priedo kontrolės priemonių klasterio, paremto ISO/IEC 27002:2022 įgyvendinimo gairėmis.

Zenith Controls: The Cross-Compliance Guide Zenith Controls Clarysec šias kontrolės priemones traktuoja kaip viena kitą stiprinančias. Naudotojų galinių įrenginių srityje Zenith Controls A.8.1 kontrolės priemonę klasifikuoja kaip prevencinę, palaikančią konfidencialumą, vientisumą ir prieinamumą, susietą su Protect kibernetinio saugumo koncepcija ir operaciniais turto valdymo bei informacijos apsaugos gebėjimais.

Gidas taip pat paaiškina, kodėl galinių įrenginių kontrolės priemonės tiesiogiai siejasi su priimtinu naudojimu, nuotoliniu darbu, prieigos ribojimu, saugiu autentifikavimu, fizine apsauga, konfidencialumo įsipareigojimais ir informuotumo mokymais.

„Galiniai įrenginiai yra pagrindinės platformos, per kurias įgyvendinamos priimtino naudojimo politikos.“
Šaltinis: Zenith Controls, naudotojų galiniai įrenginiai, kontrolė 8.1 Zenith Controls

Nuotolinio darbo srityje Zenith Controls A.6.7 susieja su A.7.9 turto saugumu už organizacijos patalpų ribų, A.8.1 naudotojų galiniais įrenginiais, A.5.1 informacijos saugumo politikomis, A.6.3 informacijos saugumo informuotumu, švietimu ir mokymais, A.5.14 informacijos perdavimu, A.8.20 tinklų saugumu, A.8.22 tinklų atskyrimu, A.7.7 švariu stalu ir švariu ekranu, A.5.29 informacijos saugumu sutrikimų metu ir A.5.30 IRT pasirengimu veiklos tęstinumui.

Šis susiejimas atspindi, kaip auditai vyksta praktiškai. Auditorius nesustoja ties klausimu „Ar turite BYOD politiką?“. Jis tikrina, ar politika įgyvendinta, ar įrenginiai įtraukti, ar prieiga priklauso nuo atitikties, ar yra žurnalai, ar naudotojai apmokyti, ar prarastų įrenginių incidentai tvarkomi ir ar išimtys priimtos pagal riziką.

Politikos pagrindas: valdysenos taisyklės aiškiai įvardijamos

Pagrįsta BYOD programa prasideda nuo aiškių taisyklių. Clarysec politikų biblioteka pateikia tiek MVĮ, tiek įmonėms skirtus modelius, kad organizacijos galėtų plėsti reikalavimus neprarasdamos audito aiškumo.

MVĮ atveju Clarysec Mobiliųjų įrenginių ir BYOD politika MVĮ Mobiliųjų įrenginių ir BYOD politika – MVĮ sukuria paprastą valdysenos kontrolės tašką:

„Asmeniniai BYOD įrenginiai prieš naudojimą turi būti patvirtinti generalinio vadovo.“
Šaltinis: Mobiliųjų įrenginių ir BYOD politika MVĮ, valdysenos reikalavimai, punktas 5.1.1 Mobiliųjų įrenginių ir BYOD politika – MVĮ

Šis trumpas sakinys uždaro dažną audito spragą. Jis užkerta kelią nebyliai asmeninių įrenginių prieigai, sukuria patvirtinimo tašką ir suteikia verslo savininkui arba generaliniam vadovui aiškų valdysenos vaidmenį. Jis taip pat palaiko ISO 27001 5.1–5.3 punktus, pagal kuriuos aukščiausioji vadovybė turi demonstruoti lyderystę, komunikuoti lūkesčius ir priskirti atsakomybes.

MVĮ politika taip pat aiškiai nustato bazinį įgyvendinimą:

„Toliau nurodytos kontrolės priemonės turi būti taikomos visiems mobiliesiems įrenginiams (organizacijos ir BYOD):“
Šaltinis: Mobiliųjų įrenginių ir BYOD politika MVĮ, valdysenos reikalavimai, punktas 5.2.1 Mobiliųjų įrenginių ir BYOD politika – MVĮ

Reglamentuojamoms arba didesnėms organizacijoms Clarysec Mobiliųjų įrenginių ir BYOD politika Mobiliųjų įrenginių ir BYOD politika yra detalesnė:

„Visi mobilieji įrenginiai (organizacijos arba asmeniniai), turintys prieigą prie organizacijos išteklių, turi būti:
5.1.1 Užregistruoti ir įtraukti į patvirtintą mobiliųjų įrenginių valdymo (MDM) platformą.
5.1.2 Sukonfigūruoti su techninėmis saugumo kontrolės priemonėmis, įskaitant privalomą šifravimą ir autentifikavimą.
5.1.3 Stebimi dėl atitikties nustatytiems operacinės sistemos (OS) ir pataisų baziniams reikalavimams.“
Šaltinis: Mobiliųjų įrenginių ir BYOD politika, valdysenos reikalavimai, punktas 5.1 Mobiliųjų įrenginių ir BYOD politika

Tai audituojama formuluotė. Auditorius gali patikrinti mobiliųjų įrenginių visumą, palyginti ją su prieigos žurnalais, atrinkti įtraukimo įrašų pavyzdžius ir patikrinti, ar šifravimo, autentifikavimo ir pataisų baziniai reikalavimai yra privalomai taikomi.

BYOD taip pat reikalauja privatumui jautrių sutikimo ribų. Įmonėms skirta politika nustato:

„Nuosavų įrenginių naudojimo (BYOD) prieiga suteikiama tik formaliai priėmus organizacijos BYOD naudojimo susitarimą, kuris apima:
5.2.1 Sutikimą dėl organizacijos konteinerių arba valdomų taikomųjų programų stebėsenos
5.2.2 Patvirtinimą dėl mobiliųjų įrenginių valdymo (MDM) kontrolės priemonių, pvz., nuotolinio duomenų ištrynimo arba užrakinimo
5.2.3 Susitarimą dėl savanoriško dalyvavimo ir teisės pasitraukti“
Šaltinis: Mobiliųjų įrenginių ir BYOD politika, valdysenos reikalavimai, punktas 5.2 Mobiliųjų įrenginių ir BYOD politika

Šis punktas yra esminis suderinimui su GDPR. Jis paaiškina, kad stebėsena taikoma organizacijos konteineriams arba valdomoms taikomosioms programoms, dokumentuoja darbuotojo patvirtinimą dėl užrakinimo arba nuotolinio duomenų ištrynimo ir išlaiko teisę pasitraukti. Tai padeda atskirti teisėtą organizacijos saugumo stebėseną nuo perteklinės asmeninio gyvenimo priežiūros.

Nuo politikos iki kontrolės priemonių: MDM, konteineriai, prieiga ir žurnalai

Politika tampa valdysena tik tada, kai ji įgyvendinama ir pagrindžiama įrodymais. Praktinis bazinis lygis prasideda nuo įtraukimo.

„Visi mobilieji įrenginiai turi būti įtraukti į mobiliųjų įrenginių valdymo (MDM) sprendimą prieš jiems suteikiant prieigą prie organizacijos sistemų.“
Šaltinis: Mobiliųjų įrenginių ir BYOD politika, politikos įgyvendinimo reikalavimai, punktas 6.1.1 Mobiliųjų įrenginių ir BYOD politika

Įmonių aplinkose tas pats įgyvendinimo sluoksnis turi privalomai taikyti šifravimą, PIN kodą, prieigos kodą arba biometrinį autentifikavimą, užrakinimą dėl neveiklumo, palaikomas OS versijas, „jailbreak“ arba root aptikimą, pataisų bazinius reikalavimus ir išvalymą arba gamyklinių parametrų atkūrimą po pakartotinių nesėkmingų prisijungimo bandymų.

BYOD atveju geresnis projektinis sprendimas paprastai yra valdomos taikomosios programos arba organizacijos konteineriai, o ne viso įrenginio priežiūra. Politikoje tai įtvirtinta taip:

„Organizacijos duomenys turi būti saugomi tik šifruotuose, valdomuose konteineriuose.“
Šaltinis: Mobiliųjų įrenginių ir BYOD politika, politikos įgyvendinimo reikalavimai, punktas 6.6.1 Mobiliųjų įrenginių ir BYOD politika

Tai palaiko GDPR duomenų kiekio mažinimą ir Article 32 tvarkymo saugumą, nes veiklos duomenys apribojami valdomomis zonomis, o asmeninės zonos nelaikomos organizacijos saugyklomis. Tai taip pat suteikia verslui praktinį atsakymą praradus asmeninį telefoną: atšaukti sesijas, ištrinti organizacijos duomenis, išsaugoti žurnalus ir įvertinti galimą duomenų atskleidimą neištrinant asmeninių nuotraukų, žinučių ar taikomųjų programų.

Sąlyginė prieiga tada susieja tapatybę su įrenginio saugumo būsena. Mažiausiai jautrios sistemos turėtų reikalauti įtraukimo, MFA, šifravimo, palaikomos OS, ekrano užrakto, „jailbreak“ arba root nebuvimo, valdomos taikomosios programos prieigos ir atsisiuntimų, iškarpinės bendrinimo ar ekrano fiksavimo apribojimų, kai to reikalauja rizika. Tai praktiškai įgyvendina A.8.1 naudotojų galinių įrenginių, A.8.3 informacijos prieigos ribojimo ir A.8.5 saugaus autentifikavimo reikalavimus.

Žurnalų tvarkymas uždaro kontrolės ciklą. Įmonėms skirta politika reikalauja:

„Mobiliosios prieigos žurnalai turi būti renkami ir saugomi ne trumpiau kaip 90 dienų, kai taikoma – integruojant su centrine SIEM platforma.“
Šaltinis: Mobiliųjų įrenginių ir BYOD politika, valdysenos reikalavimai, punktas 5.6 Mobiliųjų įrenginių ir BYOD politika

Mažesnėms aplinkoms Clarysec Žurnalų tvarkymo ir stebėsenos politika MVĮ Žurnalų tvarkymo ir stebėsenos politika – MVĮ prideda praktinį minimumą:

„BYOD ir nuotolinėse sistemose turi būti įjungtas vietinis žurnalų vedimas autentifikavimo įvykiams ir antivirusinės programinės įrangos aptikimams“
Šaltinis: Žurnalų tvarkymo ir stebėsenos politika MVĮ, politikos įgyvendinimo reikalavimai, punktas 6.3.1 Žurnalų tvarkymo ir stebėsenos politika – MVĮ

Mobiliosios valdysenos programą be žurnalų sunku apginti. Prarasto įrenginio tyrimui reikia prieigos istorijos, nesėkmingų bandymų, įrenginio atitikties būsenos, sesijų atšaukimo įrodymų ir bet kokios susijusios DLP arba konteinerio veiklos.

Kur mobilioji valdysena patenka į 30 žingsnių veiksmų planą

Clarysec Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint mobiliąją ir BYOD valdyseną išdėsto per kelis įgyvendinimo etapus. BYOD čia nelaikomas vienu politikos dokumentu.

Kontrolės priemonių taikymo etape, 16 žingsnyje „Personalo kontrolės priemonės II“, Zenith Blueprint aptaria nuotolinį darbą ir BYOD:

„Asmeninių įrenginių naudojimas (BYOD) turėtų būti arba draudžiamas, arba leidžiamas tik griežtomis sąlygomis, pvz., įtraukiant į mobiliųjų įrenginių valdymo (MDM) sprendimą, palaikantį duomenų konteinerizavimą ir nuotolinį organizacijos duomenų ištrynimą, jei įrenginys prarandamas arba naudotojas išeina iš organizacijos.“
Šaltinis: Zenith Blueprint, kontrolės priemonių taikymo etapas, 16 žingsnis, personalo kontrolės priemonės II Zenith Blueprint

19 žingsnyje „Technologinės kontrolės priemonės I“ Zenith Blueprint galinius įrenginius apibūdina kaip skaitmeninės sąveikos pradžios tašką:

„Naudotojų galiniai įrenginiai – nešiojamieji kompiuteriai, išmanieji telefonai, planšetės, staliniai kompiuteriai ir net plonieji klientai – yra vieta, kur prasideda skaitmeninė sąveika. Tai durys ir langai į jūsų sistemas.“
Šaltinis: Zenith Blueprint, kontrolės priemonių taikymo etapas, 19 žingsnis, technologinės kontrolės priemonės I Zenith Blueprint

18 žingsnis „Fizinės kontrolės priemonės II“ apima turto saugumą už organizacijos patalpų ribų. Tai apima automobiliuose paliktus įrenginius, viešose erdvėse naudojamas planšetes, į registruotą bagažą atiduotus nešiojamuosius kompiuterius ir neprisijungus saugomus failus. Principas paprastas: net jei įrenginys prarandamas arba pavagiamas, duomenys turi likti nepasiekiami.

Būtent toks sluoksniuotas požiūris leido Sarai pereiti nuo panikos prie valdysenos. Ji nenupirko priemonės ir nepaskelbė, kad problema išspręsta. Ji sujungė personalo taisykles, fizinį elgesį ir techninį įgyvendinimą į vieną audituojamą sistemą.

Vienos savaitės BYOD įrodymų paketo sprintas

Praktinis būdas uždaryti spragą – sukurti BYOD įrodymų paketą. Tai artefaktų rinkinys, kurį CISO gali pateikti auditoriui, reguliuotojui, kliento vertintojui arba valdybos komitetui.

1 dieną identifikuokite organizacijai priklausančius telefonus, asmeninius telefonus, naudojamus MFA, BYOD planšetes, turinčias prieigą prie valdymo skydelių, rangovų mobiliuosius įrenginius, privilegijuotuosius naudotojus, besijungiančius prie administravimo konsolių, ir bet kokią mobiliąją prieigą prie sistemų, tvarkančių asmens duomenis ar finansines operacijas.

6 dieną patikrinkite realistišką scenarijų: pardavimų direktorius praneša, kad oro uoste buvo pavogtas asmeninis telefonas su valdoma organizacijos el. pašto programa. MVĮ politika nustato aiškų pranešimo lūkestį:

„Apie prarastus, pavogtus arba kompromituotus įrenginius generaliniam vadovui turi būti pranešta per 1 valandą“
Šaltinis: Mobiliųjų įrenginių ir BYOD politika MVĮ, politikos įgyvendinimo reikalavimai, punktas 6.4.1 Mobiliųjų įrenginių ir BYOD politika – MVĮ

Pratybos turi patikrinti, ar komanda gali identifikuoti įrenginį, atšaukti sesijas, nuotoliniu būdu ištrinti organizacijos duomenis, išsaugoti žurnalus, įvertinti galimą asmens duomenų atskleidimą, nuspręsti, ar reikalinga GDPR pažeidimo analizė, ir nustatyti, ar gali būti pasiekti NIS2 arba DORA pranešimo slenksčiai.

Kryžminė atitiktis: viena mobilioji programa, keturios įrodymų istorijos

ISO 27001 pagrįstos BYOD valdysenos vertė yra pakartotinis naudojimas. Vienas kontrolės priemonių rinkinys gali sukurti įrodymus keliems įpareigojimams, jei jis tinkamai struktūruotas.

Ta pati logika taikoma kontrolės priemonių lygmeniu.

NIS2 atveju svarbi taikymo sritis. Skaitmeninės infrastruktūros teikėjai, debesijos paslaugų teikėjai, duomenų centrų paslaugų teikėjai, turinio pristatymo tinklai, DNS teikėjai, TLD registrai, patikimumo užtikrinimo paslaugų teikėjai, viešųjų elektroninių ryšių teikėjai, B2B valdomų paslaugų teikėjai ir valdomų saugumo paslaugų teikėjai gali patekti į esminių arba svarbių subjektų kategorijas, priklausomai nuo dydžio, sektoriaus ir nacionalinio įgyvendinimo. Nevaldoma mobilioji prieiga prie operacinių sistemų tokiame kontekste nėra mažareikšmė IT išimtis. Tai valdysenos klausimas.

DORA atveju MDM arba UEM teikėjas gali tapti trečiųjų šalių rizikos įrodymų dalimi, jei jis palaiko prieigą prie kritinių ar svarbių funkcijų. DORA orientuotos organizacijos turėtų dokumentuoti deramą patikrinimą, paslaugų lygius, duomenų vietas, pagalbą incidentų metu, saugumo priemones, audito teises, pasitraukimo priemones ir, kai aktualu, teikėjo dalyvavimą testavime.

GDPR atveju prarastas asmeninis telefonas automatiškai nėra praneštinas asmens duomenų saugumo pažeidimas. Jis tampa rimtu susirūpinimu, jei organizacijos duomenys yra pasiekiami, nešifruoti, saugomi talpykloje už valdomų konteinerių ribų arba atskleidžiami per aktyvias sesijas. Organizacija turi žinoti, kokie duomenys buvo pasiekiami, ar kontrolės priemonės užkirto kelią neteisėtai prieigai ir ar žurnalai pagrindžia išvadą.

Kaip auditoriai testuos BYOD valdyseną

Brandži programa turi būti pasirengusi skirtingiems audito stiliams.

Zenith Blueprint audito kontrolinis sąrašas nuotoliniam darbui yra tiesioginis: auditoriai tikrins, ar politika įgyvendinta, o ne tik dokumentuota. Būkite pasirengę pateikti formalią politiką, paaiškinti įgyvendinimą, pvz., VPN naudojimą, galinių įrenginių šifravimą arba MDM, parodyti BYOD įtraukimą arba apribojimus, pateikti mokymų įrašus ir įrodyti, kad nuotoliniai darbuotojai supranta savo pareigas.

NIST CSF 2.0 suteikia naudingą papildomą modelį. Jo GOVERN funkcija reikalauja suprasti ir valdyti teisinius, reglamentavimo ir sutartinius kibernetinio saugumo reikalavimus, integruoti kibernetinio saugumo riziką į įmonės rizikos valdymą, apibrėžti vaidmenis ir įgaliojimus, nustatyti ir stebėti politikas bei vertinti veiklos rezultatus. Mobiliosios valdysenos praktinis tikslinis profilis galėtų skambėti taip: visi įrenginiai, turintys prieigą prie asmens duomenų arba kritinių verslo sistemų, yra įtraukti, šifruoti, atitinkantys reikalavimus, stebimi ir gali būti pašalinti per vieną valandą nuo pranešimo apie kompromitavimą.

Dažnos BYOD audito išvados

Mobiliosios valdysenos išvados retai kyla iš vieno katastrofiško nesuveikimo. Dažniausiai jos atsiranda iš mažų išimčių, kurios niekada nebuvo uždarytos.

Dažnos išvados:

• BYOD praktikoje leidžiamas, bet formaliai nepatvirtintas
• Autentifikatoriaus programos laikomos esančiomis už ISVS taikymo srities ribų
• MDM sukonfigūruotas organizacijos įrenginiams, bet ne asmeniniams įrenginiams, turintiems organizacijos prieigą
• Vadovai neįtraukti į įrenginių atitikties bazinius reikalavimus
• Sąlyginė prieiga apeinama per senus protokolus arba nevaldomas naršykles
• Asmeniniai įrenginiai jungiasi prie el. pašto be konteinerizavimo
• Mobilieji žurnalai saugomi SaaS platformose, bet neperžiūrimi ir neeksportuojami
• Prarasto įrenginio procedūra egzistuoja, bet darbuotojai nežino pranešimo termino
• Nėra privatumo formuluočių, paaiškinančių, ką įmonė gali ir ko negali stebėti
• Nėra įrodymų, kad mobiliosios išimtys yra terminuotos ir priimtos pagal riziką
• MDM tiekėjas neįtrauktas į IRT trečiųjų šalių rizikos valdymą
• Nėra stalo pratybų mobiliojo įrenginio kompromitavimo scenarijui
• Nėra BYOD kontrolės priemonių susiejimo su GDPR Article 32, NIS2 arba DORA įrodymais

Kiekvieną išvadą galima ištaisyti. Problema paprastai nėra priemonių trūkumas. Tai savininkystės, įrodymų projektavimo ir kryžminės atitikties susiejimo trūkumas.

Valdybos lygmens istorija

Vadovybei nereikia kiekvienos MDM konfigūracijos detalės. Jai reikia aiškaus atskaitomybės naratyvo.

Tvirta valdybos lygmens BYOD pozicija sako:

1. Žinome, kurie mobilieji įrenginiai turi prieigą prie organizacijos išteklių.
2. Atskiriame organizacijai priklausančią ir BYOD prieigą.
3. BYOD yra savanoriškas, patvirtintas ir valdomas susitarimu.
4. Organizacijos duomenys yra šifruoti ir izoliuoti.
5. Prieiga priklauso nuo įrenginio atitikties.
6. Žurnalai saugomi ir peržiūrimi.
7. Apie prarastus arba kompromituotus įrenginius pranešama greitai.
8. Organizacijos duomenys gali būti ištrinti arba prieiga atšaukta.
9. Asmens duomenų rizikos vertinamos pagal GDPR.
10. Išimtys patvirtinamos, ribojamos laiku ir peržiūrimos.

Tai susieja mobiliąją valdyseną su rizikos apetitu, operaciniu atsparumu, teisine atskaitomybe ir klientų pasitikėjimu. Tai taip pat suteikia valdymo organams įrodymus, reikalingus priežiūrai pagal NIS2 ir DORA pagrįsti.

Kaip padeda Clarysec

Clarysec mobiliosios ir BYOD valdysenos modelis sujungia politiką, įgyvendinimą ir kryžminės atitikties susiejimą.

Pirma, politikų biblioteka suteikia organizacijoms lengvai pritaikomą valdysenos kalbą. Mobiliųjų įrenginių ir BYOD politika MVĮ yra praktiška mažesnėms įmonėms, kurioms reikia aiškių patvirtinimo ir pranešimo taisyklių. Mobiliųjų įrenginių ir BYOD politika palaiko reglamentuojamas aplinkas, kurioms reikalingi MDM, šifravimas, autentifikavimas, OS baziniai reikalavimai, DLP, konteineriai, žurnalų tvarkymas ir formalūs BYOD susitarimai.

Antra, Zenith Blueprint pateikia įgyvendinimo kelią. Jis parodo, kur mobilioji valdysena priklauso 30 žingsnių audito veiksmų plane: nuotolinis darbas, turto saugumas už organizacijos patalpų ribų ir galinių įrenginių kontrolės priemonės. Tai užkerta kelią dažnai klaidai BYOD laikyti vienu dokumentu, o ne gyva kontrolės sistema.

Trečia, Zenith Controls suteikia kryžminės atitikties kompasą. Jis susieja ISO/IEC 27001:2022 A priedo kontrolės priemones A.8.1, A.6.7 ir A.7.9 su susijusiomis kontrolės priemonėmis, palaikomais standartais ir audito lūkesčiais. Šis susiejimas padeda CISO atsakyti į tikrąjį reguliuotojo klausimą: parodykite, kad jūsų mobilioji valdysena yra proporcinga, įgyvendinta ir veiksminga.

Kiti žingsniai: sukurkite pagrįstą BYOD įrodymų paketą

Jei jūsų organizacija leidžia mobiliąją arba BYOD prieigą, nelaukite, kol prarastas iPad atskleis įrodymų spragą.

Pradėkite nuo kryptingo vertinimo:

• Išvardykite kiekvieną mobiliosios prieigos kelią prie organizacijos duomenų ir kritinių sistemų.
• Palyginkite faktinę prieigą su Mobiliųjų įrenginių ir BYOD politika Mobiliųjų įrenginių ir BYOD politika arba Mobiliųjų įrenginių ir BYOD politika MVĮ Mobiliųjų įrenginių ir BYOD politika – MVĮ.
• Sukurkite vieno puslapio mobiliosios rizikos registro įrašą, susietą su ISO/IEC 27001:2022 ISO/IEC 27001:2022.
• Naudokite Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, kad įgyvendintumėte nuotolinio darbo, turto už organizacijos patalpų ribų ir galinių įrenginių kontrolės priemones.
• Naudokite Zenith Controls: The Cross-Compliance Guide Zenith Controls, kad susietumėte įrodymus su NIS2, DORA, GDPR, NIST ir COBIT 19 lūkesčiais.
• Naudokite Žurnalų tvarkymo ir stebėsenos politika MVĮ Žurnalų tvarkymo ir stebėsenos politika – MVĮ, kad apibrėžtumėte praktinius žurnalų tvarkymo lūkesčius mažesnėms aplinkoms.
• Surenkite prarasto įrenginio stalo pratybas ir išsaugokite įrodymus.

Clarysec gali padėti nevaldomą mobiliąją prieigą paversti pagrįsta, audituojama valdysenos programa. Atsisiųskite politikas, susiekite kontrolės priemones naudodami Zenith Controls, įgyvendinkite veiksmų planą su Zenith Blueprint ir suplanuokite Clarysec vertinimą prieš tai, kai kitas auditorius užduos 8:12 val. klausimą.