BYOD pārvaldība ISO 27001, NIS2, DORA un GDPR vajadzībām

Pazudušais iPad plkst. 8:12

Plkst. 8:12 Sāras ekrānā parādījās šķietami parasts atbalsta pieteikums: “Pazudis iPad, pārdošanas direktors.”

Sāra bija strauji augoša finanšu tehnoloģiju uzņēmuma informācijas drošības vadītāja (CISO), un viņa uzreiz saprata, ka tas nav parasts aktīvu pārvaldības jautājums. Pārdošanas direktors intensīvi izmantoja savu personīgo iPad. No viesnīcu numuriem, lidostu uzgaidāmajām zonām un klientu objektiem viņš piekļuva CRM ierakstiem, e-pastam, sensitīviem potenciālo klientu sarakstiem, sadarbības darba telpām un maksājumu plūsmas informācijas paneļiem.

Dažu minūšu laikā situācija pasliktinājās. Ierīce nebija reģistrēta mobilo ierīču pārvaldībā. Nebija apstiprinājuma, ka tā ir šifrēta. Nebija attālinātas dzēšanas iespējas. Nosacītās piekļuves noteikumi pastāvēja, taču pārdošanas direktoram pirms vairākiem mēnešiem bija piešķirts izņēmums, jo viņš “vienmēr ceļo”. Datu aizsardzības komanda nevarēja apstiprināt, kādi klientu dati bija lokāli saglabāti kešatmiņā. Atbilstības vadītājs pārsūtīja jaunu ziņu no ārējā auditora: “Lūdzu, sniedziet pierādījumus, ka personīgās mobilās ierīces, kas piekļūst klientu datiem, tiek pārvaldītas, uzraudzītas, šifrētas un kompromitēšanas gadījumā atslēdzamas no lietošanas.”

Pazudušais iPad nebija īstais sprādziens. Tas bija brīdinājuma šāviens.

Tā ir mobilo ierīču un BYOD pārvaldības problēma 2026. gadā. Personīgie tālruņi un planšetdatori vairs nav darbinieku ērtības rīki. Tie ir biznesa galapunkti, identitātes faktori, datu glabātuves, maksājumu apstiprināšanas rīki, priviliģētas piekļuves palīgi un incidentu ziņošanas kanāli. Viena personīga ierīce var saturēt autentifikatora lietotni administratora piekļuvei, uzņēmuma e-pastu ar personas datiem, kešatmiņā saglabātas mākoņdatnes, reglamentētas informācijas ekrānuzņēmumus, aktīvas pārlūkprogrammas sesijas SaaS konsolēs un piekļuves marķierus darbības rīkiem.

CISO, atbilstības vadītājiem un valdēm jautājums vairs nav: “Vai mēs atļaujam BYOD?” Patiesais jautājums ir: “Vai mēs varam pierādīt, ka katrs mobilās piekļuves ceļš ir pārvaldīts, risku ziņā izvērtēts, tehniski kontrolēts, uzraudzīts un atjaunojams?”

Atbildei nav jāprasa atsevišķas atbilstības programmas ISO 27001, NIS2, DORA un GDPR vajadzībām. Pareizi definēta ISO/IEC 27001:2022 ISO/IEC 27001:2022 informācijas drošības pārvaldības sistēma var iekļaut mobilo ierīču un BYOD risku politikās, aktīvu īpašumtiesībās, piekļuves kontrolē, ierīču atbilstībā, žurnālu reģistrēšanā, reaģēšanā uz incidentiem, privātuma kontroles pasākumos un piegādātāju pierādījumos. Clarysec pieeja ir šos pierādījumus izveidot vienreiz un pēc tam atkārtoti izmantot NIS2 kiberdrošības higiēnai, DORA IKT risku pārvaldībai un GDPR Article 32 apstrādes drošībai.

Kāpēc BYOD tagad ir valdes līmeņa atbilstības jautājums

Hibrīddarbs mobilo piekļuvi ir padarījis pastāvīgu. Pārdošanas vadītāji apstiprina līgumus no personīgajiem iPhone. Finanšu vadītāji autorizē maksājumus no planšetdatoriem. Inženieri izmanto autentifikatora lietotnes savos tālruņos. Vadītāji ceļo ar uzņēmuma e-pastu personīgajās ierīcēs, jo tas ir ērti. Līgumslēdzēji piekļūst lietojumprogrammām no mobilajām pārlūkprogrammām. Atbalsta komandas saņem incidentu brīdinājumus mobilajās ziņapmaiņas lietotnēs.

Šī elastība rada pārvaldības plaisu, ja piekļuve aug ātrāk nekā politika un kontroles pasākumu izstrāde.

NIS2 padara šo plaisu redzamu vadības līmenī. Article 20 pieprasa vadības struktūrām apstiprināt kiberdrošības risku pārvaldības pasākumus, pārraudzīt ieviešanu un saņemt apmācību. Article 21 pieprasa atbilstošus un samērīgus tehniskus, operatīvus un organizatoriskus pasākumus, tostarp riska analīzi, incidentu apstrādi, darbības nepārtrauktību, piegādes ķēdes drošību, drošu iegādi un uzturēšanu, efektivitātes izvērtēšanu, kiberdrošības higiēnu, kriptogrāfiju, personāla drošību, piekļuves kontroli un aktīvu pārvaldību. Mobilo ierīču un BYOD pārvaldība skar gandrīz katru no šīm tēmām.

DORA paaugstina prasību līmeni finanšu iestādēm. Kopš 2025. gada janvāra DORA pieprasa dokumentētu IKT risku pārvaldības ietvaru, vadības struktūras pārraudzību, IKT darbības nepārtrauktību, IKT incidentu pārvaldību, digitālās darbības noturības testēšanu un IKT trešo pušu risku pārvaldību. Ja darbinieki piekļūst kritiskām vai svarīgām funkcijām, izmantojot mobilās ierīces, šīs ierīces ir daļa no IKT riska virsmas. Mobilo ierīču pārvaldības vai vienotās galapunktu pārvaldības pakalpojumu sniedzējs var kļūt nozīmīgs arī IKT trešo pušu pierādījumiem, ja tas aizsargā piekļuvi reglamentētām darbībām.

GDPR pievieno pārskatatbildības perspektīvu. Article 5 pieprasa personas datus apstrādāt droši un pieprasa pārzinim spēt pierādīt atbilstību. Article 32 pieprasa atbilstošus tehniskus un organizatoriskus pasākumus, tostarp konfidencialitāti, integritāti, pieejamību, noturību un spēju vajadzības gadījumā atjaunot piekļuvi. Praksē datu aizsardzības izvērtētāji uzdod konkrētus jautājumus: kas var piekļūt personas datiem no mobilajām ierīcēm? Kā piekļuve tiek ierobežota? Kas notiek, ja tālrunis pazūd? Vai uzņēmuma datus var dzēst, nepārkāpjot personas privātumu? Vai žurnāli tiek glabāti? Vai ir pieejami pārkāpuma izvērtēšanas pierādījumi?

ISO/IEC 27001:2022 nodrošina darbības modeli. 4.1 līdz 4.4 punkti pieprasa organizācijām noteikt iekšējos un ārējos apstākļus, ieinteresēto pušu prasības, regulatīvos pienākumus, darbības jomu un atkarības. 5. punkts pieprasa vadību, lomas un pienākumus. 6. punkts pieprasa risku izvērtēšanu un apstrādi. 8.2 un 8.3 punkti pieprasa organizācijai veikt informācijas drošības risku izvērtēšanu un ieviest riska apstrādes plānus.

Tas nozīmē, ka BYOD nedrīkst palikt aizmirstā IT piezīmē. Tam jābūt ISMS darbības jomā, kur tiek pārvaldīti juridiskie pienākumi, klientu gaidas, operacionālās atkarības un riska apstrādes lēmumi.

ISO 27001 kontroles pasākumu kopa mobilo ierīču un BYOD pārvaldībai

Clarysec mobilo ierīču pārvaldību parasti sāk ar trīs kontroles pasākumu kopu no ISO/IEC 27001:2022 Annex A, ko atbalsta ISO/IEC 27002:2022 ieviešanas norādījumi.

Zenith Controls: The Cross-Compliance Guide Zenith Controls ietvaros Clarysec šos kontroles pasākumus traktē kā savstarpēji pastiprinošus. Lietotāju galapunktu ierīcēm Zenith Controls klasificē kontroles pasākumu A.8.1 kā preventīvu, kas atbalsta konfidencialitāti, integritāti un pieejamību, ir kartēts uz Protect kiberdrošības konceptu un aktīvu pārvaldības un informācijas aizsardzības operacionālajām spējām.

Rokasgrāmata arī skaidro, kāpēc galapunktu ierīču kontroles pasākumi tieši saistās ar pieņemamu lietošanu, attālināto darbu, piekļuves ierobežošanu, drošu autentifikāciju, fizisko aizsardzību, konfidencialitātes pienākumiem un drošības izpratnes apmācību.

“Galapunktu ierīces ir primārās platformas, ar kuru palīdzību tiek piemērotas pieņemamas lietošanas politikas.”
Avots: Zenith Controls, lietotāju galapunktu ierīces, kontroles pasākums 8.1 Zenith Controls

Attālinātajam darbam Zenith Controls kartē A.6.7 uz A.7.9 aktīvu drošību ārpus organizācijas telpām, A.8.1 lietotāju galapunktu ierīcēm, A.5.1 informācijas drošības politikām, A.6.3 informācijas drošības informētību, izglītību un apmācību, A.5.14 informācijas pārsūtīšanu, A.8.20 tīklu drošību, A.8.22 tīklu nodalīšanu, A.7.7 tīro galdu un tīro ekrānu, A.5.29 informācijas drošību traucējumu laikā un A.5.30 IKT gatavību darbības nepārtrauktībai.

Šis kartējums atspoguļo to, kā auditi notiek praksē. Auditors neapstājas pie jautājuma: “Vai jums ir BYOD politika?” Auditori pārbauda, vai politika ir ieviesta, vai ierīces ir reģistrētas, vai piekļuve ir atkarīga no atbilstības, vai pastāv žurnāli, vai lietotāji ir apmācīti, vai pazudušu ierīču incidenti tiek apstrādāti un vai izņēmumi ir pieņemti kā risks.

Politikas pamats: skaidri formulēti pārvaldības noteikumi

Aizstāvama BYOD programma sākas ar skaidriem noteikumiem. Clarysec politiku bibliotēka nodrošina gan MVU, gan uzņēmuma līmeņa modeļus, lai organizācijas varētu mērogot prasības, nezaudējot audita skaidrību.

MVU vajadzībām Clarysec Mobile Device and BYOD Policy-sme Mobilo ierīču un BYOD politika — MVU izveido vienkāršu pārvaldības kontrolpunktu:

“Personīgās BYOD ierīces pirms lietošanas jāapstiprina ģenerāldirektoram.”
Avots: Mobile Device and BYOD Policy-sme, pārvaldības prasības, 5.1.1. punkts Mobilo ierīču un BYOD politika — MVU

Šis īsais teikums noslēdz bieži sastopamu audita plaisu. Tas novērš klusu personīgo ierīču piekļuvi, izveido apstiprināšanas punktu un piešķir uzņēmuma īpašniekam vai ģenerāldirektoram redzamu pārvaldības lomu. Tas arī atbalsta ISO 27001 5.1 līdz 5.3 punktus, kuros augstākajai vadībai jādemonstrē vadība, jākomunicē gaidas un jāpiešķir pienākumi.

MVU politika arī skaidri nosaka pamatlīmeņa piemērošanu:

“Šādi kontroles pasākumi jāpiemēro visām mobilajām ierīcēm (uzņēmumam piederošām un BYOD):”
Avots: Mobile Device and BYOD Policy-sme, pārvaldības prasības, 5.2.1. punkts Mobilo ierīču un BYOD politika — MVU

Reglamentētām vai lielākām organizācijām Clarysec Mobile device and byod policy Mobilo ierīču un BYOD politika nosaka konkrētākas prasības:

“Visām mobilajām ierīcēm (uzņēmuma vai personīgajām), kas piekļūst organizācijas resursiem, jābūt:
5.1.1 Reģistrētām un pievienotām apstiprinātai mobilo ierīču pārvaldības (MDM) platformai.
5.1.2 Konfigurētām ar tehniskiem drošības kontroles pasākumiem, tostarp obligātu šifrēšanu un autentifikāciju.
5.1.3 Uzraudzītām attiecībā uz atbilstību definētajiem operētājsistēmas (OS) un ielāpu pamatlīmeņiem.”
Avots: Mobile device and byod policy, pārvaldības prasības, 5.1. punkts Mobilo ierīču un BYOD politika

Tā ir auditam gatava valoda. Auditors var pārbaudīt mobilo ierīču kopu, salīdzināt to ar piekļuves žurnāliem, izlases veidā pārbaudīt reģistrācijas ierakstus un verificēt, ka šifrēšanas, autentifikācijas un ielāpu pamatlīmeņi tiek piemēroti.

BYOD prasa arī privātumam atbilstošas piekrišanas robežas. Uzņēmuma līmeņa politika nosaka:

“Bring Your Own Device (BYOD) piekļuve jāpiešķir tikai pēc organizācijas Bring Your Own Device (BYOD) lietošanas vienošanās formālas akceptēšanas, kas ietver:
5.2.1 Piekrišanu uzņēmuma konteineru vai pārvaldīto lietotņu uzraudzībai
5.2.2 Apliecinājumu par mobilo ierīču pārvaldības (MDM) kontroles pasākumiem, piemēram, attālinātu dzēšanu vai bloķēšanu
5.2.3 Vienošanos par brīvprātīgu dalību un tiesībām atteikties”
Avots: Mobile device and byod policy, pārvaldības prasības, 5.2. punkts Mobilo ierīču un BYOD politika

Šis punkts ir būtisks saskaņošanai ar GDPR. Tas precizē, ka uzraudzība attiecas uz korporatīvajiem konteineriem vai pārvaldītajām lietotnēm, dokumentē darbinieka apliecinājumu par bloķēšanu vai attālinātu dzēšanu un saglabā tiesības atteikties. Tas palīdz nošķirt leģitīmu uzņēmuma drošības uzraudzību no pārmērīgas personīgās dzīves novērošanas.

No politikas līdz kontroles pasākumiem: MDM, konteineri, piekļuve un žurnāli

Politika kļūst par pārvaldību tikai tad, kad tā ir ieviesta un pamatota ar pierādījumiem. Praktiskais pamatlīmenis sākas ar reģistrāciju.

“Visām mobilajām ierīcēm pirms piekļuves uzņēmuma sistēmām jābūt reģistrētām mobilo ierīču pārvaldības (MDM) risinājumā.”
Avots: Mobile device and byod policy, politikas ieviešanas prasības, 6.1.1. punkts Mobilo ierīču un BYOD politika

Uzņēmuma vidēs tas pats ieviešanas slānis nodrošina šifrēšanu, PIN, piekļuves kodu vai biometrisko autentifikāciju, neaktivitātes bloķēšanu, atbalstītas OS versijas, jailbreak vai root piekļuves noteikšanu, ielāpu pamatlīmeņus un dzēšanu vai atjaunošanu no attēla pēc atkārtotiem neveiksmīgiem pieteikšanās mēģinājumiem.

BYOD gadījumā labāks dizains parasti ir pārvaldītās lietotnes vai korporatīvie konteineri, nevis visas ierīces novērošana. Politika to formulē šādi:

“Uzņēmuma dati jāglabā tikai šifrētos, pārvaldītos konteineros.”
Avots: Mobile device and byod policy, politikas ieviešanas prasības, 6.6.1. punkts Mobilo ierīču un BYOD politika

Tas atbalsta GDPR datu minimizēšanu un Article 32 apstrādes drošību, jo uzņēmuma dati tiek ierobežoti pārvaldītās zonās, bet personīgās zonas netiek uzskatītas par uzņēmuma repozitorijiem. Tas arī sniedz uzņēmumam praktisku atbildi, ja pazūd personīgs tālrunis: atsaukt sesijas, dzēst uzņēmuma datus, saglabāt žurnālus un izvērtēt ekspozīciju, nedzēšot personīgās fotogrāfijas, ziņojumus vai lietotnes.

Nosacītā piekļuve pēc tam sasaista identitāti ar ierīces drošības stāvokli. Sensitīvām sistēmām minimāli jāpieprasa reģistrācija, MFA, šifrēšana, atbalstīta OS, ekrāna bloķēšana, jailbreak vai root piekļuves pazīmju neesamība, piekļuve ar pārvaldītu lietotni un lejupielāžu, starpliktuves koplietošanas vai ekrānuzņēmumu ierobežojumi, ja to prasa risks. Tas praktiski īsteno A.8.1 lietotāju galapunktu ierīces, A.8.3 informācijas piekļuves ierobežošanu un A.8.5 drošu autentifikāciju.

Žurnālu reģistrēšana noslēdz ciklu. Uzņēmuma līmeņa politika pieprasa:

“Mobilās piekļuves žurnāli jāfiksē un jāglabā vismaz 90 dienas, attiecīgos gadījumos integrējot tos centrālajā SIEM platformā.”
Avots: Mobile device and byod policy, pārvaldības prasības, 5.6. punkts Mobilo ierīču un BYOD politika

Mazākām vidēm Clarysec Logging and Monitoring Policy-sme Žurnālu reģistrēšanas un uzraudzības politika — MVU pievieno praktisku minimumu:

“BYOD un attālinātajām sistēmām jābūt iespējotai lokālai žurnālfiksēšanai autentifikācijas notikumiem un antivīrusu programmatūras detekcijām”
Avots: Logging and Monitoring Policy-sme, politikas ieviešanas prasības, 6.3.1. punkts Žurnālu reģistrēšanas un uzraudzības politika — MVU

Mobilo ierīču pārvaldības programmu bez žurnāliem ir grūti aizstāvēt. Pazudušas ierīces izmeklēšanai nepieciešama piekļuves vēsture, neveiksmīgi mēģinājumi, ierīces atbilstības statuss, sesiju atsaukšanas pierādījumi un attiecīgā DLP vai konteineru darbība.

Kur mobilo ierīču pārvaldība iekļaujas 30 soļu ceļkartē

Clarysec Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint izvieto mobilo ierīču un BYOD pārvaldību vairākos ieviešanas posmos. Tas neuzskata BYOD par vienu politikas dokumentu.

“Controls in Action” posmā, 16. solī “People Controls II”, Zenith Blueprint aplūko attālināto darbu un BYOD:

“Personīgo ierīču izmantošana (BYOD) ir vai nu jāaizliedz, vai jāatļauj tikai ar stingriem nosacījumiem, piemēram, reģistrāciju mobilo ierīču pārvaldības (MDM) risinājumā, kas atbalsta datu konteinerizāciju un uzņēmuma datu attālinātu dzēšanu, ja ierīce pazūd vai lietotājs pārtrauc darba attiecības ar uzņēmumu.”
Avots: Zenith Blueprint, Controls in Action posms, 16. solis, People Controls II Zenith Blueprint

19. solī “Technological Controls I” Zenith Blueprint raksturo galapunktus kā digitālās mijiedarbības sākumpunktu:

“Lietotāju galapunktu ierīces — klēpjdatori, viedtālruņi, planšetdatori, galddatori un pat plānie klienti — ir vieta, kur sākas digitālā mijiedarbība. Tās ir durvis un logi uz jūsu sistēmām.”
Avots: Zenith Blueprint, Controls in Action posms, 19. solis, Technological Controls I Zenith Blueprint

18. solis “Physical Controls II” aptver aktīvu drošību ārpus organizācijas telpām. Tas ietver ierīces, kas atstātas automašīnās, planšetdatorus, kas izmantoti publiskās vietās, bagāžā nodotus klēpjdatorus un bezsaistē glabātas datnes. Princips ir vienkāršs: pat tad, ja ierīce ir pazudusi vai nozagta, datiem jāpaliek nepieejamiem.

Šī slāņveida pieeja ir veids, kā Sāra no panikas pārgāja uz pārvaldību. Viņa nenopirka rīku un nepaziņoja, ka problēma ir atrisināta. Viņa sasaistīja cilvēku noteikumus, fizisko uzvedību un tehnisko piemērošanu vienā auditējamā sistēmā.

Vienas nedēļas BYOD pierādījumu pakas sprints

Praktisks veids, kā aizvērt plaisu, ir izveidot BYOD pierādījumu paku. Tas ir artefaktu kopums, ko CISO var iesniegt auditoram, regulatoram, klienta izvērtētājam vai valdes komitejai.

1. dienā identificējiet uzņēmumam piederošus tālruņus, personīgos tālruņus, kas tiek izmantoti MFA, BYOD planšetdatorus, kas piekļūst informācijas paneļiem, līgumslēdzēju mobilās ierīces, priviliģētus lietotājus, kas piekļūst administratīvajām konsolēm, un jebkādu mobilo piekļuvi sistēmām, kurās tiek apstrādāti personas dati vai finanšu darījumi.

2. dienā testējiet reālistisku scenāriju: pārdošanas direktors ziņo, ka lidostā nozagts personīgais tālrunis ar pārvaldītu uzņēmuma e-pastu. MVU politika nosaka skaidru ziņošanas prasību:

“Par pazudušām, nozagtām vai kompromitētām ierīcēm jāziņo ģenerāldirektoram 1 stundas laikā”
Avots: Mobile Device and BYOD Policy-sme, politikas ieviešanas prasības, 6.4.1. punkts Mobilo ierīču un BYOD politika — MVU

Vingrinājumam jāpārbauda, vai komanda spēj identificēt ierīci, atsaukt sesijas, attālināti dzēst uzņēmuma datus, saglabāt žurnālus, izvērtēt personas datu ekspozīciju, izlemt, vai nepieciešama GDPR pārkāpuma analīze, un noteikt, vai varētu tikt aktivizēti NIS2 vai DORA ziņošanas sliekšņi.

Krusteniskā atbilstība: viena mobilo ierīču programma, četri pierādījumu stāsti

Uz ISO 27001 balstītas BYOD pārvaldības vērtība ir atkārtota izmantošana. Viena kontroles pasākumu kopa var radīt pierādījumus vairākām saistībām, ja tā ir labi strukturēta.

Tā pati loģika attiecas uz kontroles pasākumu līmeni.

NIS2 gadījumā darbības jomai ir nozīme. Digitālās infrastruktūras pakalpojumu sniedzēji, mākoņpakalpojumu sniedzēji, datu centru pakalpojumu sniedzēji, satura piegādes tīkli, DNS pakalpojumu sniedzēji, TLD reģistri, uzticamības pakalpojumu sniedzēji, publisko elektronisko sakaru pakalpojumu sniedzēji, B2B pārvaldīto pakalpojumu sniedzēji un pārvaldīto drošības pakalpojumu sniedzēji atkarībā no lieluma, nozares un nacionālās ieviešanas var ietilpt būtisko vai svarīgo subjektu kategorijās. Nepārvaldīta mobilā piekļuve operacionālajām sistēmām šajā kontekstā nav mazs IT izņēmums. Tas ir pārvaldības jautājums.

DORA vajadzībām MDM vai UEM pakalpojumu sniedzējs var kļūt par trešo pušu riska pierādījumu daļu, ja tas atbalsta piekļuvi kritiskām vai svarīgām funkcijām. Organizācijām, kas orientējas uz DORA, jādokumentē sākotnējā izpēte, pakalpojumu līmeņi, datu atrašanās vietas, palīdzība incidentu gadījumā, drošības pasākumi, audita tiesības, izstāšanās kārtība un pakalpojumu sniedzēja dalība testēšanā, ja tas ir būtiski.

GDPR gadījumā pazudis personīgais tālrunis automātiski nav ziņojams personas datu aizsardzības pārkāpums. Tas kļūst par nopietnu problēmu, ja uzņēmuma dati ir pieejami, nešifrēti, saglabāti kešatmiņā ārpus pārvaldītiem konteineriem vai eksponēti ar aktīvām sesijām. Organizācijai jāzina, kādi dati bija pieejami, vai kontroles pasākumi novērsa nesankcionētu piekļuvi un vai žurnāli pamato secinājumu.

Kā auditori testēs BYOD pārvaldību

Nobriedušai programmai jābūt gatavai dažādiem audita stiliem.

Zenith Blueprint audita kontrolsaraksts attālinātajam darbam ir tiešs: auditori pārbaudīs, vai politika ir ieviesta, nevis tikai dokumentēta. Esiet gatavi uzrādīt formālo politiku, izskaidrot piemērošanu, piemēram, VPN izmantošanu, galapunktu šifrēšanu vai MDM, parādīt BYOD reģistrāciju vai ierobežojumus, sniegt apmācību ierakstus un demonstrēt, ka attālinātie darbinieki saprot savus pienākumus.

NIST CSF 2.0 sniedz noderīgu papildinošu modeli. Tā GOVERN funkcija pieprasa saprast un pārvaldīt juridiskās, regulatīvās un līgumiskās kiberdrošības prasības, integrēt kiberdrošības risku uzņēmuma risku pārvaldībā, definēt lomas un pilnvaras, noteikt un uzraudzīt politikas un izvērtēt veiktspēju. Mobilo ierīču pārvaldībai praktisks mērķa profils varētu skanēt šādi: visas ierīces, kas piekļūst personas datiem vai kritiskām biznesa sistēmām, ir reģistrētas, šifrētas, atbilstošas, uzraudzītas un atslēdzamas no lietošanas vienas stundas laikā pēc paziņojuma par kompromitēšanu.

Biežākie BYOD audita konstatējumi

Mobilo ierīču pārvaldības konstatējumi reti rodas no vienas katastrofālas kļūmes. Parasti tie rodas no maziem izņēmumiem, kas nekad nav slēgti.

Biežākie konstatējumi ietver:

• BYOD praksē ir atļauts, bet nav formāli apstiprināts
• autentifikatora lietotnes tiek uzskatītas par ārpus ISMS darbības jomas esošām
• MDM ir konfigurēts uzņēmuma ierīcēm, bet ne personīgām ierīcēm ar uzņēmuma piekļuvi
• vadītāji ir izslēgti no ierīču atbilstības pamatlīmeņiem
• nosacītā piekļuve tiek apieta ar mantotajiem protokoliem vai nepārvaldītām pārlūkprogrammām
• personīgās ierīces piekļūst e-pastam bez konteinerizācijas
• mobilie žurnāli tiek glabāti SaaS platformās, bet netiek pārskatīti vai eksportēti
• pastāv pazudušas ierīces procedūra, bet personāls nezina ziņošanas termiņu
• nav privātuma formulējuma, kas izskaidrotu, ko uzņēmums drīkst un nedrīkst uzraudzīt
• nav pierādījumu, ka mobilie izņēmumi ir laikierobežoti un pieņemti kā risks
• MDM piegādātājs nav iekļauts IKT trešo pušu risku pārvaldībā
• nav galda vingrinājuma mobilās ierīces kompromitēšanai
• nav kartējuma no BYOD kontroles pasākumiem uz GDPR Article 32, NIS2 vai DORA pierādījumiem

Katrs konstatējums ir labojams. Problēma parasti nav rīku trūkums. Tā ir īpašumtiesību, pierādījumu dizaina un krusteniskās atbilstības kartējuma neesamība.

Valdes līmeņa stāsts

Vadībai nav vajadzīga katra MDM konfigurācijas detaļa. Tai nepieciešams skaidrs pārskatatbildības stāsts.

Spēcīga valdes līmeņa BYOD pozīcija nosaka:

1. Mēs zinām, kuras mobilās ierīces piekļūst organizācijas resursiem.
2. Mēs nošķiram uzņēmumam piederošu un BYOD piekļuvi.
3. BYOD ir brīvprātīgs, apstiprināts un pārvaldīts ar vienošanos.
4. Uzņēmuma dati ir šifrēti un izolēti.
5. Piekļuve ir atkarīga no ierīces atbilstības.
6. Žurnāli tiek glabāti un pārskatīti.
7. Par pazudušām vai kompromitētām ierīcēm tiek ātri ziņots.
8. Uzņēmuma datus var dzēst vai piekļuvi atsaukt.
9. Personas datu riski tiek izvērtēti saskaņā ar GDPR.
10. Izņēmumi ir apstiprināti, laikierobežoti un pārskatīti.

Tas sasaista mobilo ierīču pārvaldību ar riska apetīti, operacionālo noturību, juridisko pārskatatbildību un klientu uzticēšanos. Tas arī sniedz vadības struktūrām pierādījumus, kas nepieciešami, lai demonstrētu pārraudzību saskaņā ar NIS2 un DORA.

Kā palīdz Clarysec

Clarysec mobilo ierīču un BYOD pārvaldības modelis apvieno politiku, ieviešanu un krusteniskās atbilstības kartējumu.

Pirmkārt, politiku bibliotēka organizācijām nodrošina pārvaldības formulējumus, kurus var pielāgot. Mobile Device and BYOD Policy-sme ir praktiska mazākiem uzņēmumiem, kuriem nepieciešami skaidri apstiprināšanas un ziņošanas noteikumi. Mobile device and byod policy atbalsta reglamentētas vides, kurās nepieciešami MDM, šifrēšana, autentifikācija, OS pamatlīmeņi, DLP, konteineri, žurnālu reģistrēšana un formālas BYOD vienošanās.

Otrkārt, Zenith Blueprint nodrošina ieviešanas ceļu. Tas parāda, kur mobilo ierīču pārvaldība ietilpst 30 soļu audita ceļkartē: attālinātais darbs, aktīvu drošība ārpus organizācijas telpām un galapunktu ierīču kontroles pasākumi. Tas novērš bieži sastopamo kļūdu — traktēt BYOD kā vienu dokumentu, nevis dzīvu kontroles sistēmu.

Treškārt, Zenith Controls nodrošina krusteniskās atbilstības kompasu. Tas sasaista ISO/IEC 27001:2022 Annex A kontroles pasākumus A.8.1, A.6.7 un A.7.9 ar saistītajiem kontroles pasākumiem, atbalsta standartiem un audita gaidām. Šis kartējums palīdz CISO atbildēt uz regulatora īsto jautājumu: parādiet, ka jūsu mobilo ierīču pārvaldība ir samērīga, ieviesta un efektīva.

Nākamie soļi: izveidojiet aizstāvamu BYOD pierādījumu paku

Ja jūsu organizācija atļauj mobilo vai BYOD piekļuvi, negaidiet, līdz pazudis iPad atklās pierādījumu plaisu.

Sāciet ar fokusētu izvērtēšanu:

• Uzskaitiet katru mobilās piekļuves ceļu uz uzņēmuma datiem un kritiskajām sistēmām.
• Salīdziniet faktisko piekļuvi ar Mobile device and byod policy Mobilo ierīču un BYOD politiku vai Mobile Device and BYOD Policy-sme Mobilo ierīču un BYOD politiku — MVU.
• Izveidojiet vienas lapas mobilā riska reģistra ierakstu, kas sasaistīts ar ISO/IEC 27001:2022 ISO/IEC 27001:2022.
• Izmantojiet Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, lai ieviestu attālinātā darba, ārpus telpām esošu aktīvu un galapunktu kontroles pasākumus.
• Izmantojiet Zenith Controls: The Cross-Compliance Guide Zenith Controls, lai kartētu pierādījumus uz NIS2, DORA, GDPR, NIST un COBIT 19 gaidām.
• Izmantojiet Logging and Monitoring Policy-sme Žurnālu reģistrēšanas un uzraudzības politiku — MVU, lai noteiktu praktiskas žurnālu reģistrēšanas gaidas mazākām vidēm.
• Veiciet pazudušas ierīces galda vingrinājumu un saglabājiet pierādījumus.

Clarysec var palīdzēt nepārvaldītu mobilo piekļuvi pārvērst aizstāvamā, auditējamā pārvaldības programmā. Lejupielādējiet politikas, kartējiet savus kontroles pasākumus ar Zenith Controls, ieviesiet ceļkarti ar Zenith Blueprint un ieplānojiet Clarysec izvērtējumu, pirms nākamais auditors uzdod 8:12 jautājumu.