Riadenie BYOD pre ISO 27001, NIS2, DORA a GDPR
Stratený iPad o 8:12
O 8:12 sa Sarah na obrazovke zobrazila bežná požiadavka podpory: „Stratený iPad, obchodný riaditeľ.“
Sarah bola CISO rýchlo rastúcej fintech spoločnosti a okamžite vedela, že nejde o bežný problém s aktívom. Obchodný riaditeľ intenzívne používal svoj osobný iPad. Z hotelových izieb, letiskových salónikov a priestorov zákazníkov pristupoval k záznamom v CRM, e-mailom, citlivým zoznamom potenciálnych klientov, pracovným priestorom na spoluprácu a dashboardom platobného pipelineu.
V priebehu niekoľkých minút sa situácia zhoršila. Zariadenie nebolo zaradené do správy mobilných zariadení. Nebolo potvrdené, že je šifrované. Neexistovala možnosť vzdialeného vymazania. Pravidlá podmieneného prístupu síce existovali, ale obchodnému riaditeľovi bola pred niekoľkými mesiacmi udelená výnimka, pretože „stále cestuje“. Tím ochrany súkromia nevedel potvrdiť, aké údaje klientov boli lokálne uložené vo vyrovnávacej pamäti. Manažér súladu preposlal novú správu od externého audítora: „Predložte dôkazy, že osobné mobilné zariadenia pristupujúce k údajom zákazníkov sú riadené, monitorované, šifrované a v prípade kompromitácie odpojiteľné od prevádzky.“
Stratený iPad nebol skutočným výbuchom. Bol varovným výstrelom.
Toto je problém riadenia mobilných zariadení a BYOD v roku 2026. Osobné telefóny a tablety už nie sú len zamestnaneckým pohodlím. Sú to podnikové koncové body, faktory identity, úložiská údajov, nástroje na schvaľovanie platieb, sprievodné zariadenia pre privilegovaný prístup a kanály na nahlasovanie incidentov. Jedno osobné zariadenie môže obsahovať autentifikačnú aplikáciu pre administrátorský prístup, firemný e-mail s osobnými údajmi, cloudové súbory uložené vo vyrovnávacej pamäti, snímky obrazovky s regulovanými informáciami, aktívne relácie prehliadača do konzol SaaS a prístupové tokeny pre prevádzkové nástroje.
Pre CISO, manažérov súladu a predstavenstvá už otázka neznie: „Povoľujeme BYOD?“ Skutočná otázka znie: „Vieme preukázať, že každá cesta mobilného prístupu je riadená, posúdená z hľadiska rizika, technicky kontrolovaná, monitorovaná a obnoviteľná?“
Odpoveď by nemala vyžadovať samostatné programy súladu pre ISO 27001, NIS2, DORA a GDPR. Dobre vymedzený systém manažérstva informačnej bezpečnosti podľa ISO/IEC 27001:2022 ISO/IEC 27001:2022 dokáže zahrnúť mobilné riziko a riziko BYOD do politík, vlastníctva aktív, riadenia prístupu, súladu zariadení, logovania, reakcie na incidenty, kontrol ochrany súkromia a dôkazov o dodávateľoch. Prístup Clarysec spočíva v tom, že tieto dôkazy sa vybudujú raz a následne sa opätovne použijú pre kybernetickú hygienu podľa NIS2, riadenie rizík IKT podľa DORA a bezpečnosť spracúvania podľa GDPR Article 32.
Prečo je BYOD dnes otázkou súladu na úrovni predstavenstva
Hybridný režim práce urobil z mobilného prístupu trvalú realitu. Obchodní riaditelia schvaľujú zmluvy z osobných iPhonov. Finanční manažéri autorizujú platby z tabletov. Inžinieri používajú autentifikačné aplikácie na vlastných telefónoch. Členovia vrcholového manažmentu cestujú s firemným e-mailom na osobných zariadeniach, pretože je to pohodlné. Dodávatelia pristupujú k tiketom z mobilných prehliadačov. Tímy podpory prijímajú upozornenia na incidenty cez mobilné komunikačné aplikácie.
Táto flexibilita vytvára medzeru v riadení, keď prístup rastie rýchlejšie než politika a návrh kontrol.
NIS2 robí túto medzeru viditeľnou na úrovni manažmentu. Article 20 vyžaduje, aby riadiace orgány schvaľovali opatrenia na riadenie kybernetických rizík, dohliadali na ich implementáciu a absolvovali školenie. Article 21 vyžaduje primerané a proporcionálne technické, prevádzkové a organizačné opatrenia vrátane analýzy rizík, riešenia incidentov, kontinuity činností, bezpečnosti dodávateľského reťazca, bezpečného obstarávania a údržby, posudzovania účinnosti, kybernetickej hygieny, kryptografie, bezpečnosti ľudských zdrojov, riadenia prístupu a správy aktív. Riadenie mobilných zariadení a BYOD sa dotýka takmer každej z týchto oblastí.
DORA zvyšuje význam tejto témy pre finančné subjekty. Od januára 2025 DORA vyžaduje zdokumentovaný rámec riadenia rizík IKT, dohľad riadiaceho orgánu, kontinuitu činností IKT, riadenie incidentov IKT, testovanie digitálnej prevádzkovej odolnosti a riadenie rizík tretích strán v oblasti IKT. Ak zamestnanci pristupujú ku kritickým alebo dôležitým funkciám prostredníctvom mobilných zariadení, tieto zariadenia sú súčasťou rizikovej plochy IKT. Poskytovateľ správy mobilných zariadení alebo jednotnej správy koncových bodov môže byť relevantný aj pre dôkazy o tretích stranách v oblasti IKT, ak chráni prístup k regulovaným činnostiam.
GDPR pridáva pohľad preukázateľnej zodpovednosti. Article 5 vyžaduje, aby sa osobné údaje spracúvali bezpečne, a vyžaduje od prevádzkovateľa preukázať súlad. Article 32 vyžaduje primerané technické a organizačné opatrenia vrátane dôvernosti, integrity, dostupnosti, odolnosti a schopnosti obnoviť prístup tam, kde je to potrebné. V praxi kladú posudzovatelia ochrany súkromia konkrétne otázky: Kto môže pristupovať k osobným údajom z mobilných zariadení? Ako je prístup obmedzený? Čo sa stane pri strate telefónu? Možno vymazať podnikové údaje bez zásahu do osobného súkromia? Uchovávajú sa logy? Sú dostupné dôkazy pre posúdenie porušenia ochrany osobných údajov?
ISO/IEC 27001:2022 poskytuje prevádzkový model. Kapitoly 4.1 až 4.4 vyžadujú, aby organizácie určovali interné a externé záležitosti, požiadavky zainteresovaných strán, regulačné povinnosti, rozsah a závislosti. Kapitola 5 vyžaduje vedenie, roly a zodpovednosti. Kapitola 6 vyžaduje posúdenie a ošetrenie rizík. Kapitoly 8.2 a 8.3 vyžadujú, aby organizácia vykonávala posúdenia rizík informačnej bezpečnosti a implementovala plány ošetrenia rizík.
To znamená, že BYOD nemôže zostať v zabudnutom IT oznámení. Patrí do rozsahu ISMS, kde sa riadia zákonné povinnosti, očakávania zákazníkov, prevádzkové závislosti a rozhodnutia o ošetrení rizík.
Klastre kontrol ISO 27001 pre riadenie mobilných zariadení a BYOD
Clarysec zvyčajne začína riadenie mobilných zariadení trojicou kontrol z prílohy A ISO/IEC 27001:2022, podporenou implementačným usmernením ISO/IEC 27002:2022.
| Téma kontroly | Význam pre riadenie mobilných zariadení | Typické dôkazy |
|---|---|---|
| A.8.1 Používateľské koncové zariadenia | Smartfóny, tablety a notebooky musia byť hardenované, spravované a monitorované podľa rizika | Reporty o zaradení do MDM, stav šifrovania, súlad s referenčnou úrovňou OS, ochrana pred škodlivým kódom, možnosť vzdialeného vymazania |
| A.6.7 Práca na diaľku | Prístup mimo pracoviska musí byť riadený politikou, oprávnenosťou, bezpečným prístupom a očakávaniami voči správaniu používateľov | Politika práce na diaľku, dohoda BYOD, pravidlá VPN alebo podmieneného prístupu, záznamy o školeniach |
| A.7.9 Bezpečnosť aktív mimo priestorov organizácie | Zariadenia a médiá mimo kontrolovaných priestorov musia byť fyzicky chránené a sledované | Inventár aktív, priradené vlastníctvo, postup pre stratené zariadenia, pokyny pre cestovanie, dôkazy o šifrovaní |
V Zenith Controls: Sprievodca súladom naprieč rámcami Zenith Controls Clarysec považuje tieto kontroly za vzájomne sa posilňujúce. Pri používateľských koncových zariadeniach Zenith Controls klasifikuje kontrolu A.8.1 ako preventívnu, podporujúcu dôvernosť, integritu a dostupnosť, mapovanú na koncept kybernetickej bezpečnosti Protect a prevádzkové spôsobilosti správy aktív a ochrany informácií.
Sprievodca tiež vysvetľuje, prečo kontroly koncových zariadení priamo súvisia s prijateľným používaním, prácou na diaľku, obmedzením prístupu, bezpečnou autentifikáciou, fyzickou ochranou, povinnosťami zachovávať dôvernosť a školením bezpečnostného povedomia.
„Koncové zariadenia sú primárne platformy, prostredníctvom ktorých sa uplatňujú politiky prijateľného používania.“
Zdroj: Zenith Controls, používateľské koncové zariadenia, kontrola 8.1 Zenith Controls
Pri práci na diaľku Zenith Controls mapuje A.6.7 na A.7.9 bezpečnosť aktív mimo priestorov organizácie, A.8.1 používateľské koncové zariadenia, A.5.1 politiky informačnej bezpečnosti, A.6.3 povedomie, vzdelávanie a školenie v oblasti informačnej bezpečnosti, A.5.14 prenos informácií, A.8.20 bezpečnosť sietí, A.8.22 oddelenie sietí, A.7.7 čistý pracovný stôl a uzamknutá obrazovka, A.5.29 informačná bezpečnosť počas narušenia a A.5.30 pripravenosť IKT na kontinuitu činností.
Toto mapovanie zodpovedá tomu, ako audity skutočne prebiehajú. Audítor sa nezastaví pri otázke: „Máte politiku BYOD?“ Testuje, či je politika implementovaná, či sú zariadenia zaradené, či prístup závisí od súladu, či existujú logy, či sú používatelia vyškolení, či sa riešia incidenty stratených zariadení a či sú výnimky akceptované z hľadiska rizika.
Základ politiky: jasne pomenovať pravidlá riadenia
Obhájiteľný program BYOD začína explicitnými pravidlami. Knižnica politík Clarysec poskytuje vzory pre SME aj podnikové prostredia, aby organizácie mohli škálovať požiadavky bez straty auditnej jasnosti.
Pre SME vytvára Politika mobilných zariadení a používania vlastných zariadení (BYOD) pre SME Politika mobilných zariadení a používania vlastných zariadení (BYOD) pre SME jednoduchú riadiacu bránu:
„Osobné BYOD zariadenia musí pred použitím schváliť generálny manažér (GM).“
Zdroj: Politika mobilných zariadení a používania vlastných zariadení (BYOD) pre SME, Požiadavky na riadenie, bod 5.1.1 Politika mobilných zariadení a používania vlastných zariadení (BYOD) pre SME
Táto krátka veta uzatvára bežnú auditnú medzeru. Zabraňuje tichému prístupu z osobných zariadení, vytvára schvaľovací bod a dáva vlastníkovi organizácie alebo generálnemu manažérovi viditeľnú riadiacu rolu. Podporuje aj kapitoly ISO 27001 5.1 až 5.3, podľa ktorých musí vrcholový manažment preukázať vedenie, komunikovať očakávania a priradiť zodpovednosti.
Politika pre SME zároveň jasne stanovuje uplatňovanie referenčných kontrol:
„Na všetkých mobilných zariadeniach (vo vlastníctve spoločnosti aj BYOD) musia byť uplatnené tieto kontroly:“
Zdroj: Politika mobilných zariadení a používania vlastných zariadení (BYOD) pre SME, Požiadavky na riadenie, bod 5.2.1 Politika mobilných zariadení a používania vlastných zariadení (BYOD) pre SME
Pre regulované alebo väčšie organizácie je Politika mobilných zariadení a používania vlastných zariadení (BYOD) Politika mobilných zariadení a používania vlastných zariadení (BYOD) preskriptívnejšia:
„Všetky mobilné zariadenia (podnikové alebo osobné), ktoré pristupujú k zdrojom organizácie, musia byť:
5.1.1 Registrované a zaradené do schválenej platformy správy mobilných zariadení (MDM).
5.1.2 Nakonfigurované s technickými bezpečnostnými kontrolami vrátane vynúteného šifrovania a autentifikácie.
5.1.3 Monitorované z hľadiska súladu s definovanými referenčnými úrovňami operačného systému (OS) a záplatovania.“
Zdroj: Politika mobilných zariadení a používania vlastných zariadení (BYOD), Požiadavky na riadenie, bod 5.1 Politika mobilných zariadení a používania vlastných zariadení (BYOD)
Toto je jazyk vhodný na audit. Audítor môže otestovať populáciu mobilných zariadení, porovnať ju s prístupovými logmi, vybrať vzorku záznamov o zaradení a overiť, že šifrovanie, autentifikácia a referenčné úrovne záplatovania sú vynucované.
BYOD si vyžaduje aj hranice súhlasu citlivé na ochranu súkromia. Podniková politika uvádza:
„Prístup v režime používania vlastných zariadení (BYOD) sa udelí len po formálnom prijatí Dohody o používaní BYOD organizácie, ktorá zahŕňa:
5.2.1 Súhlas s monitorovaním podnikových kontajnerov alebo spravovaných aplikácií
5.2.2 Potvrdenie oboznámenia sa s kontrolami správy mobilných zariadení (MDM), ako je vzdialené vymazanie alebo zablokovanie
5.2.3 Súhlas s dobrovoľnou účasťou a právom odstúpiť“
Zdroj: Politika mobilných zariadení a používania vlastných zariadení (BYOD), Požiadavky na riadenie, bod 5.2 Politika mobilných zariadení a používania vlastných zariadení (BYOD)
Toto ustanovenie je kľúčové pre zosúladenie s GDPR. Objasňuje, že monitorovanie sa vzťahuje na podnikové kontajnery alebo spravované aplikácie, dokumentuje potvrdenie zamestnanca o zablokovaní alebo vzdialenom vymazaní a zachováva právo odstúpiť. Pomáha oddeliť oprávnené podnikové bezpečnostné monitorovanie od nadmerného sledovania osobného života.
Od politiky ku kontrolám: MDM, kontajnery, prístup a logy
Politika sa stáva riadením až vtedy, keď je implementovaná a podložená dôkazmi. Praktický základ začína zaradením zariadenia.
„Všetky mobilné zariadenia musia byť pred prístupom k podnikovým systémom zaradené do riešenia správy mobilných zariadení (MDM).“
Zdroj: Politika mobilných zariadení a používania vlastných zariadení (BYOD), Požiadavky na implementáciu politiky, bod 6.1.1 Politika mobilných zariadení a používania vlastných zariadení (BYOD)
V podnikových prostrediach má rovnaká implementačná vrstva vynucovať šifrovanie, PIN, prístupový kód alebo biometrickú autentifikáciu, zablokovanie pri nečinnosti, podporované verzie OS, detekciu jailbreaku alebo root prístupu, referenčné úrovne záplatovania a vymazanie alebo obnovenie obrazu zariadenia po opakovaných neúspešných pokusoch o prihlásenie.
Pri BYOD je lepším návrhom zvyčajne použitie spravovaných aplikácií alebo podnikových kontajnerov namiesto sledovania celého zariadenia. Politika to zachytáva takto:
„Podnikové údaje musia byť uložené výlučne v šifrovaných spravovaných kontajneroch.“
Zdroj: Politika mobilných zariadení a používania vlastných zariadení (BYOD), Požiadavky na implementáciu politiky, bod 6.6.1 Politika mobilných zariadení a používania vlastných zariadení (BYOD)
Tým sa podporuje minimalizácia údajov podľa GDPR a bezpečnosť spracúvania podľa Article 32, pretože údaje organizácie sú obmedzené na spravované oblasti a osobné časti zariadenia sa nepovažujú za podnikové úložiská. Organizácia tým zároveň získava praktickú odpoveď pri strate osobného telefónu: zrušiť relácie, vymazať podnikové údaje, zachovať logy a posúdiť expozíciu bez vymazania osobných fotografií, správ alebo aplikácií.
Podmienený prístup následne prepája identitu so stavom zariadenia. Citlivé systémy musia minimálne vyžadovať zaradenie, MFA, šifrovanie, podporovaný OS, uzamknutie obrazovky, absenciu jailbreaku alebo zlyhania z dôvodu root prístupu, prístup cez spravovanú aplikáciu a obmedzenia sťahovania, zdieľania schránky alebo vytvárania snímok obrazovky tam, kde si to vyžaduje riziko. Tým sa prakticky uplatňuje A.8.1 používateľské koncové zariadenia, A.8.3 obmedzenie prístupu k informáciám a A.8.5 bezpečná autentifikácia.
Logovanie uzatvára kontrolný cyklus. Podniková politika vyžaduje:
„Logy mobilného prístupu musia byť zachytávané a uchovávané najmenej 90 dní, s integráciou do centrálnej platformy SIEM tam, kde je to uplatniteľné.“
Zdroj: Politika mobilných zariadení a používania vlastných zariadení (BYOD), Požiadavky na riadenie, bod 5.6 Politika mobilných zariadení a používania vlastných zariadení (BYOD)
Pre menšie prostredia pridáva Politika logovania a monitorovania pre SME Politika logovania a monitorovania pre SME praktické minimum:
„BYOD a vzdialené systémy musia mať povolené lokálne logovanie autentifikačných udalostí a detekcií antivírusového softvéru“
Zdroj: Politika logovania a monitorovania pre SME, Požiadavky na implementáciu politiky, bod 6.3.1 Politika logovania a monitorovania pre SME
Program riadenia mobilných zariadení bez logov sa ťažko obhajuje. Vyšetrovanie strateného zariadenia potrebuje históriu prístupov, neúspešné pokusy, stav súladu zariadenia, dôkazy o zrušení relácií a akúkoľvek relevantnú aktivitu DLP alebo kontajnera.
Kde správa mobilných zariadení zapadá do 30-krokovej cestovnej mapy
Zenith Blueprint: 30-kroková cestovná mapa audítora Zenith Blueprint od Clarysec umiestňuje riadenie mobilných zariadení a BYOD naprieč viacerými fázami implementácie. Nepovažuje BYOD za jediný politický dokument.
Vo fáze Kontroly v praxi, krok 16, Personálne kontroly II, sa Zenith Blueprint venuje práci na diaľku a BYOD:
„Používanie osobných zariadení (BYOD) má byť buď zakázané, alebo povolené len za prísnych podmienok, napríklad zaradením do riešenia správy mobilných zariadení (MDM), ktoré podporuje kontajnerizáciu údajov a vzdialené vymazanie podnikových údajov, ak sa zariadenie stratí alebo ak používateľ odíde zo spoločnosti.“
Zdroj: Zenith Blueprint, fáza Kontroly v praxi, krok 16, Personálne kontroly II Zenith Blueprint
V kroku 19, Technologické kontroly I, Zenith Blueprint rámcuje koncové body ako východisko digitálnej interakcie:
„Používateľské koncové zariadenia, notebooky, smartfóny, tablety, desktopy a dokonca aj tenkí klienti sú miestom, kde začína digitálna interakcia. Sú to dvere a okná do vašich systémov.“
Zdroj: Zenith Blueprint, fáza Kontroly v praxi, krok 19, Technologické kontroly I Zenith Blueprint
Krok 18, Fyzické kontroly II, pokrýva bezpečnosť aktív mimo priestorov organizácie. Zahŕňa zariadenia ponechané v autách, tablety používané vo verejných priestoroch, notebooky odovzdané do batožiny a súbory uložené offline. Princíp je jednoduchý: aj keď sa zariadenie stratí alebo je odcudzené, údaje musia zostať neprístupné.
| Fáza a krok Zenith Blueprint | Výstup riadenia mobilných zariadení | Auditná hodnota |
|---|---|---|
| Kontroly v praxi, krok 16 | Podmienky práce na diaľku a BYOD | Preukazuje politiku, oprávnenosť, školenie a očakávania MDM |
| Kontroly v praxi, krok 18 | Ochrana aktív mimo priestorov organizácie | Preukazuje priradenie aktív, správanie pri cestovaní a dôkazy o šifrovaní |
| Kontroly v praxi, krok 19 | Hardening a správa koncových bodov | Preukazuje súlad zariadení, záplatovanie, monitorovanie a podmienený prístup |
Tento vrstvený prístup pomohol Sarah prejsť od paniky k riadeniu. Nekúpila nástroj a nevyhlásila problém za vyriešený. Prepojila pravidlá pre ľudí, fyzické správanie a technické vynucovanie do jedného auditovateľného systému.
Týždenný sprint na balík dôkazov pre BYOD
Praktický spôsob, ako uzavrieť medzeru, je vybudovať balík dôkazov pre BYOD. Ide o súbor artefaktov, ktoré môže CISO odovzdať audítorovi, regulátorovi, zákazníckemu posudzovateľovi alebo výboru predstavenstva.
| Deň | Aktivita | Vytvorené dôkazy |
|---|---|---|
| Deň 1 | Definovať rozsah mobilného prístupu podľa kapitol ISO 27001 4.1 až 4.4 | Inventár prípadov použitia mobilného prístupu, požiadavky zainteresovaných strán, systémy v rozsahu |
| Deň 2 | Schváliť pravidlo BYOD a priradiť vlastníctvo | Schválená politika, RACI, záznam o schválení manažmentom |
| Deň 3 | Nakonfigurovať technickú referenčnú úroveň | Export zaradenia do MDM, nastavenia šifrovania, referenčná úroveň OS, pravidlá autentifikácie |
| Deň 4 | Prepojiť prístup so súladom zariadenia | Politika podmieneného prístupu, dôkaz odmietnutia nesúladného zariadenia, zoznam výnimiek |
| Deň 5 | Zachytiť dôkazy o logovaní a incidentoch | Vzorka zo SIEM, logy mobilného prístupu, šablóna incidentného tiketu, pracovný tok pre stratené zariadenie |
| Deň 6 | Otestovať reakciu na stratené zariadenie | Zápisnica zo simulačného cvičenia, dôkaz zrušenia relácií, test vzdialeného vymazania, poznámky k posúdeniu porušenia ochrany osobných údajov |
| Deň 7 | Schváliť výnimky a reziduálne riziko | Záznam o akceptácii rizika, kompenzačné kontroly, dátum uplynutia platnosti, schválenie vlastníkom rizika |
Pre deň 1 identifikujte podnikové telefóny, osobné telefóny používané na MFA, BYOD tablety pristupujúce k dashboardom, mobilné zariadenia dodávateľov, privilegovaných používateľov pristupujúcich k administrátorským konzolám a akýkoľvek mobilný prístup k systémom spracúvajúcim osobné údaje alebo finančné transakcie.
Pre deň 6 otestujte realistický scenár: obchodný riaditeľ nahlási, že mu na letisku ukradli osobný telefón so spravovaným firemným e-mailom. Politika pre SME stanovuje jasné očakávanie nahlásenia:
„Stratené, odcudzené alebo kompromitované zariadenia musia byť nahlásené generálnemu manažérovi (GM) do 1 hodiny“
Zdroj: Politika mobilných zariadení a používania vlastných zariadení (BYOD) pre SME, Požiadavky na implementáciu politiky, bod 6.4.1 Politika mobilných zariadení a používania vlastných zariadení (BYOD) pre SME
Cvičenie má otestovať, či tím dokáže identifikovať zariadenie, zrušiť relácie, vzdialene vymazať podnikové údaje, zachovať logy, posúdiť expozíciu osobných údajov, rozhodnúť, či je potrebná analýza porušenia ochrany osobných údajov podľa GDPR, a určiť, či sa môžu spustiť prahové hodnoty hlásenia podľa NIS2 alebo DORA.
Súlad naprieč rámcami: jeden mobilný program, štyri dôkazové príbehy
Hodnota riadenia BYOD založeného na ISO 27001 spočíva v opätovnom použití. Jeden súbor kontrol môže generovať dôkazy pre viaceré povinnosti, ak je dobre štruktúrovaný.
| Rámec | Otázka k mobilným zariadeniam a BYOD | Dôkazy z prístupu Clarysec |
|---|---|---|
| ISO/IEC 27001:2022 | Sú mobilné riziká identifikované, ošetrené a kontrolované prostredníctvom ISMS? | Rozsah, posúdenie rizík, vyhlásenie o uplatniteľnosti, schválenie politiky, reporty MDM, logy, záznamy o incidentoch |
| NIS2 | Sú implementované kybernetická hygiena, riadenie prístupu, správa aktív, riešenie incidentov a školenie? | Schválenie predstavenstvom, politika BYOD, záznamy o školeniach, kontroly prístupu, pracovný tok pre stratené zariadenie, dôkazy o dodávateľoch |
| DORA | Sú mobilné zariadenia súčasťou rizika IKT, riadenia incidentov, testovania odolnosti a riadenia tretích strán? | Register rizík IKT, súlad zariadení, klasifikácia incidentov, dôkazy o testovaní, due diligence dodávateľa MDM |
| GDPR Article 32 | Sú činnosti spracúvania osobných údajov chránené primeranými technickými a organizačnými opatreniami? | Kontajnerizácia, šifrovanie, obmedzenie prístupu, logovanie, posúdenie porušenia ochrany osobných údajov, záznamy ochrany údajov už od návrhu |
Rovnaká logika platí na úrovni kontrol.
| Kontrola ISO/IEC 27001:2022 prílohy A | Dôkazová hodnota pre NIS2 | Dôkazová hodnota pre DORA | Dôkazová hodnota pre GDPR Article 32 |
|---|---|---|---|
| A.8.1 Používateľské koncové zariadenia | Podporuje politiky kybernetickej hygieny, správy aktív a riadenia prístupu | Podporuje ochranu aktív IKT, monitorovanie koncových bodov a testovanie odolnosti | Podporuje šifrovanie, dôvernosť, integritu a bezpečný prístup k osobným údajom |
| A.6.7 Práca na diaľku | Podporuje očakávania bezpečného vzdialeného prístupu, školenia a nahlasovania incidentov | Podporuje postupy rámca rizík IKT a riešenie incidentov pri práci na diaľku | Podporuje organizačné pravidlá spracúvania osobných údajov mimo kontrolovaných priestorov |
| A.7.9 Bezpečnosť aktív mimo priestorov organizácie | Podporuje očakávania ochrany aktív, kontinuity a zaobchádzania s tretími stranami | Podporuje zmierňovanie rizík krádeže alebo straty pri zariadeniach používaných na diaľku | Podporuje prevenciu náhodnej straty, zničenia alebo neoprávneného prístupu |
Pri NIS2 záleží na rozsahu. Poskytovatelia digitálnej infraštruktúry, cloudoví poskytovatelia, poskytovatelia dátových centier, siete na doručovanie obsahu, poskytovatelia DNS, registre TLD, poskytovatelia dôveryhodných služieb, verejní poskytovatelia elektronických komunikácií, B2B poskytovatelia riadených služieb a poskytovatelia riadených bezpečnostných služieb môžu patriť do kategórií základných alebo dôležitých subjektov v závislosti od veľkosti, sektora a národnej implementácie. Nespravovaný mobilný prístup k prevádzkovým systémom v tomto kontexte nie je drobnou IT výnimkou. Je to otázka riadenia.
Pri DORA sa poskytovateľ MDM alebo UEM môže stať súčasťou dôkazov o rizikách tretích strán, ak podporuje prístup ku kritickým alebo dôležitým funkciám. Organizácie uvažujúce v režime DORA majú dokumentovať due diligence, úrovne služieb, umiestnenia údajov, pomoc pri incidentoch, bezpečnostné opatrenia, práva na audit, opatrenia pri ukončení a účasť poskytovateľa na testovaní, ak je to relevantné.
Pri GDPR stratený osobný telefón automaticky neznamená oznamovateľné porušenie ochrany osobných údajov. Závažným problémom sa stáva vtedy, ak sú podnikové údaje prístupné, nešifrované, uložené vo vyrovnávacej pamäti mimo spravovaných kontajnerov alebo vystavené prostredníctvom aktívnych relácií. Organizácia musí vedieť, aké údaje boli prístupné, či kontroly zabránili neoprávnenému prístupu a či logy podporujú záver.
Ako budú audítori testovať riadenie BYOD
Zrelý program má byť pripravený na rôzne auditné štýly.
| Profil audítora | Pravdepodobný auditný prístup | Očakávané dôkazy |
|---|---|---|
| Audítor ISO 27001 | Sleduje mobilné riziko od kontextu, rozsahu, posúdenia rizík a vyhlásenia o uplatniteľnosti až po implementované kontroly | Rozsah ISMS, záznamy mobilných rizík, SoA, politika, reporty zaradenia, pravidlá prístupu, nápravné opatrenia |
| Posudzovateľ NIST CSF | Porovnáva aktuálne a cieľové profily naprieč výsledkami GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND a RECOVER | Profil CSF, prioritizovaný akčný plán, evidencia zariadení, monitorovanie, plány reakcie, dôkazy o obnove |
| Audítor COBIT 2019 alebo ISACA | Zameriava sa na ciele riadenia a správy, zodpovednosť za konanie, výkonnosť, vlastníctvo rizika a účinnosť kontrol | Schválenie manažmentom, RACI, metriky, register výnimiek, testovanie kontrol, náprava zistení |
| Posudzovateľ DORA | Posudzuje mobilný prístup ako súčasť rizika IKT, riadenia incidentov, testovania odolnosti a závislosti od tretích strán | Rámec rizík IKT, klasifikácia incidentov, záznamy testov odolnosti, register dodávateľov MDM, plán ukončenia |
| Audítor GDPR alebo posudzovateľ ochrany súkromia | Posudzuje, či je mobilné spracúvanie osobných údajov zákonné, nevyhnutné, zabezpečené a preukázateľné | Hranice súhlasu BYOD, kontajnerizácia, DLP, šifrovanie, prístupové logy, záznamy posúdenia porušenia ochrany osobných údajov |
Auditný kontrolný zoznam Zenith Blueprint pre prácu na diaľku je priamy: audítori budú overovať, či je politika implementovaná, nielen zdokumentovaná. Buďte pripravení predložiť formálnu politiku, vysvetliť uplatňovanie, napríklad používanie VPN, šifrovanie koncových bodov alebo MDM, preukázať zaradenie alebo obmedzenia BYOD, poskytnúť záznamy o školeniach a preukázať, že zamestnanci pracujúci na diaľku rozumejú svojim povinnostiam.
NIST CSF 2.0 poskytuje užitočný doplnkový model. Jeho funkcia GOVERN vyžaduje, aby boli právne, regulačné a zmluvné požiadavky na kybernetickú bezpečnosť pochopené a riadené, aby bolo kybernetické riziko integrované do podnikového riadenia rizík, aby boli definované roly a právomoci, aby boli politiky ustanovené a monitorované a aby sa hodnotila výkonnosť. Pre správu mobilných zariadení môže praktický cieľový profil znieť: všetky zariadenia pristupujúce k osobným údajom alebo kritickým systémom organizácie sú zaradené, šifrované, v súlade, monitorované a odpojiteľné do jednej hodiny od oznámenia kompromitácie.
Bežné auditné zistenia pri BYOD
Zistenia v oblasti správy mobilných zariadení zriedka vznikajú z jedného katastrofického zlyhania. Zvyčajne vznikajú z malých výnimiek, ktoré nikto neuzavrel.
Medzi bežné zistenia patria:
- BYOD je v praxi povolené, ale nie je formálne schválené
- autentifikačné aplikácie sú považované za mimo rozsahu ISMS
- MDM je nakonfigurované pre podnikové zariadenia, ale nie pre osobné zariadenia s podnikovým prístupom
- členovia vrcholového manažmentu sú vyňatí z referenčných úrovní súladu zariadení
- podmienený prístup je obchádzaný cez zastarané protokoly alebo nespravované prehliadače
- osobné zariadenia pristupujú k e-mailu bez kontajnerizácie
- mobilné logy sa uchovávajú v platformách SaaS, ale nie sú preskúmavané ani exportované
- postup pre stratené zariadenie existuje, ale personál nepozná lehotu nahlásenia
- chýba jazyk ochrany súkromia vysvetľujúci, čo spoločnosť môže a nemôže monitorovať
- chýba dôkaz, že mobilné výnimky sú časovo obmedzené a rizikovo akceptované
- dodávateľ MDM nie je zahrnutý do riadenia rizík tretích strán v oblasti IKT
- nebolo vykonané simulačné cvičenie kompromitácie mobilného zariadenia
- neexistuje mapovanie kontrol BYOD na dôkazy pre GDPR Article 32, NIS2 alebo DORA
Každé zistenie je opraviteľné. Problémom zvyčajne nie je nedostatok nástrojov. Je ním nedostatok vlastníctva, návrhu dôkazov a mapovania súladu naprieč rámcami.
Príbeh pre predstavenstvo
Manažment nepotrebuje každý detail konfigurácie MDM. Potrebuje jasný príbeh zodpovednosti.
Silná pozícia BYOD na úrovni predstavenstva hovorí:
- Vieme, ktoré mobilné zariadenia pristupujú k zdrojom organizácie.
- Rozlišujeme prístup z podnikových zariadení a BYOD prístup.
- BYOD je dobrovoľné, schválené a riadené dohodou.
- Podnikové údaje sú šifrované a izolované.
- Prístup závisí od súladu zariadenia.
- Logy sa uchovávajú a preskúmavajú.
- Stratené alebo kompromitované zariadenia sa nahlasujú rýchlo.
- Podnikové údaje možno vymazať alebo prístup zrušiť.
- Riziká pre osobné údaje sa posudzujú podľa GDPR.
- Výnimky sú schválené, časovo obmedzené a preskúmavané.
Tým sa správa mobilných zariadení prepája s apetítom na riziko, prevádzkovou odolnosťou, právnou zodpovednosťou a dôverou zákazníkov. Riadiacim orgánom to zároveň poskytuje dôkazy potrebné na preukázanie dohľadu podľa NIS2 a DORA.
Ako pomáha Clarysec
Model riadenia mobilných zariadení a BYOD od Clarysec kombinuje politiku, implementáciu a mapovanie súladu naprieč rámcami.
Po prvé, knižnica politík poskytuje organizáciám pripravený riadiaci jazyk, ktorý možno prispôsobiť. Politika mobilných zariadení a používania vlastných zariadení (BYOD) pre SME je praktická pre menšie podniky, ktoré potrebujú jasné pravidlá schvaľovania a nahlasovania. Politika mobilných zariadení a používania vlastných zariadení (BYOD) podporuje regulované prostredia vyžadujúce MDM, šifrovanie, autentifikáciu, referenčné úrovne OS, DLP, kontajnery, logovanie a formálne dohody BYOD.
Po druhé, Zenith Blueprint poskytuje implementačnú trasu. Ukazuje, kam patrí správa mobilných zariadení v 30-krokovej auditnej cestovnej mape: práca na diaľku, bezpečnosť aktív mimo priestorov organizácie a kontroly koncových zariadení. Tým sa predchádza bežnej chybe, keď sa BYOD považuje za jediný dokument namiesto živého systému kontrol.
Po tretie, Zenith Controls poskytuje kompas súladu naprieč rámcami. Prepája kontroly prílohy A ISO/IEC 27001:2022 A.8.1, A.6.7 a A.7.9 so súvisiacimi kontrolami, podpornými normami a auditnými očakávaniami. Toto mapovanie pomáha CISO odpovedať na skutočnú otázku regulátora: preukážte, že vaša správa mobilných zariadení je primeraná, implementovaná a účinná.
Ďalšie kroky: vybudujte obhájiteľný balík dôkazov pre BYOD
Ak vaša organizácia umožňuje mobilný alebo BYOD prístup, nečakajte, kým stratený iPad odhalí dôkazovú medzeru.
Začnite cieleným posúdením:
- Uveďte každú cestu mobilného prístupu k podnikovým údajom a kritickým systémom.
- Porovnajte skutočný prístup s Politikou mobilných zariadení a používania vlastných zariadení (BYOD) Politika mobilných zariadení a používania vlastných zariadení (BYOD) alebo Politikou mobilných zariadení a používania vlastných zariadení (BYOD) pre SME Politika mobilných zariadení a používania vlastných zariadení (BYOD) pre SME.
- Vytvorte jednostránkový záznam v registri mobilných rizík prepojený s ISO/IEC 27001:2022 ISO/IEC 27001:2022.
- Použite Zenith Blueprint: 30-kroková cestovná mapa audítora Zenith Blueprint na implementáciu práce na diaľku, aktív mimo priestorov organizácie a kontrol koncových bodov.
- Použite Zenith Controls: Sprievodca súladom naprieč rámcami Zenith Controls na mapovanie dôkazov na očakávania NIS2, DORA, GDPR, NIST a COBIT 19.
- Použite Politiku logovania a monitorovania pre SME Politika logovania a monitorovania pre SME na definovanie praktických očakávaní logovania pre menšie prostredia.
- Vykonajte simulačné cvičenie strateného zariadenia a zachovajte dôkazy.
Clarysec vám pomôže premeniť nespravovaný mobilný prístup na obhájiteľný, auditovateľný program riadenia. Stiahnite si politiky, zmapujte svoje kontroly pomocou Zenith Controls, implementujte cestovnú mapu so Zenith Blueprint a naplánujte si posúdenie Clarysec skôr, než sa váš ďalší audítor opýta otázku o 8:12.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
