Upravljanje BYOD za ISO 27001, NIS2, DORA in GDPR
Izgubljeni iPad ob 8:12
Ob 8:12 se je na Sarinem zaslonu prikazal običajen zahtevek za podporo: »Izgubljen iPad, direktor prodaje.«
Sara je bila vodja informacijske varnosti v hitro rastočem fintech podjetju in takoj je vedela, da to ni običajna težava s sredstvom. Direktor prodaje je intenzivno uporabljal svoj osebni iPad. Iz hotelskih sob, letaliških salonov in lokacij strank je dostopal do zapisov CRM, e-pošte, občutljivih seznamov potencialnih strank, delovnih prostorov za sodelovanje in nadzornih plošč prodajnega lijaka za plačilne storitve.
V nekaj minutah se je položaj poslabšal. Naprava ni bila vključena v upravljanje mobilnih naprav. Ni bilo potrditve, da je šifrirana. Ni bilo možnosti oddaljenega izbrisa. Pravila pogojnega dostopa so obstajala, vendar je direktor prodaje pred meseci prejel izjemo, ker je »vedno na poti«. Ekipa za zasebnost ni mogla potrditi, kateri podatki strank so bili lokalno predpomnjeni. Vodja skladnosti je posredoval novo sporočilo zunanjega presojevalca: »Predložite dokazila, da so osebne mobilne naprave, ki dostopajo do podatkov strank, upravljane, spremljane, šifrirane in jih je ob kompromitaciji mogoče izključiti iz uporabe.«
Izgubljeni iPad ni bil prava eksplozija. Bil je opozorilni strel.
To je problem upravljanja mobilnih naprav in BYOD v letu 2026. Osebni telefoni in tablice niso več zgolj priročnost za zaposlene. So poslovne končne točke, dejavniki za avtentikacijo, shrambe podatkov, orodja za odobritev plačil, spremljevalci privilegiranega dostopa in kanali za poročanje o incidentih. Ena sama osebna naprava lahko vsebuje aplikacijo za avtentikacijo za administratorski dostop, službeno e-pošto z osebnimi podatki, predpomnjene datoteke v oblaku, posnetke zaslona reguliranih informacij, aktivne brskalniške seje v konzolah SaaS in dostopne žetone za operativna orodja.
Za vodje informacijske varnosti, vodje skladnosti in organe upravljanja vprašanje ni več: »Ali dovoljujemo BYOD?« Pravo vprašanje je: »Ali lahko dokažemo, da je vsaka pot mobilnega dostopa upravljana, ocenjena z vidika tveganj, tehnično nadzorovana, spremljana in obnovljiva po incidentu?«
Odgovor ne bi smel zahtevati ločenih programov skladnosti za ISO 27001, NIS2, DORA in GDPR. Dobro opredeljen sistem upravljanja informacijske varnosti po ISO/IEC 27001:2022 lahko tveganja mobilnega dostopa in BYOD vključi v politike, lastništvo sredstev, nadzor dostopa, skladnost naprav, beleženje, odziv na incidente, kontrole zasebnosti in dokazila dobaviteljev. Pristop Clarysec je, da se dokazila vzpostavijo enkrat in nato ponovno uporabijo za kibernetsko higieno po NIS2, upravljanje tveganj IKT po DORA in varnost obdelave po GDPR Article 32.
Zakaj je BYOD zdaj vprašanje skladnosti na ravni organa upravljanja
Hibridno delo je mobilni dostop spremenilo v stalnico. Vodje prodaje odobrijo pogodbe z osebnih iPhonov. Finančni vodje avtorizirajo plačila s tablic. Inženirji uporabljajo aplikacije za avtentikacijo na svojih telefonih. Izvršno vodstvo na osebnih napravah uporablja službeno e-pošto na potovanjih, ker je to priročno. Pogodbeni izvajalci dostopajo do zahtevkov prek mobilnih brskalnikov. Ekipe za podporo prejemajo opozorila o incidentih prek mobilnih aplikacij za sporočanje.
Ta prilagodljivost ustvari vrzel v upravljanju, kadar dostop raste hitreje kot politike in zasnova kontrol.
NIS2 naredi to vrzel vidno na ravni vodstva. Article 20 zahteva, da organi upravljanja odobrijo ukrepe za obvladovanje tveganj kibernetske varnosti, nadzorujejo njihovo izvajanje in se usposabljajo. Article 21 zahteva ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe, vključno z analizo tveganja, obravnavanjem incidentov, neprekinjenim poslovanjem, varnostjo dobavne verige, varno nabavo in vzdrževanjem, oceno učinkovitosti, kibernetsko higieno, kriptografijo, kadrovsko varnostjo, nadzorom dostopa in upravljanjem sredstev. Upravljanje mobilnega dostopa in BYOD se dotika skoraj vseh teh področij.
DORA povečuje pomen za finančne subjekte. Od januarja 2025 DORA zahteva dokumentiran okvir za upravljanje tveganj IKT, nadzor organa upravljanja, neprekinjeno poslovanje IKT, upravljanje incidentov IKT, testiranje digitalne operativne odpornosti in upravljanje tveganj tretjih oseb na področju IKT. Če zaposleni prek mobilnih naprav dostopajo do kritičnih ali pomembnih funkcij, so te naprave del površine tveganj IKT. Ponudnik upravljanja mobilnih naprav ali enotnega upravljanja končnih točk lahko postane pomemben tudi za dokazila o tretjih osebah na področju IKT, če ščiti dostop do reguliranih operacij.
GDPR dodaja vidik odgovornosti. Article 5 zahteva varno obdelavo osebnih podatkov in od upravljavca zahteva, da dokaže skladnost. Article 32 zahteva ustrezne tehnične in organizacijske ukrepe, vključno z zaupnostjo, celovitostjo, razpoložljivostjo, odpornostjo in zmožnostjo obnovitve dostopa, kadar je to potrebno. V praksi strokovnjaki za varstvo podatkov postavljajo konkretna vprašanja: Kdo lahko dostopa do osebnih podatkov z mobilnih naprav? Kako je dostop omejen? Kaj se zgodi, ko je telefon izgubljen? Ali je mogoče službene podatke izbrisati brez posega v osebno zasebnost? Ali se dnevniki hranijo? Ali so na voljo dokazila za presojo kršitve?
ISO/IEC 27001:2022 daje operativni model. Klavzule 4.1 do 4.4 zahtevajo, da organizacije določijo notranja in zunanja vprašanja, zahteve zainteresiranih strani, regulativne obveznosti, obseg in odvisnosti. Klavzula 5 zahteva voditeljstvo, vloge in odgovornosti. Klavzula 6 zahteva ocenjevanje in obravnavo tveganj. Klavzuli 8.2 in 8.3 zahtevata, da organizacija izvaja ocene tveganj informacijske varnosti in izvaja načrte obravnave tveganj.
To pomeni, da BYOD ne sme ostati v pozabljenem IT-obvestilu. Spada v obseg ISMS, kjer se upravljajo zakonske obveznosti, pričakovanja strank, operativne odvisnosti in odločitve o obravnavi tveganj.
Skupina kontrol ISO 27001 za upravljanje mobilnega dostopa in BYOD
Clarysec upravljanje mobilnega dostopa običajno začne s skupino treh kontrol iz Priloge A ISO/IEC 27001:2022, podprto z izvedbenimi smernicami ISO/IEC 27002:2022.
| Tema kontrole | Pomen za upravljanje mobilnega dostopa | Tipična dokazila |
|---|---|---|
| A.8.1 Uporabniške končne točke | Pametni telefoni, tablice in prenosniki morajo biti varnostno utrjeni, upravljani in spremljani glede na tveganje | Poročila o vpisu v MDM, stanje šifriranja, skladnost z izhodiščem OS, zaščita pred zlonamerno programsko opremo, zmožnost oddaljenega izbrisa |
| A.6.7 Delo na daljavo | Dostop izven lokacije mora biti urejen s politiko, pogoji upravičenosti, varnim dostopom in pričakovanji glede vedenja uporabnikov | Politika dela na daljavo, dogovor BYOD, pravila VPN ali pogojnega dostopa, zapisi o usposabljanjih |
| A.7.9 Varnost sredstev zunaj prostorov organizacije | Naprave in mediji zunaj nadzorovanih prostorov morajo biti fizično zaščiteni in sledeni | Evidenca sredstev, dodeljeno lastništvo, postopek za izgubljeno napravo, smernice za potovanja, dokazila o šifriranju |
V Zenith Controls: The Cross-Compliance Guide Zenith Controls Clarysec te kontrole obravnava kot medsebojno dopolnjujoče. Pri uporabniških končnih točkah Zenith Controls razvršča kontrolo A.8.1 kot preventivno kontrolo, ki podpira zaupnost, celovitost in razpoložljivost, ter jo preslika na koncept kibernetske varnosti Protect in operativne zmožnosti upravljanja sredstev ter zaščite informacij.
Vodnik pojasnjuje tudi, zakaj se kontrole končnih točk neposredno povezujejo s sprejemljivo uporabo, delom na daljavo, omejitvami dostopa, varno avtentikacijo, fizično zaščito, obveznostmi glede zaupnosti in usposabljanjem za ozaveščanje.
»Končne točke so primarne platforme, prek katerih se uveljavljajo politike sprejemljive uporabe.«
Vir: Zenith Controls, uporabniške končne točke, kontrola 8.1 Zenith Controls
Za delo na daljavo Zenith Controls preslika A.6.7 na A.7.9 varnost sredstev zunaj prostorov organizacije, A.8.1 uporabniške končne točke, A.5.1 politike informacijske varnosti, A.6.3 ozaveščanje, izobraževanje in usposabljanje na področju informacijske varnosti, A.5.14 prenos informacij, A.8.20 varnost omrežij, A.8.22 ločevanje omrežij, A.7.7 čisto mizo in čisti zaslon, A.5.29 informacijsko varnost med motnjami in A.5.30 pripravljenost IKT za neprekinjeno poslovanje.
Ta preslikava odraža dejanski potek presoj. Presojevalec se ne ustavi pri vprašanju: »Ali imate politiko BYOD?« Preveri, ali se politika izvaja, ali so naprave vpisane, ali je dostop pogojen s skladnostjo, ali obstajajo dnevniki, ali so uporabniki usposobljeni, ali se incidenti izgubljenih naprav obravnavajo in ali so izjeme sprejete na podlagi tveganja.
Temelj politike: jasno določena pravila upravljanja
Zagovorljiv program BYOD se začne z izrecnimi pravili. Knjižnica politik Clarysec zagotavlja vzorce za MSP in velika podjetja, zato lahko organizacije stopnjujejo zahteve, ne da bi izgubile jasnost za presojo.
Za MSP Clarysecova Mobile Device and BYOD Policy-sme Mobile Device and BYOD Policy - SME vzpostavi preprosto točko upravljavskega nadzora:
»Osebne naprave BYOD mora pred uporabo odobriti generalni direktor.«
Vir: Mobile Device and BYOD Policy-sme, zahteve upravljanja, klavzula 5.1.1 Mobile Device and BYOD Policy - SME
Ta kratek stavek zapre pogosto vrzel pri presoji. Preprečuje tihi dostop z osebnih naprav, ustvari odobritveno točko in daje lastniku poslovanja ali generalnemu direktorju vidno vlogo pri upravljanju. Podpira tudi klavzule ISO 27001 5.1 do 5.3, kjer mora najvišje vodstvo dokazati voditeljstvo, sporočiti pričakovanja in dodeliti odgovornosti.
Politika za MSP jasno določa tudi uveljavljanje izhodiščnih zahtev:
»Naslednje kontrole morajo biti uveljavljene na vseh mobilnih napravah (napravah podjetja in BYOD):«
Vir: Mobile Device and BYOD Policy-sme, zahteve upravljanja, klavzula 5.2.1 Mobile Device and BYOD Policy - SME
Za regulirane ali večje organizacije je Clarysecova Mobile device and byod policy Mobile device and byod policy bolj predpisujoča:
»Vse mobilne naprave (službene ali osebne), ki dostopajo do virov organizacije, morajo biti:
5.1.1 registrirane in vpisane v odobreno platformo za upravljanje mobilnih naprav (MDM).
5.1.2 konfigurirane s tehničnimi varnostnimi kontrolami, vključno z obveznim šifriranjem in avtentikacijo.
5.1.3 spremljane glede skladnosti z opredeljenimi izhodišči operacijskega sistema (OS) in nameščanja popravkov.«
Vir: Mobile device and byod policy, zahteve upravljanja, klavzula 5.1 Mobile device and byod policy
To je besedilo, primerno za presojo. Presojevalec lahko testira populacijo mobilnih naprav, jo primerja z dnevniki dostopa, vzorči evidence vpisa in preveri, ali se šifriranje, avtentikacija in izhodišča popravkov uveljavljajo.
BYOD zahteva tudi meje privolitve, občutljive na zasebnost. Politika za velika podjetja določa:
»Dostop BYOD se odobri samo po formalnem sprejemu dogovora organizacije o uporabi lastnih naprav (BYOD), ki vključuje:
5.2.1 privolitev v spremljanje službenih vsebnikov ali upravljanih aplikacij
5.2.2 potrditev seznanitve s kontrolami upravljanja mobilnih naprav (MDM), kot sta oddaljeni izbris ali zaklep
5.2.3 dogovor o prostovoljnem sodelovanju in pravici do izstopa«
Vir: Mobile device and byod policy, zahteve upravljanja, klavzula 5.2 Mobile device and byod policy
Ta klavzula je ključna za uskladitev z GDPR. Pojasni, da spremljanje velja za službene vsebnike ali upravljane aplikacije, dokumentira potrditev zaposlenega glede zaklepa ali oddaljenega izbrisa ter ohrani pravico do izstopa. Pomaga ločiti legitimno spremljanje službene varnosti od pretiranega nadzora osebnega življenja.
Od politike do kontrol: MDM, vsebniki, dostop in dnevniki
Politika postane upravljanje šele, ko se izvaja in je podprta z dokazili. Praktično izhodišče se začne z vpisom.
»Vse mobilne naprave morajo biti pred dostopom do sistemov podjetja vpisane v rešitev za upravljanje mobilnih naprav (MDM).«
Vir: Mobile device and byod policy, zahteve za izvajanje politike, klavzula 6.1.1 Mobile device and byod policy
Za okolja velikih podjetij mora ista izvedbena plast uveljavljati šifriranje, PIN, geslo ali biometrično avtentikacijo, zaklep ob nedejavnosti, podprte različice OS, zaznavanje naprav z odstranjenimi varnostnimi omejitvami (jailbreak ali root), izhodišča popravkov ter brisanje ali ponovno namestitev slike po ponavljajočih se neuspešnih poskusih prijave.
Pri BYOD je boljša zasnova običajno uporaba upravljanih aplikacij ali službenih vsebnikov namesto nadzora celotne naprave. Politika to zajame tako:
»Službeni podatki morajo biti shranjeni samo v šifriranih, upravljanih vsebnikih.«
Vir: Mobile device and byod policy, zahteve za izvajanje politike, klavzula 6.6.1 Mobile device and byod policy
To podpira minimizacijo podatkov po GDPR in varnost obdelave po Article 32, ker so poslovni podatki omejeni na upravljana območja, osebna območja pa se ne obravnavajo kot službeni repozitoriji. Organizaciji daje tudi praktičen odgovor, ko je osebni telefon izgubljen: prekliči seje, izbriši službene podatke, ohrani dnevnike in oceni izpostavljenost brez brisanja osebnih fotografij, sporočil ali aplikacij.
Pogojni dostop nato poveže identiteto s stanjem naprave. Občutljivi sistemi morajo najmanj zahtevati vpis naprave, MFA, šifriranje, podprt OS, zaklep zaslona, odsotnost stanja jailbreak ali root, dostop prek upravljane aplikacije ter omejitve prenosov, souporabe odložišča ali zajema zaslona, kadar to zahteva tveganje. To daje praktičen učinek kontrolam A.8.1 uporabniške končne točke, A.8.3 omejitev dostopa do informacij in A.8.5 varna avtentikacija.
Beleženje zapre zanko. Politika za velika podjetja zahteva:
»Dnevniki mobilnega dostopa morajo biti zajeti in hranjeni najmanj 90 dni, z integracijo v centralno platformo SIEM, kjer je to primerno.«
Vir: Mobile device and byod policy, zahteve upravljanja, klavzula 5.6 Mobile device and byod policy
Za manjša okolja Clarysecova Logging and Monitoring Policy-sme Logging and Monitoring Policy - SME dodaja praktični minimum:
»Na sistemih BYOD in oddaljenih sistemih mora biti omogočeno lokalno beleženje dogodkov avtentikacije in zaznav protivirusne zaščite«
Vir: Logging and Monitoring Policy-sme, zahteve za izvajanje politike, klavzula 6.3.1 Logging and Monitoring Policy - SME
Program upravljanja mobilnega dostopa brez dnevnikov je težko zagovarjati. Preiskava izgubljene naprave potrebuje zgodovino dostopa, neuspele poskuse, stanje skladnosti naprave, dokazila o preklicu sej in vse relevantne aktivnosti DLP ali vsebnika.
Kje se upravljanje mobilnega dostopa umešča v 30-koračni načrt
Clarysecov Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint umešča upravljanje mobilnega dostopa in BYOD v več faz izvajanja. BYOD ne obravnava kot en sam dokument politike.
V fazi Kontrole v praksi, korak 16, Kontrole za ljudi II, Zenith Blueprint obravnava delo na daljavo in BYOD:
»Uporaba osebnih naprav (BYOD) mora biti bodisi prepovedana bodisi dovoljena samo pod strogimi pogoji, kot je vpis v rešitev za upravljanje mobilnih naprav (MDM), ki podpira uporabo podatkovnih vsebnikov in oddaljeni izbris službenih podatkov, če je naprava izgubljena ali če uporabnik zapusti podjetje.«
Vir: Zenith Blueprint, faza Kontrole v praksi, korak 16, Kontrole za ljudi II Zenith Blueprint
V koraku 19, Tehnološke kontrole I, Zenith Blueprint opredeli končne točke kot izhodišče digitalne interakcije:
»Uporabniške končne točke, prenosniki, pametni telefoni, tablice, namizni računalniki in celo tanki odjemalci so mesto, kjer se začne digitalna interakcija. So vrata in okna v vaše sisteme.«
Vir: Zenith Blueprint, faza Kontrole v praksi, korak 19, Tehnološke kontrole I Zenith Blueprint
Korak 18, Fizične kontrole II, obravnava varnost sredstev zunaj prostorov organizacije. To vključuje naprave, puščene v avtomobilih, tablice, uporabljene v javnih prostorih, prenosnike, oddane v prtljago, in datoteke, shranjene brez povezave. Načelo je preprosto: tudi če je naprava izgubljena ali ukradena, morajo podatki ostati nedostopni.
| Faza in korak Zenith Blueprint | Rezultat upravljanja mobilnega dostopa | Vrednost za presojo |
|---|---|---|
| Kontrole v praksi, korak 16 | Pogoji dela na daljavo in BYOD | Prikaže politiko, upravičenost, usposabljanje in pričakovanja glede MDM |
| Kontrole v praksi, korak 18 | Zaščita sredstev zunaj prostorov organizacije | Prikaže dodelitev sredstev, ravnanje na potovanjih in dokazila o šifriranju |
| Kontrole v praksi, korak 19 | Utrjevanje in upravljanje končnih točk | Prikaže skladnost naprav, nameščanje popravkov, spremljanje in pogojni dostop |
Ta večplastni pristop je način, kako je Sara prešla iz panike v upravljanje. Ni kupila orodja in razglasila, da je zadeva rešena. Pravila za ljudi, fizično ravnanje in tehnično uveljavljanje je povezala v en preverljiv sistem.
Enotedenski sprint za paket dokazil BYOD
Praktičen način za zaprtje vrzeli je priprava paketa dokazil BYOD. To je nabor artefaktov, ki jih lahko vodja informacijske varnosti izroči presojevalcu, regulatorju, ocenjevalcu strank ali odboru organa upravljanja.
| Dan | Ukrep | Ustvarjena dokazila |
|---|---|---|
| Dan 1 | Določite obseg mobilnega dostopa po klavzulah ISO 27001 4.1 do 4.4 | Popis primerov uporabe mobilnega dostopa, zahteve zainteresiranih strani, sistemi v obsegu |
| Dan 2 | Odobrite pravilo BYOD in dodelite lastništvo | Odobrena politika, RACI, zapis o odobritvi vodstva |
| Dan 3 | Konfigurirajte tehnično izhodišče | Izvoz vpisov MDM, nastavitve šifriranja, izhodišče OS, pravila avtentikacije |
| Dan 4 | Povežite dostop s skladnostjo naprave | Politika pogojnega dostopa, dokazilo o zavrnitvi neskladne naprave, seznam izjem |
| Dan 5 | Zajemite dokazila o beleženju in incidentih | Vzorec SIEM, dnevniki mobilnega dostopa, predloga zahtevka za incident, delovni tok za izgubljeno napravo |
| Dan 6 | Preizkusite odziv na izgubljeno napravo | Zapisnik namizne vaje, dokazilo o preklicu sej, test oddaljenega izbrisa, zapiski ocene kršitve |
| Dan 7 | Odobrite izjeme in preostalo tveganje | Zapis o sprejemu tveganja, kompenzacijske kontrole, datum poteka, odobritev lastnika tveganja |
Za dan 1 identificirajte telefone v lasti podjetja, osebne telefone, uporabljene za MFA, tablice BYOD, ki dostopajo do nadzornih plošč, mobilne naprave pogodbenih izvajalcev, privilegirane uporabnike, ki dostopajo do administratorskih konzol, in vsak mobilni dostop do sistemov, ki obdelujejo osebne podatke ali finančne transakcije.
Za dan 6 preizkusite realističen scenarij: direktor prodaje poroča, da je bil na letališču ukraden osebni telefon z upravljano službeno e-pošto. Politika za MSP določa jasno pričakovanje glede poročanja:
»Izgubljene, ukradene ali kompromitirane naprave je treba prijaviti generalnemu direktorju v 1 uri«
Vir: Mobile Device and BYOD Policy-sme, zahteve za izvajanje politike, klavzula 6.4.1 Mobile Device and BYOD Policy - SME
Vaja mora preveriti, ali lahko ekipa identificira napravo, prekliče seje, na daljavo izbriše službene podatke, ohrani dnevnike, oceni izpostavljenost osebnih podatkov, odloči, ali je potrebna analiza kršitve po GDPR, in ugotovi, ali bi se lahko sprožili pragovi poročanja po NIS2 ali DORA.
Navzkrižna skladnost: en mobilni program, štiri zgodbe dokazil
Vrednost upravljanja BYOD na podlagi ISO 27001 je ponovna uporaba. En nabor kontrol lahko ustvari dokazila za več obveznosti, če je dobro strukturiran.
| Okvir | Vprašanje glede mobilnega dostopa in BYOD | Dokazila iz pristopa Clarysec |
|---|---|---|
| ISO/IEC 27001:2022 | Ali so mobilna tveganja identificirana, obravnavana in nadzorovana prek ISMS? | Obseg, ocena tveganja, izjava o uporabnosti, odobritev politike, poročila MDM, dnevniki, zapisi o incidentih |
| NIS2 | Ali so kibernetska higiena, nadzor dostopa, upravljanje sredstev, obravnavanje incidentov in usposabljanje izvedeni? | Odobritev organa upravljanja, politika BYOD, zapisi o usposabljanjih, kontrole dostopa, delovni tok za izgubljeno napravo, dokazila dobaviteljev |
| DORA | Ali so mobilne naprave del tveganj IKT, upravljanja incidentov, testiranja odpornosti in upravljanja tretjih oseb? | Register tveganj IKT, skladnost naprav, razvrščanje incidentov, dokazila o testiranju, skrbni pregled dobavitelja MDM |
| GDPR Article 32 | Ali so dejavnosti obdelave osebnih podatkov zaščitene z ustreznimi tehničnimi in organizacijskimi ukrepi? | Uporaba vsebnikov, šifriranje, omejitev dostopa, beleženje, presoja kršitve, zapisi o vgrajenem varstvu podatkov |
Ista logika velja na ravni kontrol.
| Kontrola Priloge A ISO/IEC 27001:2022 | Vrednost dokazil za NIS2 | Vrednost dokazil za DORA | Vrednost dokazil za GDPR Article 32 |
|---|---|---|---|
| A.8.1 Uporabniške končne točke | Podpira politike kibernetske higiene, upravljanja sredstev in nadzora dostopa | Podpira zaščito sredstev IKT, spremljanje končnih točk in testiranje odpornosti | Podpira šifriranje, zaupnost, celovitost in varen dostop do osebnih podatkov |
| A.6.7 Delo na daljavo | Podpira varen oddaljeni dostop, usposabljanje in pričakovanja glede poročanja o incidentih | Podpira postopke okvira tveganj IKT in obravnavanje incidentov pri delu na daljavo | Podpira organizacijska pravila za obdelavo osebnih podatkov zunaj nadzorovanih prostorov |
| A.7.9 Varnost sredstev zunaj prostorov organizacije | Podpira zaščito sredstev, neprekinjenost in pričakovanja glede ravnanja tretjih oseb | Podpira zmanjševanje tveganj kraje ali izgube naprav, ki se uporabljajo na daljavo | Podpira preprečevanje nenamerne izgube, uničenja ali nepooblaščenega dostopa |
Pri NIS2 je obseg pomemben. Ponudniki digitalne infrastrukture, ponudniki storitev v oblaku, ponudniki podatkovnih centrov, omrežja za dostavo vsebin, ponudniki DNS, registri TLD, ponudniki storitev zaupanja, javni ponudniki elektronskih komunikacij, ponudniki upravljanih storitev B2B in ponudniki upravljanih varnostnih storitev lahko glede na velikost, sektor in nacionalno implementacijo spadajo med bistvene ali pomembne subjekte. Neupravljan mobilni dostop do operativnih sistemov v tem kontekstu ni manjša IT-izjema. Je vprašanje upravljanja.
Pri DORA lahko ponudnik MDM ali UEM postane del dokazil o tveganjih tretjih oseb, če podpira dostop do kritičnih ali pomembnih funkcij. Organizacije, usmerjene v DORA, morajo dokumentirati skrbni pregled, ravni storitev, lokacije podatkov, pomoč pri incidentih, varnostne ukrepe, pravice do revizije, izstopne ureditve in sodelovanje ponudnika pri testiranju, kjer je to relevantno.
Pri GDPR izgubljeni osebni telefon ni samodejno prijavljiva kršitev varnosti osebnih podatkov. Resna skrb postane, če so službeni podatki dostopni, nešifrirani, predpomnjeni zunaj upravljanih vsebnikov ali izpostavljeni prek aktivnih sej. Organizacija mora vedeti, kateri podatki so bili dostopni, ali so kontrole preprečile nepooblaščen dostop in ali dnevniki podpirajo sklep.
Kako bodo presojevalci testirali upravljanje BYOD
Zrel program mora biti pripravljen na različne sloge presoje.
| Ozadje presojevalca | Verjeten pristop presoje | Pričakovana dokazila |
|---|---|---|
| Presojevalec ISO 27001 | Sledi mobilnemu tveganju od konteksta, obsega, ocene tveganja in izjave o uporabnosti do izvedenih kontrol | Obseg ISMS, zapisi o mobilnih tveganjih, SoA, politika, poročila o vpisih, pravila dostopa, korektivni ukrepi |
| Ocenjevalec NIST CSF | Primerja trenutne in ciljne profile glede rezultatov GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND in RECOVER | Profil CSF, prednostni akcijski načrt, evidenca naprav, spremljanje, načrti odzivanja, dokazila o obnovitvi |
| Presojevalec COBIT 2019 ali ISACA | Osredotoči se na cilje upravljanja, odgovornost, uspešnost, lastništvo tveganj in učinkovitost kontrol | Odobritev vodstva, RACI, metrike, register izjem, testiranje kontrol, odprava ugotovitev |
| Pregledovalec DORA | Mobilni dostop obravnava kot del tveganj IKT, upravljanja incidentov, testiranja odpornosti in odvisnosti od tretjih oseb | Okvir tveganj IKT, razvrščanje incidentov, zapisi testiranja odpornosti, register dobaviteljev MDM, izstopni načrt |
| Presojevalec GDPR ali strokovnjak za varstvo podatkov | Presodi, ali je mobilna obdelava osebnih podatkov zakonita, potrebna, zavarovana in dokazljiva | Meje privolitve BYOD, uporaba vsebnikov, DLP, šifriranje, dnevniki dostopa, zapisi presoje kršitve |
Kontrolni seznam za presojo dela na daljavo v Zenith Blueprint je neposreden: presojevalci bodo preverili, ali se politika izvaja, ne le dokumentira. Pripravljeni bodite predstaviti formalno politiko, pojasniti uveljavljanje, kot so uporaba VPN, šifriranje končnih točk ali MDM, pokazati vpis BYOD ali omejitve, predložiti zapise o usposabljanjih in dokazati, da delavci na daljavo razumejo svoje dolžnosti.
NIST CSF 2.0 ponuja uporaben dopolnilni model. Njegova funkcija GOVERN zahteva, da so pravne, regulativne in pogodbene zahteve kibernetske varnosti razumljene in upravljane, da je tveganje kibernetske varnosti vključeno v upravljanje tveganj podjetja, da so vloge in pooblastila opredeljeni, da so politike vzpostavljene in spremljane ter da se ocenjuje uspešnost. Pri upravljanju mobilnega dostopa bi praktični ciljni profil lahko določal: vse naprave, ki dostopajo do osebnih podatkov ali kritičnih poslovnih sistemov, so vpisane, šifrirane, skladne, spremljane in jih je mogoče odstraniti v eni uri po obvestilu o kompromitaciji.
Pogoste ugotovitve presoje pri BYOD
Ugotovitve pri upravljanju mobilnega dostopa redko izvirajo iz ene katastrofalne odpovedi. Običajno izvirajo iz majhnih izjem, ki niso bile nikoli zaprte.
Pogoste ugotovitve vključujejo:
- BYOD je v praksi dovoljen, vendar ni formalno odobren
- aplikacije za avtentikacijo se obravnavajo kot izven obsega ISMS
- MDM je konfiguriran za službene naprave, ne pa tudi za osebne naprave s službenim dostopom
- izvršno vodstvo je izvzeto iz izhodišč skladnosti naprav
- pogojni dostop se obide prek zastarelih protokolov ali neupravljanih brskalnikov
- osebne naprave dostopajo do e-pošte brez uporabe vsebnikov
- mobilni dnevniki se hranijo v platformah SaaS, vendar se ne pregledujejo ali izvažajo
- postopek za izgubljeno napravo obstaja, vendar osebje ne pozna roka poročanja
- ni besedila o zasebnosti, ki pojasnjuje, kaj podjetje lahko in česa ne sme spremljati
- ni dokazil, da so mobilne izjeme časovno omejene in sprejete na podlagi tveganja
- dobavitelj MDM ni vključen v upravljanje tveganj tretjih oseb na področju IKT
- ni namizne vaje za kompromitacijo mobilne naprave
- ni preslikave kontrol BYOD na dokazila za GDPR Article 32, NIS2 ali DORA
Vsaka ugotovitev je odpravljiva. Težava običajno ni pomanjkanje orodij, temveč pomanjkanje lastništva, zasnove dokazil in preslikave za navzkrižno skladnost.
Zgodba za organ upravljanja
Vodstvo ne potrebuje vsake podrobnosti konfiguracije MDM. Potrebuje jasno zgodbo o odgovornosti.
Močno stališče glede BYOD na ravni organa upravljanja pove:
- Vemo, katere mobilne naprave dostopajo do virov organizacije.
- Ločujemo dostop z naprav v lasti podjetja in dostop BYOD.
- BYOD je prostovoljen, odobren in urejen z dogovorom.
- Službeni podatki so šifrirani in izolirani.
- Dostop je odvisen od skladnosti naprave.
- Dnevniki se hranijo in pregledujejo.
- Izgubljene ali kompromitirane naprave se hitro prijavijo.
- Službene podatke je mogoče izbrisati ali dostop preklicati.
- Tveganja za osebne podatke se presojajo po GDPR.
- Izjeme so odobrene, časovno omejene in pregledane.
To poveže upravljanje mobilnega dostopa z apetitom po tveganju, operativno odpornostjo, pravno odgovornostjo in zaupanjem strank. Organom upravljanja daje tudi dokazila, ki jih potrebujejo za dokazovanje nadzora po NIS2 in DORA.
Kako pomaga Clarysec
Clarysecov model upravljanja mobilnega dostopa in BYOD združuje politiko, izvedbo in preslikavo navzkrižne skladnosti.
Prvič, knjižnica politik organizacijam zagotavlja upravljavsko besedilo, pripravljeno za prilagoditev. Mobile Device and BYOD Policy-sme je praktična za manjša podjetja, ki potrebujejo jasna pravila odobritve in poročanja. Mobile device and byod policy podpira regulirana okolja, ki zahtevajo MDM, šifriranje, avtentikacijo, izhodišča OS, DLP, vsebnike, beleženje in formalne dogovore BYOD.
Drugič, Zenith Blueprint zagotavlja izvedbeno pot. Pokaže, kam upravljanje mobilnega dostopa spada v 30-koračni načrt presoje: delo na daljavo, varnost sredstev zunaj prostorov organizacije in kontrole končnih točk. To prepreči pogosto napako, da se BYOD obravnava kot en sam dokument namesto kot živ kontrolni sistem.
Tretjič, Zenith Controls zagotavlja kompas navzkrižne skladnosti. Povezuje kontrole Priloge A ISO/IEC 27001:2022 A.8.1, A.6.7 in A.7.9 s povezanimi kontrolami, podpornimi standardi in pričakovanji presoje. Ta preslikava vodjem informacijske varnosti pomaga odgovoriti na pravo vprašanje regulatorja: pokažite, da je vaše upravljanje mobilnega dostopa sorazmerno, izvedeno in učinkovito.
Naslednji koraki: pripravite zagovorljiv paket dokazil BYOD
Če vaša organizacija dovoljuje mobilni dostop ali dostop BYOD, ne čakajte, da izgubljeni iPad razkrije vrzel v dokazilih.
Začnite z usmerjeno presojo:
- Navedite vsako pot mobilnega dostopa do podatkov podjetja in kritičnih sistemov.
- Primerjajte dejanski dostop z Mobile device and byod policy Mobile device and byod policy ali Mobile Device and BYOD Policy-sme Mobile Device and BYOD Policy - SME.
- Pripravite enostranski vnos v register mobilnih tveganj, povezan z ISO/IEC 27001:2022.
- Uporabite Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint za izvedbo kontrol dela na daljavo, sredstev zunaj prostorov organizacije in končnih točk.
- Uporabite Zenith Controls: The Cross-Compliance Guide Zenith Controls za preslikavo dokazil na pričakovanja NIS2, DORA, GDPR, NIST in COBIT 19.
- Uporabite Logging and Monitoring Policy-sme Logging and Monitoring Policy - SME za določitev praktičnih pričakovanj glede beleženja v manjših okoljih.
- Izvedite namizno vajo izgubljene naprave in ohranite dokazila.
Clarysec vam lahko pomaga neupravljan mobilni dostop pretvoriti v zagovorljiv, preverljiv program upravljanja. Prenesite politike, preslikajte svoje kontrole z Zenith Controls, izvedite časovni načrt z Zenith Blueprint in načrtujte presojo Clarysec, preden vaš naslednji presojevalec zastavi vprašanje ob 8:12.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
