BYOD (Bring Your Own Device, edo, hitzez hitz itzulita, ekarri zure gailua) lan-paradigma berri bat da, eta enpresen eremuan gailu pertsonalak erabiltzeko aukera ematen du.
Azken urteotan, eta bereziki 2020an COVID-19arekin batera indar hartu duen telelanarekin, areagotu egin da enpresen eta langileen artean gailu pertsonalak erabiltzeko aukera (eramangarriak, mugikorrak, tabletak...), dela laneko kontuetarako, dela sistema eta ingurune korporatiboetara sartzeko (posta elektronikoa, datu-baseak, zerbitzariak...).
Langileak eroso sentitzen dira beren gailuekin lan egiten; izan ere, ondo menderatzen dituzte eta, hala, saihestu egiten dute bi gailu baliatu beharra, bata ingurune pertsonalean eta bestea profesionalean. Era berean, enpresari gutxitu egiten zaizkio kostuak, ez baitu ekipamendu informatikoa eskuratu eta hornitu beharrik, besteak beste. Hala ere, enpresek zaindu egin behar dute gailu horien segurtasuna, segurtasun-politika berberak aplikatuz eta zorrotz monitorizatuz, horiek erabiltzeak ez dezan arriskuan jarri enpresaren informazioaren segurtasuna.
Abantailak |
Eragozpenak |
---|---|
|
|
BYODaren mehatxuak eta arriskuak
Mehatxu eta ahultasun ugari daude BYOD politikei loturik, eta, gailuaren beraren segurtasuna ez ezik, eskura dituen sistemena eta kudeatzen duen informazioarena ere jar dezakete arriskuan.
BYOD politika oraintsu ezarri duten enpresetan, baliteke informazioa eskuratzeko aukera ematea, segurtasun-konfigurazioa konpainiaren segurtasun-administrazioarekin guztiz lerrokatuta ez duten gailuen bidez. Horretaz gainera, langileek ez dute kontuan hartzen gailu horiek kudeatzeko zehaztutako segurtasun-politika, ez baitakite zer arrisku ekar ditzaketen informazio-ihesaren, galeraren, lapurretaren eta abarren arloan.
Segurtasunak eta pribatutasunak modu desberdinean eragiten diete erakundeei eta langileei. Enpresek kezka handiagoa izaten dute enpresa-datuen segurtasunarekin (nola murriztu langileen gailuetan datu korporatiboak erabiltzearen ondoriozko arriskua). Langileak, aldiz, gehiago kezkatzen dira beren datu pertsonalen pribatutasunarekin eta konfidentzialtasunarekin (eta enplegatzaileek datu horiek eskuratzeko dituzten eskubideekin).
Segurtasun-arriskuak
- Segurtasun-eguneratzeak falta izatea. Segurtasun-akats ezagunen aurreko kalteberatasuna, segurtasun-eguneratzerik ez izateagatik –gailu korporatiboen politika berberen mende ez egotearen ondorioz–. Nahitaezkoa da segurtasun aplikazioak azken bertsioarekin eguneratuta edukitzea. Gailura sartzeko kontrolik eza. Mekanismo laxoak erabiltzea mugikorrak desblokeatzeko patroi gisa, ez izatea sarbidea kontrolatzeko mekanismorik, edo gailu korporatiboetan bezain sendoak ez diren mekanismoak erabiltzea.
- Aplikazioak instalatzea. Gailuetan instalatutako aplikazio ez-fidagarriak, baimen gehiegi eskatzen dituztenak, eta, ondorioz, gailuotako informazioaren segurtasuna arriskuan jartzea. Aplikazio maltzur bat gai izan daiteke beste aplikazio batzuetako informazioa arakatzeko, aldatzeko edo lapurtzeko, eta arriskuan jar ditzake gailuaren aplikazio fidagarriak.
- Sistema eragilearen segurtasuna aldatzea. Fabrikatzaileek ezarritako konfigurazio-murrizketak ezabatzea; esaterako, iOSetan jailbreak edo Android gailuetan rooting teknikak baliatuz. Eta, horrekin, gailuen zaurgarritasuna areagotzen da aplikazio ez-seguruen aurrean.
- Gailua lapurtzea, galtzea edo hondatzea. Tamainagatik eta eramangarritasunagatik, arrisku handiagoa izaten da gailu horiek fisikoki galtzeko edo baten batek lapurtzeko. Gainera, datuak zifratu gabe dauzkaten gailuak lapurtuz gero, baliteke baimenik ez duten pertsonek informazio konfidentziala eskuratzea.
- Erabilera ez-segurua. Gailua nahita uztea senide edo lagunei, enpresa-informazioa arriskuan jarriz. Bereizten ez denez erabilera pertsonala eta enpresakoa, gerta liteke ustekabean ezabatzea informazio korporatiboa.
- Hari gabeko konexio ez-seguruak. Gailua eta jasotako informazioa seguruak ez diren edo zifratze ahula duten wifi-konexio publikoen esposiziopean ipintzea. NFCa eta bluetootha erabiltzeak ere baditu segurtasun-arriskuak.
- Esposizio lokala. Gailu pertsonaletan biltegiratu eta prozesatu daitekeen informazio korporatiboaren kontrola eta ikuspena galtzea. Horixe da BYOD politikaren berezko arriskuetako bat. Adibidez, lan-harremana amaitu ondoren enpresa-informazioa gailu pertsonaletan deskargatuta daukaten langileak, informazio horren erabilera desegokia eragin dezaketenak.
Pribatutasun-arriskuak
- Lege-arauak ez betetzea, hala nola Datuak Babesteko Erregelamendu Orokorra. BYOD politikak esan nahi du langileak bere eginkizunetarako eskura dezakeen informazioaren konfidentzialtasuna, osotasuna eta eskuragarritasuna mantentzea, eta, horregatik, beharrezkoa da ezartzea zer zigor ekarriko lukeen printzipio horiek ez betetzeak.
- Informazio pertsonala galtzea. Gailu batean segurtasun-arrakala bat identifikatuz gero, BYOD politikak ezin ditu beti bereizi datu pertsonalak eta enpresari dagozkionak. Beraz, ildo horretan beharrezkoa da neurriak hartzea, hala nola gailua urrunetik blokeatzea eta, batzuetan, urrunetik ezabatu behar izatea –gailu bateko informazio guztia ezabatzea ekarriko luke, hala pertsonala nola profesionala–.
- Geolokalizazioa. Segurtasunagatik, enpresak eska diezaioke langileari geolokalizazioa aktibatzeko BYOD gailuetan. Horrek ekar dezake nolabaiteko Big Brother sentsazioa; izan ere, IT departamentua gai izan daiteke une oro monitorizatzeko langilearen kokapen fisikoa eta onlineko jarduera.
Nola babestu. Ekintza eta jardunbide egokiak.
BYOD politikaren garapena. BYODa erabiltzeko araudi bat garatzea, enpresen zein erabiltzaileen erantzukizunak zehatz-mehatz argituta. Jaso beharreko alderdien artean egongo dira, gutxienez, baimendutako gailuen, erakusgai dauden zerbitzu eta aplikazioen, erabilera-baldintzen eta informazioa eskuratzeko baldintzen zerrenda.
BYOD politikari eusteko neurri teknikoak ezartzea. Zehaztutako BYOD politikari euskarria emango dioten kontrol teknikoak inplementatu beharko dira. Gailuak erabiltzeko beharrezko segurtasun-konfigurazioak: sarbideak kontrolatzea pasahitz sendoen bidez, gailuek gutxieneko hardware eta software baldintzak betetzea, autentifikazio-zerbitzuak ezartzea, suebakiak...
MDM (Mobile Device Management) teknologia erabiltzea da BYODari lotutako neurri espezifiko bat. Software horren helburua da, esate baterako, gailu mugikorren segurtasuna eta funtzionaltasuna optimizatzea; izan ere, galarazi egiten du nahi ez dugun hirugarrenak enpresa-sarera sartzea eta, hala, saihestu egiten dira informazio-ihesak.
MDMak jasandako neurri teknikoen artean daude, besteak beste, honako hauek: gailuen fitxategiak sinkronizatzea zerbitzariarekin, aplikazioak modu kontrolatuan eta zentralizatuan instalatzea, gailuak lokalizatu ahal izatea galdu edo lapurtuz gero, urruneko lana errazago monitorizatzea eta gailu mugikor horiei lotutako arriskuak kudeatzea.
Kontzientziazioa eta prestakuntza. BYOD araudia argitaratzea eta langileek eskuragarri izatea. Prestakuntza-saioak antolatzea eta langileak informaziotik ihes egiteko eta informazioa galtzeko arriskuaz kontzientziatzea.
BYODarekin loturiko segurtasun-neurriak eta jardunbide egokiak ezartzea.
- Gailuak konfiguratzea
- Autentifikazio-sistema sendoak
- Gailu eguneratuak. Eguneratze automatikoak konfiguratzea
- Antibirusa erabiltzea Eguneratzeen konfigurazio automatikoa
- Datuak zifratzea komunikazioetan eta gailuetan
- Urruneko kokapena
- Gailuaren kokapena
- Gailua urrutitik blokeatzea
- Gailuko edukia urrutitik ezabatzea
- Kontingentzia-neurriak
- Segurtasun-kopien konfigurazioa
- Bestelako segurtasun-neurriak
- Debekatzea jailbreak edo rooting bidez segurtasun-konfigurazioa aldatuta daukaten gailuen erabilera.
- Formularioak automatikoki betetzeko edo pasahitzak gogoratzeko aukera desaktibatzea.
- Sare korporatibotik kanpo, lehentasunez 3G edo 4G sareak erabiltzea. Wifi publikoa erabiliz gero, beti VPNa gaituta, erabilgarri badago. Sareetarako konexio automatikoa desgaitzea
- Gailuen blokeo automatikoa konfiguratzea
- Hodeiarekin automatikoki sinkronizatzeko aukera desgaitzea.
- Aplikazio legitimoak erabiltzea, lizentzia balioduna edukitzea.
- Aplikazioak iturri fidagarrietatik deskargatzea beti: fabrikatzailearen orritik edo denda ofizialetik.
- Pasahitz independenteak edukitzea norberaren erabilerarako eta erabilera profesionalerako.
Ondorioak
BYOD politika bat onartzeak esan nahi du oreka bilatu behar dela: alde batetik, soluzio horrek enpresan maila guztietan ematen duen malgutasuna eta moldagarritasuna eta, bestetik, gailuak kudeatzeak, informazioa eskuratzeak, datuen segurtasuna bermatzeak eta sareak administratzeak eskatzen duen segurtasunari eustea.
BYODak langileei eta enpresari ekartzen dizkien onurek ez dute estali behar politika horrek informazioaren pribatutasunean eta segurtasunaren administrazioan eragin dezakeen arriskua; izan ere, areagotu egin daiteke ingeniaritza sozialeko erasoekiko esposizioa, BYODa ezartzearekin ugaritu egiten baita zibergaizkileak iristeko aukera.
«Nola babestu. Ekintza eta jardunbide egokiak» atalean adierazi dugunaren ildotik, ezinbestekoa da, alde batetik, BYOD politika bat garatzea, segurtasun- eta pribatutasun-arriskuak kontuan harturik mehatxuak minimizatu ditzan eta erabiltzaileen, aplikazioen eta informazio korporatiboaren segurtasuna bermatzeko mekanismoak ezar ditzan, eta, bestetik, langileak kontzientziatzeko eta prestatzeko etengabeko prozesu bat ezartzea, teknologia gaizki erabiltzeko aukerak murrizteko.