Back-to-School: Aus dem Klassenzimmer des CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Somit ist es ein Teil des 15-tägigen Lehrgangs, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:

Information Security: Bring your own Device (BYOD)

Wenn der Mitarbeitende das private Geräte zum Arbeiten einsetzt.

Immer häufiger hört man den Begriff «Bring your own Device (BYOD)» doch was bedeutet das in Sachen Sicherheit für die Unternehmens IT? Bring your own Device ist die Bezeichnung dafür, private mobile Endgeräte wie Laptops, Tablets oder Smartphones in die Netzwerke von Unternehmen zu integrieren. BYOD bezeichnet in vielen Unternehmen heute aber auch Regeln und Organisationsrichtlinien zur Nutzung eigener elektronischer Bürogeräte zu dienstlichen Zwecken. Insbesondere wird der Zugriff auf Netzwerkdienste und das Verarbeiten und Speichern organisations- oder unternehmensinterner Daten geregelt.

Doch welche Fragen sollte man sich als CIO stellen, wenn BYOD in der Unternehmung ein Thema wird?

1. Welche schriftlichen Richtlinien gibt es bereits im Unternehmen?

Gibt es bereits Richtlinie, die den Umgang mit Firmen eigener IT regeln und was kann aus diesen Übernommen werden? Unternehmensrichtlinien sollten einfach zu verstehen, durchsetzbar und technologisch umsetzbar sein.

2. Wie wollen wir die mobilen Geräte sichern?

Sicherheitsmassnahmen wie Gerätefernlöschung und Policy Handling, Schutz von Unternehmensdaten auf den Geräten, Schutz unseres Netzwerks vor Bedrohungen die von diesen Geräten ausgehen. Diese Punkte können wir mit einer Mobile-Device-Management-Software erfassen. Hierzu müssen wir jedoch auch festlegen, welche Geräte wir mit unserem BYOD-Konzept überhaupt unterstützen.

3. Wie schaffen wir ein gemeinsames Bewusstsein zu BYOD innerhalb des Unternehmens?

Unsere Angestellten sollte ausreichend informiert werden, dass es möglich ist, eigene Geräte einzusetzen, aber auch über die Betriebsrichtlinien zu diesem Thema und den Einfluss den sie auf deren Geräte haben werden.

4. Stellen wir als Unternehmen einen eigenen App-Store?

Stellen wir unseren Angestellten Unternehmens-Apps zur Verfügung oder Apps, die speziellen Lizenzen unterliegen?

5. Welche Services werden wir unterstützen?

E-Mail, Kalender, interne Telefonie,  ERP, CRM, eCommerce und viele Weitere können unterstützt werden. Aber, können und wollen wir alles unterstützen?

6. Ist unser Service Desk bereit?

Ist der Service Desk in der Lage Anfragen „von“ mobilen Geräten „über„ mobile Geräten  zu empfangen und zu bearbeiten? Ist der Service-Desk informiert dass jeder Nutzer im Durchschnitt drei Geräte hat? Wie kann der Service Desk arbeiten, Remote Control oder andere Management Optionen?

7. Was bedeutet das für unser Netzwerk?

Ist unser Netzwerk für die höhere Anzahl an Endgeräten überhaupt konzipiert oder muss etwas geändert werden? Mehr Daten via Wireless, weniger auf dem kabelgebundenen LAN.

8. Was passiert mit dem Gerät und den Daten bei einer Kündigung?

Einer der wichtigsten Punkte, der in allen anderen Punkten von Anfang an berücksichtigt werden soll. In der BYOD-Richtlinie muss dies klar festgelegt werden, das Mobile-Device-Management sollte dies technisch lösen können und der Service-Desk oder HR-Mitarbeitende sollten einen klaren Prozess für einen Austritt eines Mitarbeitenden haben. Sie werden schnell feststellen, dass es in vielen Punkten detaillierte Abklärung und in den meisten Fällen zusätzliche Software Tools benötigt. Da unser Alltag und unser Geschäftsleben aber immer mehr auf Mobilität und schnelle Reaktion ausgerichtet ist, ist es unmöglich, auf mobile Endgeräte zu verzichten. Gemäss der aktuellen Umfrage des Wirtschaftsprüfungsunternehmens Deloitte nehmen 25 Prozent der Smartphone-Nutzer ihr Gerät häufiger als 50 mal pro Tag in die Hand. Mit diesem Wissen erscheint es für Unternehmen fast schon unvermeidlich, ein BYOD-Konzept einzuführen. Das Unternehmen profitiert schliesslich aus der Smartphone-Nutzung der Mitarbeitenden: mehr Produktivität – auch nach Feierabend.

Bring your own Device (BYOD): Fazit

Um Mitarbeitenden die Möglichkeit zur freien Entfaltung zu geben und mobiles Arbeiten zu fördern ist BYOD eine gute Lösung, wenn sie geplant umgesetzt wird. Informieren Sie sich daher frühzeitig über den Trend hin zum eigenen Gerät und Planen Sie Ihr BYOD-Konzept gründlich um Sicherheit und Verfügbarkeit gewährleisten zu können.

---

  Bring your own Device (BYOD) Literaturquellen:

Überblickspapier Consumerisation und BYOD, Bundesamt für Sicherheit in der Informationstechnik. Präsentation, IBM Pulse 2014. The Ultimate Guide to BYOD, MobileIron

Bring your own Device (BYOD) Links:

https://www.edoeb.admin.ch/datenschutz/00763/01249/index.html?lang=de      

---

Blogpost wurde erstellt von Stephan Rabus (green.ch AG) im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.