Günümüzde hepimizin bildiği gibi kişisel ve ev aktiviteleri için güçlü el tipi akıllı telefon cihazlarının yanı sıra tablet bilgisayarları da kullanmaktayız. Bu cihazlar küçük kişisel cep telefonları olarak hayatımıza girmeye başladı, ancak internet erişim gereksinimi, kısa mesaj göndermek, fotoğraf çekmek ve iletmek amacıyla yıllar içinde etkinlikleri artarak hayatımızdaki yeri genişledi. Tablet bilgisayarlar, harici klavye gereksinimi olmaksızın, dizüstü bilgisayarların tüm yeteneklerine sahiptir, ancak daha küçüktür, hafiftir. Birçok güçlü özelliklerine rağmen, bu cihazların maliyeti nispeten düşüktür. Çocuklarımızda dahil olmak üzere birçok aile de kullanılan kişisel cihazlar haline gelmiştir.
Yıllar önce bu taşınabilir cihazlar işyerlerinde kullanılmıyordu. İşletmeler, önemli çalışanlarını dizüstü bilgisayarları kullanmaya teşvik ederek başladı ve kurumsal yazılım ürünlerine erişmek için güvenli bağlantılarla bu süreci başlattı. Bununla birlikte, dizüstü bilgisayarları sadece iş ile ilgili kullanımlar için ayarlandı, kişisel kullanımlara müsaade edilmedi ve makineler çalışanın ayrılmasından sonra çalıştığı işletmeye iade edilecek şekilde kurallar belirlendi.
Bugüne baktığımızda, akıllı telefonların ve tablet bilgisayarların çalışanların kişisel kullanımı bazı BT yönetişim sorunlarını arttırdığını görmekteyiz. Örneğin, bu cihazlar genellikle dahili bir dijital kamera özelliğine sahiptir. Bu, bir çalışanın hassas bir belgenin fotoğrafını kolayca çekebileceği ve daha sonra yanlış amaçlar için başkalarıyla paylaşabileceği ve kullanabileceği göz önüne alındığında kesinlikle bir güvenlik sorununu ortaya çıkarmaktadır. Bu tür uygulamaları yasaklayan yayınlanmış kuralların olmasına rağmen, bir işletme, bu tür faaliyetlere karşı güçlü politikalar oluşturmasına rağmen, şirket içi fotoğrafçılığı gerçekten engelleyemez. Benzer şekilde, telefon ve tabletlerden hassas verilerin kopyalanmasına veya aktarılmasına imkan sağlayan veri transfer girişleri bulunmaktadır.
İşyerinde taşınabilir cihazlarının kullanımı ile ilgili endişelerin çoğu kurumsal güvenlik ile ilgilidir. Bir kuruluş, önemli çalışanların iş sorumluluklarının bir parçası olan kurumsal veri ağlarına bağlanmasına doğal olarak izin vermek isteyecektir. Bu durumda, güvenlik duvarları, virüsten koruma yazılımı ve güvenlik izleme yazılımı vb. araçlar, kurumsal ağ sistemlerine erişim verilecek herhangi bir mobil/taşınabilir cihaza da yüklenmelidir. Çok sayıda ve kullanılabilir aygıt türleri nedeniyle, bir kuruluş bu tür aygıtların verilmesini kontrol edemez, ancak kurumsal verilere erişmeden önce kullanımları için gerekli olan standartları belirlemiş olmalıdır.
Bir işyeri ortamında çalışan ve diğer paydaşların taşınabilir cihazlarının kullanımı için bir kurumsal politika örneğini sizlerle paylaşacağım. Böyle bir politika hazırlanarak, politikanın resmi olarak kabul edilmesi talebi ile birlikte tüm yeni çalışanlara iletilmelidir. Teknoloji her zaman değiştiğinden, bugünün taşınabilir cihazlarının boyutları ve doğası yarın ortak olanlardan çok farklı olabilir. Teknolojik gelişmelere bağlı olarak oluşturulan politikalar belirli periyotlarla kontrol edilerek revize edilmelidir. Politika bildirimleri, alıcıların gözden geçirilmiş politikayı anlamalarını ve kabul ettiklerini kabul etmeleri şartı ile periyodik olarak güncellenmeli ve yeniden yayınlanmalıdır. Bu taşınabilir cihaz politikasındaki temel unsurlar, yönetim ve iç denetim tarafından düzenli iç kontrol incelemelerinin bir parçası olarak kullanılmalıdır.

Örnek: Çalışanlar ve diğer paydaşlar için taşınabilir cihazlarının kullanımı politikası

Giriş: Mobil hizmetler ve mobil çalışanlara sürekli bağlantı sağlayan taşınabilir cihazların kullanımı kurumsal ortamlarda artmaktadır. Taşınabilir cihazların genellikle bireylerin mülkiyetinde olması nedeniyle, kurumsal varlıklara yeni tehdit vektörleri sunarlar. Güvenlik sorunları olan taşınabilir cihazlar arasında dizüstü bilgisayarlar, çıkarılabilir depolama aygıtları (örneğin, USB aygıtları), akıllı telefonlar, tablet bilgisayarlar ve kameralar bulunur.
Amaç ve Kapsam: Bu güvenlik politikası, hassas verilerin bütünlüğünü, verilerin ve uygulamaların bütünlüğünü ve şirket hizmetlerimizin kullanılabilirliğini korumak için tüm kurumsal ortamlarda taşınabilir cihazlarının doğru kullanımı için kurallar belirlemektedir. Taşınabilir cihazları ve kullanıcılarını, ayrıca kurumsal varlıkları (güvenilirlik ve bütünlük) ve işletmenin sürekliliğini (kullanılabilirlik) korumak için oluşturulmuştur. Bu politika, tüm çalışanlar, danışmanlar, satıcılar, yükleniciler, öğrenciler ve şirketimiz tarafından hizmet verilen herhangi bir yerde iş veya özel mobil taşınabilir cihazları kullanan tüm kullanıcılar için geçerlidir. Bu gerekliliklere ve bunlardan türetilen güvenlik politikalarına bağlılık ve hükümlerin uygulanması, kuruluşumuzun, bağlı ortaklıklarının ve çoğunluk holdinglerinin tamamında bağlayıcıdır. Politikaların kasıtlı veya kasıtsız ihlali şirketimizin çıkarlarını tehlikeye atar ve disiplin, istihdam ve/veya yasal yaptırımlarla sonuçlanır. Bu gereklilikler ve bunlardan kaynaklanan güvenlik politikaları ve uygulama hükümleri tüm tedarikçilerimiz için de geçerlidir.
Roller ve Sorumluluklar: Tüm çalışanlar ve paydaşlar bu Bilgi Güvenliği hükümlerine bağlı kalmaktan sorumludur. Rollerin tanımında belirli görevler dokümante edilir ve her rol için bir kişi adıyla tanımlanır ve BT güvenlik departmanı tarafından bilinmelidir.
BT Yönetişim Sorumlulukları:

  • İş Birimleri: BT departmanına gerekli kaynakların sağlanmasını sağlar.
  • BT yönetimi: Güvenlik politikalarını korur:
    • Oluşturulmasından sorumlu, yerinde mevcut politikalara uyum, ve bakım güncel tutmak için.
    • Bu politikayı uygulamak için yönergeler ve prosedürler uygular ve bunları hedeflenen kişilere iletir.
    • Uygulanabilir tüm prosedürlerin belgelenmesini ve iyi bir şekilde iletilmesini sağlar.
    • Politikaların uygulatılması ve kullanıcıların farkındalığının yüksek ve eğitimli olmasını sağlamakla sorumludur.
  • BT güvenlik yönetimi: Verilen tüm mobil el cihazlarını yönetmekten sorumludur:
    • Kayıtlı el cihazı envanterini yönetir.
    • Gerekli hizmetlerin kullanıcılara sunulmasını sağlar ve hizmetlerin kullanımı için gerekli kaynakları sağlar.
    • Politika uygulamada sorumludur:
      • Uygun çalışma kontrolleri ile politikanın uygulatılmasını sağlar.
      • BT yönetişimini desteklemek için bu Politikada değişiklik/güncellemeleri takip eder.
    • Kullanıcılar ve diğer paydaşlar: Kurumsal çalışanlar ve diğer paydaşlar bu güvenlik politikalarını okumalı, anlamalı ve kabul etmeli ve bu güvenlik politikalarındaki istisnaları BT yönetimine bildirmelidir.