Hlavní navigace

Zaměstnanec s vlastním notebookem. Pohodlnost, ale i nebezpečí

5. 9. 2014
Doba čtení: 5 minut

Sdílet

 Autor: 258398
Mají vaši zaměstnanci ve firmě vlastní notebooky a počítače? Ošetřete si to smluvně, přeci jen pracují s firemními daty. Mohou vás připravit o to nejcennější.

Pravděpodobně žádný jiný trend nezměnil tak zásadně způsob každodenní nakládání s firemními daty jako BYOD. Fenomén Bring Your Own Device, který se stal logickým důsledkem rozvoje osobní elektroniky, bývá považován za jednoho ze základních hybatelů celé řady změn – od přehodnocení zabezpečení dat po nové přístupy k eliminaci lidské chybovosti. Zatím se však zdá, že přináší více otázek než odpovědí a i nadále bude měnit firemní prostředí. A vlastně pomůže nově definovat, kam až toto firemní prostředí, které je třeba chránit, zabezpečit a vůbec mít ze strany korporací pod kontrolou, sahá.

Čtěte také: Vynášení firemních dat je trestným činem, zaměstnanci to ale často netuší


Autor: 258398

BYOD není nikterak starým termínem. Přestože s využíváním vlastní elektroniky ve firmách se ve velkém množství sekáváme od samých počátků vývoje přenosných zařízení včetně mobilních telefonů, prvotní impuls ke vzniku skutečně uceleného uchopení tohoto fenoménu dal až rozvoj smartphonů podpořený lepším pokrytím mobilních internetových sítí. 

Opravdový boom, kdy je jasné, že s BYOD se musí do budoucna počítat, přichází až s cloudovým řešením. Za moment, kdy se BYOD dostává do hledáčků korporací, se může považovat podpora této filosofie ze strany společnosti Intel, která BYOD zavedla v roce 2009. 

Většina firemních dat je vystavena riziku ztráty

Přestože BYOD je naprosto logickou odpovědí na stále větší požadavky firem na mobilitu jejich zaměstnanců, velmi často se stává zároveň překážkou, se kterou si firmy nevědí rady. Vzhledem k tomu, že pojetí pracovního prostoru se za deset let posunulo zcela novým směrem, zároveň s příležitostmi se zvyšuje počet přímých hrozeb. A přestože tyto hrozby jsou poměrně dobře identifikovatelné, majitelé společností si s nimi ani tak nevědí rady. BYOD friendly politika tak leckde jde ruku v ruce se zhoršenou kontrolou nad mnohdy velmi citlivými daty a s jejich dobrovolným, takřka každodenním vystavováním riziku, to vše výměnou za již zmiňovanou efektivizaci práce a obecně zvýšení produktivity.

Podle mého názoru je v současnosti valná většina korporátních dat vystavena riziku ztráty, zneužití nebo krádeže. Zcela kriticky se zachází zhruba se čtvrtinou dat. Navíc se pomalu stírá rozdílný přístup k zabezpečení ze strany korporací a SMB.
To ilustrují i výsledky zřejmě nejcitovanějšího výzkumu na téma BYOD, který mezi 490 IT pracovníky, kteří mají pravomoc rozhodovat o změně bezpečnostní politiky společnosti v oblasti dat, realizovala společnost SAMSUNG. Strach 93 % z těchto osob, který mají z úniku dat, má dostatečnou vypovídající hodnotu. Stejně jako pouhá 4 %, která za poslední dva roky nezaznamenala žádný bezpečnostní incident.

Čtěte také: Mladí se bez chatu a mobilu v práci neobejdou, nemusí to ale být na škodu

Bylo by možná naivní považovat za důležitá a potenciálně cenná data, která je třeba chránit před zneužitím, pouze taková, která ve své podstatě nesou skutečně obchodní tajemství. Mnohem větším rizikem jsou data takzvaného běžného charakteru, jako je emailová korespondence nebo interní informace. Tato data však sama ze své podstaty často vylučují možnosti specifického pokročilého zabezpečení. Nakládá se s nimi denně v široké síti osob, synchronizují se do celé řady zařízení. Opravdu rozumné zajištění, vylučující lidskou chybu, je takřka nemožné, ať už z důvodů nákladů, ergonomie užívání nebo jednoduše kompatibility jednotlivých řešení.

Tomuto dávají zapravdu již citovaná čísla. I proto společnosti hledají jiné cesty, jak kontrolu nad celým BYOD alespoň formálně neztratit. Tou cestou je prevence v podobě právního ošetření aspektů, které s sebou BYOD přináší. Co by tedy taková smlouva se zaměstnancem měla obsahovat?

Pro vlastní zařízení musejí být stanoveny podmínky a pravidla

Předně je nutné, aby společnost měla kvalitně nastavenou politiku využívání vlastních zařízení zaměstnanců, jasně stanovené podmínky a pravidla. Právě souhlas s nimi se pak vyjadřuje při vzniku smluvního vztahu podpisem smlouvy. Tento krok má charakter především informační – zaměstnanci si uvědomí, že k datům, které jim společnost svěřuje k ochraně přesunem do jejich zařízení, se váže i určitá zodpovědnost. 

Standardní jsou například požadavky na způsob nakládání s tabletem nebo mobilním telefonem, který obsahuje anebo může obsahovat firemní data. V takovém případě je pochopitelně nutné tato data nejprve vyspecifikovat, případně určit cesty, které příjem těchto dat umožňují – napojení na emailový účet, cloudové služby, intranet.

Čtěte také: Sůl nad zlato a data nad počítače. Poradíme vám, jak je zálohovat

Požadavky v podmínkách BYOD tak může být například zákaz poskytování svého zařízení třetím stranám, nakládání s takovýmto zařízením tak, aby nebylo vystavováno riziku ztráty nebo zcizení. Již z toho je však jasné, že uživatel ve většině případů bude své zařízení používat v rozporu s těmito pravidly – mobil půjčujeme svým blízkým, bereme ho s sebou na volnočasové aktivity a podobně. I z toho důvodu je třeba, aby měla společnost zajištěn krizový plán pro případ ztráty nebo zcizení zařízení, tak aby se majitel dat – společnost – o této skutečnosti co nejdříve dozvěděl a mohl provést patřičná opatření. 

Máte právo vymáhat vzniklé škody

V takovém případě pak teoreticky může dojít k vymáhání vzniklé škody ze strany vlastníka dat. Pak je však často třeba dokázat, že společnost vynaložila veškeré úsilí k tomu, aby byla data zabezpečena také z její strany. V tomto případě nezbývá než se opřít o ochranu obchodního tajemství i náhradu škody, tak jak ji upravuje nový občanský zákoník a zákoník práce.

I tak průzkumy ukazují, že na tak elementární ochranu, jako je sdílení odpovědnosti za předaná data v podobě podpisu souhlasu s bezpečnostními podmínkami, rezignuje až 80 % společností (naposledy loni průzkum společnosti Ovum). 78 % z nich navíc nemá vypracován žádný konkrétní plán, který by nastoloval podmínky práce s daty uvnitř společnosti. To do jisté míry poukazuje i na využívanost řešení, které se zabezpečením v rámci dat BYOD zabývají.

Mohlo by vás zaujmout: Všechno je to o kontaktech. Víme, kde je sehnat

I díky rozvětvenosti problematiky se stále častěji objevují hlasy volající po jejím celkovém uchopení ze strany odborné veřejnosti, nikoli tedy pouze jednotlivých firem a jejich dodavatelů. I pro české zájemce o problematiku jsou dostupné mezinárodní odborné platformy nebo kongresy, kde je možné setkat se s odborníky z nejrůznějších oborů kybernetické bezpečnosti, kteří mají k BYOD rozhodně co říci. O tom, že je v rámci BYOD stále kam růst a co vylepšovat a že je třeba především vést odbornou diskuzi, totiž rozhodně není pochyb.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).