Prywatne urządzenie w firmie. Jak określić odpowiedzialność w polityce BYOD?

We współczesnym świecie już niewiele osób wyobraża sobie życie bez różnego rodzaju urządzeń mobilnych. Postęp technologiczny i cyfryzacja sprawiły, że każdego dnia sięgamy po np. smartfony czy tablety, aby coś załatwić. Korzystamy z nich dla celów prywatnych (m.in. scrollowania mediów społecznościowych, dokonywania wirtualnych zakupów lub oglądania filmików w sieci) oraz służbowych. Przeglądanie poczty w drodze do pracy lub – w przypadku pracy zdalnej – z poziomu kanapy w salonie stało się czymś naturalnym.

W takich warunkach często „ułatwiamy” sobie życie i używamy swoich prywatnych urządzeń do celów zawodowych i odwrotnie – sprzętu firmowego z myślą o potrzebach osobistych. To generuje ryzyko zarówno dla nas, jak i naszej organizacji. Z tego względu tak ważne jest skuteczne wdrożenie polityki BYOD (ang. Bring Your Own Device – Przynieś własne urządzenie), odnoszącej się do możliwości wykorzystania własnego, prywatnego urządzenia (np. tabletu czy smartfona) w czasie pracy.

Wzajemne zobowiązanie

Jak wskazuje Tomasz Chomicki, dyrektor ds. rozwoju biznesu w Samsung Electronics Polska głównym założeniem polityki BYOD jest współpraca między firmą a członkiem personelu.

"Przedstawiciele władz przedsiębiorstwa, opracowując politykę dotyczącą bezpieczeństwa urządzeń mobilnych, powinni przyjąć, że większość osób w organizacji posiada np. smartfona. Z tego względu dobrą praktyką jest to, aby w ramach BYOD przyjąć wzajemne zobowiązanie, że każda ze stron (pracownik i pracodawca) będą robić wszystko, aby sprzęt używany do pracy nie stanowił zagrożenia dla działalności firmy" - stwierdza ekspert.

W Białej Księdze Samsunga pt. „Wdrożenie skutecznej polityki BYOD: proces, który jest receptą na sukces” podkreślono, że tego typu polityka to obszar, gdzie „bardzo osobiste urządzenie – zwykle smartfon – styka się z obowiązującymi w firmie zasadami”.

BYOD. Odpowiedź na kluczowe pytania

Opracowując BYOD dla organizacji, należy m.in. dokładnie opisać zakres obowiązywania dokumentu. Chodzi nie tylko o kwestie przedmiotowe (np. jakich urządzeń dotyczy), ale również podmiotowe (czyli kogo, np. można wprowadzić rozróżnienie na pracowników pełnoetatowych i podwykonawców). Warto zadać sobie kilka kluczowych pytań, a następnie sformułować odpowiedzi, które zostaną zamieszczone w treści polityki (przykłady można znaleźć poniżej).

Każda organizacja ma prawo do określenia w BYOD limitów i ograniczeń. Mowa o np. zastrzeżeniu sobie prawa do „odłączenia danego urządzenia lub wycofania w dowolnym momencie przywilejów wynikających z polityki” – wynika z Białej Księgi Samsunga.

Finanse to osobny rozdział

Po stronie organizacji leży również obowiązek jasnego określenia aspektów finansowych związanych z wdrażaną polityką. Najlepiej, aby odbyło się to w ramach osobnego rozdziału dokumentu, gdzie znalazłyby się wszystkie kwestie związane z „pieniędzmi”. O czym mowa? Firma powinna zdefiniować m.in. jaką część zakupu sprzętu dla pracowników pokrywa; jak wygląda sprawa opłacania usług np. operatorów; kto będzie pokrywał koszty roamingu w przypadku delegacji służbowych; na kim będzie spoczywała odpowiedzialność finansowa w sytuacji uszkodzenia, kradzieży czy też zużycia sprzętu.

„Należy uwzględnić scenariusze wykraczające poza zakup i wstępną konfigurację urządzenia. Trzeba wziąć pod uwagę również bieżące serwisowanie i przypadki utraty, bądź wymiany urządzenia. Wszystkie zobowiązania muszą być jasno określone” – radzi Samsung.

Odpowiedzialność pracownika

Odpowiedzialność za bezpieczeństwo firmy spoczywa również na pracownikach, zwłaszcza jeśli korzystają z prywatnego sprzętu do wykonywania obowiązków służbowych. Powinni stosować się do obowiązujących w danej organizacji zasad, wymogów i przepisów, aby zminimalizować ryzyka wystąpienia zdarzeń niepożądanych.

Polityka BYOD powinna te wszystkie kwestie regulować. Często jednak nie ma konieczności tworzenia wszystkich norm i punktów od nowa. Można zaczerpnąć z istniejących już w ramach danej firmy dokumentów. Przykładowo, jeśli obowiązuje polityka dotycząca ochrony danych i zawarte są niej w postanowienia dotyczące sposobu ochrony informacji poufnych, można wymienione mechanizmy zaimplantować do BYOD.

Przygotowując treść polityki, należy odnieść się do zarówno odpowiedzialności pracowników podczas codziennego korzystania z urządzeń, jak i przypadków ich utraty lub zwolnienia z pracy. Bardzo istotne jest określenie m.in. konsekwencji udzielenia osobom trzecim dostępu do danego sprzętu, który służy do pełnienia obowiązków służbowych. Należy wyszczególnić i opisać czynności podejmowane w tego typu sytuacjach przez organizację oraz pracownika.

Z kolei, jeśli dochodzi do np. zwolnienia, należy przyjąć, że dana osoba przestanie współpracować z firmą. Z tego względu konieczne jest jasne i precyzyjne wyjaśnienie ewentualnych kroków, jakie organizacja może podjąć w takim przypadku (m.in. zablokowanie urządzeń BYOD czy cofnięcie dostępu do zaszyfrowanych danych).

Artykuł sponsorowany. Firma Samsung jest partnerem głównym serwisu CyberDefence24.pl.