Apa Itu Kebijakan BYOD, dan Bagaimana Cara Mudah Menerapkannya dengan kontrol ISO 27001?
Orang akan berharap bahwa ISO 27001, standar keamanan informasi terkemuka, akan memiliki persyaratan ketat mengenai BYOD. Namun, Anda akan terkejut – persyaratan seperti itu tidak ada, dan terlebih lagi, BYOD pernah disebutkan dalam standar.
BYOD, tentu saja, tidak dapat dihindari di perusahaan modern, jadi bagaimana Anda membuat diri Anda sesuai dengan ISO 27001?
Beberapa item yang harus dicakup dalam kebijakan BYOD Anda:
- Referensi ke risiko utama yang diidentifikasi untuk penggunaan perangkat pribadi
- Deskripsi kontrol akses yang perlu digunakan untuk perangkat pribadi
- Definisi aplikasi mana yang wajib, mana yang diizinkan, dan mana yang tidak diizinkan untuk pemrosesan dan penyimpanan data perusahaan
Apa yang dimaksud dengan BYOD?
BYOD adalah singkatan dari Bring Your Own Device, mengacu pada tren di mana karyawan menggunakan perangkat pribadi mereka sendiri (misalnya, smartphone, laptop, tablet, drive USB, dll.) untuk terhubung ke jaringan dan sistem informasi organisasi pemberi kerja mereka.
Mengapa perusahaan menggunakan BYOD?
Alasan utama untuk mengadopsi BYOD di perusahaan terkait dengan:
- pengurangan biaya untuk menyediakan perangkat kepada karyawan, karena mereka menggunakan perangkat mereka sendiri
- peningkatan produktivitas, karena karyawan lebih akrab dengan perangkat mereka sendiri, yang terkadang berkinerja lebih baik daripada perangkat yang disediakan oleh organisasi
- peningkatan jumlah pekerja mobile dan freelance, yang umumnya memiliki harapan untuk dapat bekerja kapan saja dan dari mana saja
Apa risiko BYOD?
Risiko utama yang terkait dengan adopsi BYOD adalah:
- kurangnya pemantauan dan pengawasan oleh TI
- kebocoran data, terkait dengan penyalahgunaan informasi oleh karyawan, atau karena pencurian perangkat
- peningkatan paparan malware, karena kurangnya kontrol aplikasi mana yang diinstal karyawan di perangkat mereka sendiri
- pelanggaran persyaratan kepatuhan, terutama yang terkait dengan undang-undang dan peraturan privasi seperti GDPR
Apa itu kebijakan BYOD, dan mengapa perusahaan membutuhkannya?
Untuk mencapai manfaat BYOD, sambil meminimalkan potensi risiko kompromi informasi, organisasi menentukan aturan untuk penggunaan perangkat pribadi di tempat kerja dalam dokumen yang biasa disebut kebijakan BYOD.
Dengan mengadopsi dan mengkomunikasikan kebijakan BYOD, organisasi menentukan batasan untuk akses dan penggunaan perangkat pribadi, serta konsekuensi potensial bagi karyawan atas penyalahgunaan informasi dan kerusakan pada jaringan dan sistem informasi organisasi.
Kontrol ISO 27001 yang berlaku untuk BYOD
Pertama, mari kita lihat kontrol ISO 27001 mana yang paling dekat dengan BYOD.
A.6.2.1 Kebijakan perangkat seluler – kontrol ini memerlukan pengembangan kebijakan keamanan untuk menggunakan perangkat seluler guna mengurangi risiko. Oleh karena itu, kebijakan BYOD harus didasarkan pada risiko yang teridentifikasi.
A.6.2.2 Teleworking – karena perangkat seluler pribadi karyawan digunakan tidak hanya di kantor perusahaan, tetapi juga di rumah, kontrol ini juga berlaku untuk BYOD. Kontrol memerlukan penerapan langkah-langkah keamanan untuk akses, pemrosesan, dan penyimpanan informasi – ini berarti bahwa kebijakan BYOD harus mencakup ketiga area tersebut.
A.13.2.1 Kebijakan dan prosedur transfer informasi – kontrol ini memerlukan dokumentasi tertulis untuk perlindungan informasi yang ditransfer melalui peralatan komunikasi apa pun, termasuk perangkat seluler pribadi karyawan. Jadi, jika Anda tidak menulis kebijakan atau prosedur terpisah untuk transfer informasi, Anda dapat mencakup persyaratan ini dalam kebijakan BYOD.
A.13.2.3 Pesan elektronik – sekali lagi, jika Anda tidak mendefinisikan melalui beberapa dokumen lain bagaimana pesan elektronik akan dilindungi, maka kebijakan BYOD adalah tempat yang tepat untuk melakukannya.
Ada beberapa kontrol lain yang tidak begitu terkait langsung dengan BYOD, seperti A.8.1.3 Penggunaan aset yang dapat diterima (mendefinisikan aturan tentang bagaimana setiap aset akan digunakan), A.8.2.3 Penanganan aset (mendefinisikan aturan di mana tindakan perlindungan akan digunakan sesuai dengan klasifikasi informasi), dan setidaknya selusin kontrol lainnya. Namun, saya pikir empat kontrol yang saya sebutkan di atas adalah yang paling relevan dalam hal BYOD, jadi mari kita fokus pada mereka.
Cara menyusun kebijakan BYOD
Membuat kebijakan 20 halaman dengan aturan terperinci yang akan mencakup setiap detail keamanan mungkin tampak menarik bagi Anda, tetapi percayalah, itu tidak akan berhasil.
Saat mulai menulis kebijakan ini, Anda harus mengingat tujuan utama: untuk mengubah perilaku pengguna BYOD di perusahaan Anda. Dan, jika Anda ingin mengubah perilaku seseorang, terutama jika perubahan ini melibatkan kerumitan menggunakan beberapa aturan keamanan tambahan, maka Anda perlu membuat aturan mudah dimengerti dan singkat. Lihat juga: Tujuh langkah untuk menerapkan kebijakan dan prosedur.
Jadi, dari perspektif kontrol ISO 27001 yang saya sebutkan di atas, dalam kebijakan BYOD Anda, Anda harus mencakup hal-hal berikut:
- Referensi ke risiko utama yang diidentifikasi untuk penggunaan perangkat pribadi;
- Deskripsi kontrol akses yang perlu digunakan untuk perangkat pribadi;
- Definisi aplikasi mana yang wajib, mana yang diizinkan, dan mana yang tidak diizinkan untuk pemrosesan dan penyimpanan data perusahaan;
- Layanan mana yang diizinkan untuk menyimpan data perusahaan;
- Bagaimana pencadangan dilakukan, seberapa sering, dan di mana;
- Jaringan mana yang diizinkan untuk dihubungkan oleh pengguna, dan perlindungan mana yang harus mereka gunakan saat mentransfer data dan/atau pesan;
- Jenis pesan apa yang tidak diperbolehkan;
- Saluran dan layanan mana yang tidak diizinkan;
- Pedoman untuk perlindungan fisik perangkat.
Item berikut akan berguna dalam kebijakan BYOD juga:
- Definisi siapa yang memiliki data yang disimpan di perangkat pribadi;
- Daftar orang/jabatan yang diperbolehkan, atau tidak diperbolehkan menggunakan perangkat pribadi;
- Daftar perangkat tertentu yang / tidak diizinkan untuk digunakan;
- Hak khusus perusahaan untuk mengakses data pada perangkat pribadi (ada berbagai jenis perangkat lunak manajemen perangkat seluler di mana Anda dapat mengakses, mengedit, dan menghapus data di perangkat seluler dari jarak jauh);
- Apakah karyawan akan diganti untuk penggunaan perangkat mereka sendiri;
- Bagaimana pelanggaran keamanan akan dilaporkan dan ditangani;
- Siapa yang bertanggung jawab atas pelatihan karyawan untuk penggunaan BYOD.
Kembangkan kebijakan BYOD Anda dengan bijak
Jadi, untuk menyimpulkan, meskipun ISO 27001 tidak terlalu fokus pada konsep Bring Your Own Device, mengambil kontrol yang tepat bisa sangat membantu saat menulis kebijakan BYOD. buat dokumen Anda singkat dan sederhana.
Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.
Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.
Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.
