Znáte to? Zaměstnanci pracují z osobního mobilu, kontrolují e-maily z tabletu nebo si instalují aplikace na vlastní notebook. Na první pohled praktické. Ale taky to znamená, že firemní data, aplikace a přístupy jsou na zařízeních, která firma neřídí. A to může být problém – pokud nemáte jasně nastavená pravidla.
Co je to BYOD
BYOD neboli Bring Your Own Device znamená, že zaměstnanci používají k práci vlastní zařízení – notebooky, mobily, tablety. Typicky to vypadá třeba takhle:
- Pracovní e-maily v osobním mobilu.
- Připojení do firemního systému z domácího notebooku.
- Firemní dokumenty „dočasně“ nahrané na osobní Google Disk.
- Aplikace, jako je WhatsApp nebo TikTok, běžící na stejném zařízení jako přístupy do CRM nebo HR systému.
Z pohledu kyberbezpečnosti i ochrany osobních údajů je tohle minové pole.
Proč je BYOD rizikový
Firma ztrácí kontrolu
Nevíte, co se s daty děje, kdo k nim má přístup a kam si je může zaměstnanec stáhnout. Může to být naprosto nevinné – třeba si dokument z meetingu stáhne domů, aby si ho přečetl později. Ale co když skončí v osobním cloudu nebo nechráněném zařízení?
Zařízení může být nezabezpečené
Mnoho lidí nemá na telefonu ani základní heslo, neinstaluje aktualizace a nepoužívá šifrování. Pokud se takové zařízení ztratí nebo je napadeno malwarem, přístup k firemním datům je otevřený.
Míchání osobního a pracovního
Jedno zařízení, kde běží osobní fotky, sociální sítě i přístup do interních systémů. Stačí jeden omyl – třeba přeposlání citlivého dokumentu omylem přes osobní účet – a průšvih je na světě.
Riziko pro GDPR
Ztracený telefon s přístupem do e-mailu nebo systému obsahujícího osobní údaje klientů? Firma nese odpovědnost, i když zařízení nebylo její. A vysvětlit to Úřadu pro ochranu osobních údajů není zrovna příjemné.
Co s tím?
Zakázat BYOD úplně nedává smysl – v některých firmách to ani není možné. Ale rozhodně se to dá nastavit tak, aby BYOD nepředstavoval bezpečnostní nebo právní riziko.
1. Vytvořte BYOD politiku
Bez jasných pravidel bude BYOD chaos. Ideální je mít pravidla nejen sepsaná, ale taky schválená zaměstnanci – třeba jako dodatek k pracovní smlouvě. Vaše politika by měla odpovědět na otázky:
- Kdo smí používat vlastní zařízení a k jakým účelům?
- Jaká jsou minimální bezpečnostní opatření (heslo, šifrování, biometrie)?
- Jaké aplikace a služby jsou povolené nebo zakázané?
- Co se děje při ztrátě zařízení? Má firma právo vzdáleně smazat data?
2. Oddělte pracovní a osobní část
I s omezeným rozpočtem se dá ledacos řešit:
- Mobile Device Management (MDM) – umožní spravovat pracovní část zařízení, nastavovat bezpečnostní politiky nebo na dálku smazat data.
- Oddělené aplikace – například Outlook pro firmy umožňuje oddělit pracovní účet od osobního. Podobně Teams nebo některé CRM nástroje.
- Přístupové podmínky – například do CRM pustíte jen zařízení, která splňují definované bezpečnostní parametry.
3. Řešte i netechnické věci
Technologie nejsou všechno. Ve hře jsou i lidské a právní faktory:
- Vzdělávejte zaměstnance – spousta problémů vzniká z neznalosti, ne ze zlého úmyslu. Krátké školení o tom, co je rizikové, může ušetřit velké potíže.
- Výběr povolených zařízení nebo systémů – není nutné mít BYOD otevřený pro všechno. Můžete vybrat konkrétní aplikace nebo platformy.
- Mějte právně ošetřené, co můžete spravovat – například jasné pravidlo, že firma může vzdáleně smazat pracovní data, i když jsou na soukromém zařízení.
Nejde jen o kyberbezpečnost
BYOD má přesah i do právní roviny – hlavně do GDPR. Zaměstnanec, který pracuje s osobními údaji na nezabezpečeném zařízení, může nevědomky ohrozit vaši firmu.
Subjekty údajů mají právo na to, aby jejich data byla bezpečně zpracována. I když skončí na soukromém mobilu. Pokud tohle neřešíte, vystavujete se zbytečnému riziku.
- Ztracený mobil s přístupem k e-mailu nebo cloudu = riziko úniku osobních údajů.
- Data z CRM nebo HR systémů nesmí ležet jen tak v nezašifrované podobě někde v osobním zařízení.
- Subjekty údajů mají právo na bezpečné zpracování. I když data skončila na soukromém telefonu.
Víte, jak na tom jste?
Otestujte se, jestli máte vše pod kontrolou. Pokud si odpovíte alespoň jednou „nevím“, stojí za to vaši firemní BYOD politiku zrevidovat:
- Víte, kdo používá vlastní zařízení k práci?
- Máte definované, co se smí a co ne?
- Můžete smazat firemní data při ztrátě zařízení?
- Máte jistotu, že vše odpovídá GDPR?
BYOD může být fajn – může firmě ušetřit náklady a zaměstnancům zjednodušit práci. Ale jen za podmínky, že je nastavený rozumně. Jinak z něj bude Bring Your Own Disaster.
