BYOD -‏ גיבוש מדיניות ארגונית – חלק ב'

עידן הניידות העסקית מרתק אותנו בכל פעם מחדש, האתגרים שהוא מייצר מחייבים אותנו לחשיבה מחודשת בכל מה שהכרנו עד כה בנוגע לעולם המיחשוב כפי שאנו מכירים אותו. האירועים הכרוכים בניידות עסקית מתרחשים במהירות יחסית וזה עוד מאפיין של תקופתנו – הרצון לקבל הכל – כאן ועכשיו. ארגונים נוטים בדרך כלל ללמוד על סמך הניסיון ולהקיש לגבי העתיד לבוא. בעידן המוביליטי (Mobility) קצב האירועים הטכנולוגיים כה מהיר והארגונים לא מצליחים להיערך אליהם.

זהו מאמר המשך באימוץ גישת BYOD (ר"ת Bring Your Own Device). במאמר הראשון עסקתי בריבוי המכשירים שהעובדים מביאים עמם לארגון ובאתגרים הנלווים לכך, הפעם אעסוק בעניין גיבוש המדיניות הארגונית הנדרשת לכך.

BYOD בהחלט מהווה יתרון לעובד ולארגון, אך מחייב את יחידת מערכות המידע לגבש תפיסה ברורה באופן התמיכה במהלך. הטעות הגדולה של ארגונים היא בלהבין שאין כאן תהליך אנכרוניסטי של חופש בחירה בלא גבולות, והוא חייב להיות מנוהל בכללים ברורים ובמסגרת ידועה. אתן דוגמה לכך מעולם האינטרנט. לכאורה, רשת שבה כל אחד יכול לעשות שימוש בכל סוג של חומרה או תוכנה, אך התנאים הבסיסים של קישור לעולם ה-WWW מחייבים שימוש בסטנדרטים ופרוטוקולים ברורים וקשיחים. כך גם הארגון חייב לנהוג בגישת ה-BYOD.

השלב הראשון ביצירת מדיניות BYOD ארגונית, הוא הגדרת היקף השליטה של הארגון על המכשירים החכמים שבבעלות העובדים. ארגון יכול להתייחס למכשירים אלו בשתי גישות מנוגדות: מחד, כאילו היו נכסי הארגון – לאפשר לעובדים גישה אל משאבי המידע הארגוניים מהמכשירים בבעלותם. מנגד, להניח כי אין לארגון שליטה על מכשירים אלו, ולאפשר גישה מוגבלת למידע ולמשאבי הארגון. גישה מאוזנת תוכל להביא לארגון תועלות מצד אחד וצימצום הסיכונים מאידך.

מדיניות BYOD ארגונית צריכה להיות תואמת למדיניות המקובלת של מכשירים חכמים בארגון ושל הגישה למשאבי המידע הארגוניים. זאת, תוך שימוש מינימלי בבקרה על המכשיר ואכיפת השימוש באמצעים או התקנים של הארגון על המכשיר, כגון: SSL, תעודות הזדהות (Certificates) והגדרת הפעולות שמותר לארגון לבצע על גבי המכשיר במקרה של אובדנו ו\או גניבתו. מדיניות שימוש תכלול בין השאר גישה באמצעות VPN, מניעת שמירה של סיסמאות גישה וכניסה ליישומים ארגוניים ומשאבי הגישה לרשת הארגונית על גבי המכשיר, הצפנת המידע שעל המכשיר – ולעיתים הצפנת המכשיר כולו, שימוש בסיסמת גישה למכשיר (Passcode), וניהול, שליטה ובקרה על המכשיר באמצעות תוכנת MDM (ר"ת Mobile Device Management).

לפעולות הנ"ל נדרשת מראש הסכמה "מודעת" של העובד. הסכמה זו – רצוי שתהייה מסוכמת ב"אמנה" שבין הארגון לעובד, ולמעשה ישמש כחלק מנוהל ה-BYOD בארגון. זהו תהליך שרצוי שהמנמ"ר יוביל ביחד עם צוות מקצועי רחב בארגון (HR, משפטי, עסקי, טכנולוגי). אמנה זו חייבת להיות מושתתת על עקרונות ה"מותר" של כל אחד מהצדדים – מה מותר לארגון ולעובד לעשות על גבי המכשיר. אמנה זו צריכה לכלול את היבטי שמירת הפרטיות של העובד, אי גישה של הארגון למידע האישי על המכשיר, אי ניטור באמצעות GPS, ועוד. מאידך העובד חייב להסכים לכללי אבטחת המידע ויישומם. בין השאר עליו לתת הסכמתו לכך שאסור לו "לפרוץ" את מערכת ההפעלה וכי הוא חייב בסיסמת פתיחה למכשיר.

בארגונים רבים חוששים שאכיפת מדיניות BYOD על הגבלותיה הרבות, תהיה קשה ליישום ואף בלתי אפשרית. אבל כמו בכל דיון, כל אחד מהצדדים חייב להתפשר על מנת להגיע לתוצאה המקובלת על כולם. במקרה זה, הארגון מתחייב לעובד, כי פרטיותו תשמר באופן מלא ויש בכך ויתור ניכר על יכולות האנליטיות שעושים בהם שימוש בארגון לצורך אבטחת מידע. הויתור של העובד על "פריצת" המכשיר (Jailbreak/Root) יחייב אותו לרכוש את האפליקציות מחנות האפליקציות הרשמית של היצרן.

השימוש בסיסמה – למרות שהוא מעצבן בהתחלה, הינו לטובת שני הצדדים, בכך שגם העובד יכול להבטיח שגישה אקראית למכשיר החכם שלו לא תחשוף מידע אישי לצד המידע העסקי.

הסכמת העובד ונוהלי מדיניות כתובים, חייבים להיות מלווים בכלים לאכיפת המדיניות שנקבעה, מתוך הנחה שעובדים עלולים לבצע פעולות (אף לא במזיד) שיגררו סיכונים למשאבי הארגון. מגבלה משפטית ואתית בפעולה הארגונית מחייבת מחיקה סלקטיבית של מידע ארגוני בלבד במקרה של אובדן, גניבה או סיום עבודתו של עובד. ארגונים המיישמים פתרון MDM, מקבלים יכולת רחבה מאוד של תמיכה במגוון רחב של פעולות אכיפת מדיניות BYOD, כולל ניהול מלא של מחזור החיים, בקרת יישומים, הגנת נתונים, הפצת תעודות הזדהות, הפצת מדיניות ארגונית מחייבת על המכשיר, ונעילת פונקציונאליות עליו (Lockdown). בשוק קיימים גם כלים שתומכים בפונקציונאליות חלקית של BYOD על המכשירים.

אימוץ גישת ה-BYOD הינו מלאכת מחשבת של איזונים ופשרות. גישה של ארגון אחד תהיה שונה ממשנהו משום האופי והתרבות הארגוניים. אני ממליץ לכל ארגון לשקול יישום מדיניות BYOD גם כאשר מדובר על שימוש במכשירים בבעלות הארגון. הדבר יקל על שמירת הפרטיות והמידע האישי של העובד בלא חשש מסיכונים משפטיים.