Σκοπός
Οι κινητές συσκευές, όπως τα smartphones και τα tablets, είναι σημαντικά
εργαλεία για τον οργανισμό του Δήμου Χερσονήσου (ΔΧ) που υποστηρίζει τη χρήση
τους για την επίτευξη επιχειρηματικών στόχων.
Ωστόσο, οι κινητές συσκευές
αποτελούν επίσης σημαντικό κίνδυνο για την ασφάλεια των δεδομένων, καθώς, εάν
δεν εφαρμοστούν οι κατάλληλες εφαρμογές και διαδικασίες ασφαλείας, μπορούν να
αποτελέσουν έναν αγωγό για μη εξουσιοδοτημένη πρόσβαση στα δεδομένα του
οργανισμού και την υποδομή IT.
Αυτό μπορεί στη συνέχεια να οδηγήσει σε διαρροή δεδομένων και μόλυνση του
συστήματος.
Ο ΔΧ έχει την απαίτηση να προστατεύει τα
περιουσιακά στοιχεία του για την προστασία των πελατών του, της πνευματικής
ιδιοκτησίας και της φήμης του. Αυτό το έγγραφο περιγράφει ένα σύνολο πρακτικών
και απαιτήσεων για την ασφαλή χρήση κινητών συσκευών και εφαρμογών.
Πεδίο
Όλες οι κινητές συσκευές, είτε
ανήκουν στο ΔΧ είτε ανήκουν σε υπαλλήλους, συμπεριλαμβανομένων των smartphones και των
υπολογιστών tablet, που
έχουν πρόσβαση σε εταιρικά δίκτυα, δεδομένα και συστήματα διέπονται από αυτήν
την πολιτική ασφάλειας κινητών συσκευών. Το πεδίο εφαρμογής αυτής της πολιτικής
δεν περιλαμβάνει εταιρικούς φορητούς υπολογιστές με διαχείριση από το τμήμα IT.
Εξαιρέσεις: Όταν υπάρχει μια επιχειρησιακή
αναγκαιότητα πρέπει να εξαιρείται από αυτή την πολιτική (πολύ δαπανηρή, πολύ
περίπλοκη, που επηρεάζει αρνητικά άλλες επιχειρηματικές απαιτήσεις), αλλά να
διεξάγεται μια ανάλυση κίνδυνου από την ομάδα ασφάλειας πληροφοριών (INFOSEC).
Οι εφαρμογές που χρησιμοποιούνται
από υπαλλήλους στις δικές τους προσωπικές συσκευές και αποθηκεύουν ή έχουν
πρόσβαση σε εταιρικά δεδομένα, όπως εφαρμογές αποθήκευσης στο cloud, υπόκεινται επίσης σε αυτήν την
πολιτική.
Δήλωση Πολιτικής
Τεχνικές απαιτήσεις
- Οι συσκευές πρέπει να χρησιμοποιούν τα ακόλουθα
λειτουργικά συστήματα: Android
8.1
or later, iOS
11
or later.
- Οι συσκευές πρέπει να αποθηκεύουν όλους τους αποθηκευμένους
από το χρήστη κωδικούς πρόσβασης σε ένα κρυπτογραφημένο χώρο αποθήκευσης
κωδικών πρόσβασης.
- Οι συσκευές πρέπει να έχουν ρυθμιστεί με έναν ασφαλή
κωδικό πρόσβασης που συμμορφώνεται με την πολιτική κωδικού πρόσβασης του ΔΧ.
Αυτός ο κωδικός πρόσβασης δεν πρέπει να είναι ίδιος με οποιαδήποτε άλλα
διαπιστευτήρια που χρησιμοποιούνται στον οργανισμό
- Μόνο οι συσκευές που διαχειρίζεται η υπηρεσία ΙΤ θα
επιτρέπεται να συνδέονται απευθείας στο εσωτερικό εταιρικό δίκτυο.
- Αυτές οι συσκευές θα υπόκεινται στους έγκυρους κανόνες
συμμόρφωσης σχετικά με τα χαρακτηριστικά ασφαλείας, όπως η κρυπτογράφηση, ο
κωδικός πρόσβασης, το κλείδωμα κλειδιών κ.λπ. Αυτές οι πολιτικές θα εφαρμοστούν
από το τμήμα IT χρησιμοποιώντας λογισμικό διαχείρισης κινητών συσκευών.
Απαιτήσεις
χρήστη
- Οι χρήστες μπορούν να φορτώνουν μόνο εταιρικά δεδομένα
που είναι απαραίτητα για το ρόλο τους στις κινητές συσκευές τους.
- Οι χρήστες πρέπει να αναφέρουν όλες τις χαμένες ή
κλεμμένες συσκευές στην ομάδα ασφάλειας πληροφοριών (INFOSEC) αμέσως.
- Εάν ένας χρήστης υποπτεύεται ότι η μη εξουσιοδοτημένη
πρόσβαση στα δεδομένα της εταιρείας έχει πραγματοποιηθεί μέσω κινητής συσκευής,
πρέπει να αναφέρει το περιστατικό σε ευθυγράμμιση με τη διαδικασία χειρισμού
περιστατικών του ΔΧ.
- Οι συσκευές δεν πρέπει να είναι "jailbroken"
ή " rooted”[1]
ή να έχουν εγκατεστημένο οποιοδήποτε
λογισμικό/υλικό το οποίο έχει σχεδιαστεί για να αποκτήσει πρόσβαση σε
λειτουργίες που δεν προορίζονται να εκτεθούν στο χρήστη.
- Οι χρήστες δεν πρέπει να φορτώνουν πειρατικό λογισμικό
ή παράνομο περιεχόμενο στις συσκευές τους.
- Οι εφαρμογές πρέπει να εγκαθίστανται μόνο από επίσημες
εγκεκριμένες πηγές του ιδιοκτήτη της πλατφόρμας
- Απαγορεύεται η εγκατάσταση κώδικα από μη αξιόπιστες
πηγές. Εάν δεν είστε βέβαιοι εάν μια εφαρμογή προέρχεται από εγκεκριμένη πηγή
προέλευσης επικοινωνήστε με την ομάδα ασφάλειας πληροφοριών (INFOSEC)
- Οι συσκευές πρέπει να ενημερώνονται με τις
ενημερωμένες εκδόσεις κώδικα που παρέχονται από τον κατασκευαστή ή το δίκτυο.
Τουλάχιστον, οι ανανεώσεις λογισμιού θα πρέπει να ελέγχονται εβδομαδιαία και να
εφαρμόζονται τουλάχιστον μία φορά το μήνα.
- Οι συσκευές δεν πρέπει να είναι συνδεδεμένες σε
υπολογιστή που δεν διαθέτει ενημερωμένη και ενεργοποιημένη προστασία κατά του
κακόβουλου λογισμικού και δεν συμμορφώνεται με την εταιρική πολιτική ασφαλείας.
- Οι συσκευές πρέπει να κρυπτογραφούνται σύμφωνα με τα
πρότυπα συμμόρφωσης του ΔΧ εφόσον υπάρχει η ανάλογη πολιτική.
- Οι χρήστες πρέπει να είναι προσεκτικοί σχετικά με τη
συγχώνευση προσωπικών λογαριασμών ηλεκτρονικού ταχυδρομείου και λογαριασμών
ηλεκτρονικού ταχυδρομείου εργασίας στις συσκευές τους. Πρέπει να είναι
ιδιαίτερα προσεκτικοί ώστε να εξασφαλίζεται ότι τα δεδομένα της εταιρείας
αποστέλλονται μόνο μέσω του εταιρικού συστήματος ηλεκτρονικού ταχυδρομείου. Εάν
ένας χρήστης υποπτεύεται ότι τα δεδομένα της εταιρείας έχουν σταλεί από έναν
προσωπικό λογαριασμό ηλεκτρονικού ταχυδρομείου, είτε σε σώμα είτε ως συνημμένο,
πρέπει να ειδοποιήσει αμέσως την ομάδα ασφάλειας πληροφοριών (INFOSEC).
- Οι παραπάνω απαιτήσεις θα ελέγχονται τακτικά και σε
περίπτωση που μια συσκευή δεν είναι συμβατή που μπορεί να έχει ως αποτέλεσμα
την απώλεια πρόσβασης σε email, κλείδωμα συσκευής ή, σε ιδιαίτερα σοβαρές
περιπτώσεις, όπως ένα σβήσιμο συσκευής
- Ο χρήστης είναι υπεύθυνος για τη δημιουργία αντιγράφων
ασφαλείας των προσωπικών του δεδομένων και ο ΔΧ δεν θα αναλάβει καμία ευθύνη
για την απώλεια αρχείων λόγω της παραβίασης μιας μη συμμορφούμενης συσκευής για
λόγους ασφαλείας.
- Οι χρήστες δεν πρέπει να χρησιμοποιούν εταιρικούς
σταθμούς εργασίας για τη δημιουργία αντιγράφων ασφαλείας ή το συγχρονισμό
περιεχομένου συσκευής, όπως αρχεία πολυμέσων, εκτός εάν το εν λόγω περιεχόμενο
απαιτείται για νόμιμους επιχειρηματικούς σκοπούς.
- Μια συσκευή είναι jailbroken/rooted
- Μια συσκευή περιέχει μια εφαρμογή που είναι γνωστό ότι
περιέχει ένα θέμα ευπάθειας ασφαλείας (εάν δεν καταργηθεί εντός ενός δεδομένου
χρονικού πλαισίου μετά την ενημέρωση του χρήστη)
- Μια συσκευή χάνεται ή κλαπεί
- Ένας χρήστης έχει υπερβεί το μέγιστο αριθμό
αποτυχημένων προσπαθειών κωδικού πρόσβασης.
Μη αποδεκτή χρήση
Ενέργειες που μπορεί να οδηγήσουν σε
πλήρες ή μερικό σβήσιμο της συσκευής ή σε άλλη αλληλεπίδραση με την
πληροφορική:
Πολιτική συμμόρφωσης
Μέτρηση συμμόρφωσης
Η ομάδα ασφάλειας πληροφοριών θα επαληθεύσει τη συμμόρφωση με αυτήν την
πολιτική μέσω διαφόρων μεθόδων, συμπεριλαμβανομένων ενδεικτικά των αναφορών
επιχειρηματικών εργαλείων, των εσωτερικών και εξωτερικών ελέγχων και των
σχολίων προς τον κάτοχο της πολιτικής.
Εξαιρέσεις
Οποιαδήποτε εξαίρεση στην
πολιτική πρέπει να εγκριθεί από την ομάδα ασφάλειας πληροφοριών εκ των
προτέρων.
Μη συμμόρφωση
Οι υπάλληλοι
που παραβιάζουν σκόπιμα αυτήν την πολιτική θα υπάγονται στις πειθαρχικές ποινές
που προβλέπονται, συμπεριλαμβανομένης τη λήξη της απασχόλησης.
[1] Για jailbreak /root μια κινητή συσκευή είναι να αφαιρέσετε τους περιορισμούς που
επιβάλλονται από τον κατασκευαστή. Αυτό δίνει πρόσβαση στο λειτουργικό σύστημα,
ξεκλειδώνοντας έτσι όλες τις δυνατότητές του και επιτρέποντας την εγκατάσταση
μη εξουσιοδοτημένου λογισμικού.