Dell Software: 5 Empfehlungen für die Einhaltung der Compliance bei BYOD Vorhaben
Dell empfiehlt allen Unternehmen, sehr sorgfältig ihre „Bring-your-own-Device“ (BYOD) Programme mit Datenschutzregularien in Einklang zu bringen, um sich nicht unnötig in Compliance-Fallstricke zu verstricken. Obwohl BYOD Initiativen von den Mitarbeitern meist sehr positiv aufgenommen werden, so sind sie oftmals aufgrund ihrer Problematiken bezüglich der Einhaltung von Regularien ein Albtraum für die Arbeitgeber, die empfindliche finanzielle Strafen, Rechtsstreitigkeiten und Reputationsschäden nach sich ziehen können.
Um beispielsweise die Vorgaben des Health Insurance Portability und Accountability Acts (HIPAA) zu erfüllen, müssen Anbieter aus dem Gesundheitswesen, Versicherungsgesellschaften, Arbeitgeber, Schulen und andere Organisationen den Zugriff auf alle Krankendaten und Zahlungsinformationen von Patienten entsprechend nachweislich absichern. Ebenso müssen Händler zur Einhaltung der Bestimmungen des Payment Card Industry Data Security Standards (PCI DSS) die Kreditkarten- und Bankinformationen ihrer Kunden umfassend schützen. Sogar in Bereichen mit weniger Regularien müssen Organisationen immer mehr und mehr Maßnahmen ergreifen, um sensible Daten zu schützen.
Aus diesem Grund gibt Dell die folgenden fünf Empfehlungen, um sensible Daten zu schützen und den Schutz der Privatsphäre zu gewährleisten:
Empfehlung 1: Regulierte (sensible) Daten identifizieren, untermauern und schützen
Starten Sie, indem Sie alle regulierten (sensitiven) Daten identifizieren. Bestimmen Sie danach sehr genau, welche Daten auf mobilen Geräten (BYOD) generiert, von diesen Geräten aufgerufen, gespeichert und übermittelt werden können. Wenn die zu regulierenden Daten einmal genau identifiziert wurden, können die Organisationen nach den besten Strategien zu deren Schutz und zur Einhaltung der Compliance suchen. Äußerst schützenswerte Daten können auch einen mehrschichtigen Ansatz erfordern. So ein Ansatz beinhaltet:
- eine Verschlüsselung, um auch Daten im Falle eines Datenschutzverstoßes abgesichert zu wissen
- einen abgesicherten Arbeitsbereich, damit die schützenswerten Daten nicht mit persönlichen Daten (auf den mobilen Geräten) vermischt werden
- eine Virtualisierung für eine verbesserte IT-Kontrolle der Applikationen und der Daten, auf die sie zugreifen
- eine Data Leakage Protection (DLP) Lösung um zu kontrollieren, welche Daten mobile Mitarbeiter über BYOD Geräte übertragen können und um die Übertragung von regulierten Daten von einer sicheren Applikation an eine unsichere Applikation zu verhindern
- die Möglichkeit, remote Daten im Bedarfsfall von den mobilen Geräten zu löschen
Empfehlung 2: Kontrollieren Sie den Zugriff auf die Daten und die Netzwerke
Implementieren Sie Lösungen für die Überwachung, Aufzeichnung und Kontrolle der Zugriffsrechte auf Basis der Benutzeridentität, des Geräte-Typs, des Standortes, des Zugriffszeitpunktes und der Ressourcen, auf die zugegriffen werden soll, Zusätzlich sollten Sie verhindern, dass Mitarbeiter auf Daten von ungesicherten (oder „jailbreaken“) Geräten zugreifen und/oder ungesicherte Daten mit ihren eigenen Geräten übertragen können.
Ein umfangreiche Lösung für das Identitäts- und Zugriffsmanagement (IAM = Identity and Access Management), Firewalls und Virtual Private Networks (VPN) könne die Daten und das Netzwerk schützen. Zudem laßen sich mit so einer Lösung auch die Administrationskomplexität besser kontrollieren und verschiedene Gerätearten, Betriebssysteme, Benutzerrollen, Datentypen sowie rechtliche Vorgaben unterstützen. Die Lösung sollte autorisierten Nutzern den kontrollierten Zugriff auf Informationen und Ressourcen von ihren eigenen mobilen Geräten aus vereinfachen, um eine maximale Flexibilität und Produktivität zu erreichen.
Empfehlung 3: Absicherung der Geräte
Erhöhen Sie die Sicherheitsvorgaben für die eigenen Geräte der Mitarbeiter. Als ersten Schritt sollten Sie eine Passworteingabe vorschreiben, um generell auf das Gerät und den abgesicherten Arbeitsbereich zugreifen zu können. Zusätzlich könnte ein Smart Card Reader einen unautorisierten Zugriff auf Tablets oder Laptops verhindern, wenn diese verloren oder gestohlen oder versehentlich von der Familie oder Freunden genutzt werden.
Empfehlung 4: Entwickeln Sie Compliance-konforme Applikationen mit entsprechendem Compliance-Nachweis
Gewährleisten Sie ständig, dass die für die mobilen Geräte entwickelten Applikationen auch Compliance-konform bleiben. Um die Compliance einer Applikation zu überprüfen, stellen Sie sich die folgenden Fragen:
- Kann die Multi-Faktor Authentifizierung, die für den Zugriff auf die Applikationen im Unternehmen eingesetzt wird, auch auf Smartphones eingesetzt werden?
- Speichern die mobilen Geräte sensible Informationen, wenn ein Mitarbeiter mit einer Applikation des Unternehmens agiert?
- Läuft eine sichere Web-Verbindung in genau demselben Zeitraum auf einem Tablet ab, wie dies auch auf einer Arbeitsstation im Unternehmen geschehen würde?
Um den Applikations-Compliance Prozess zu unterstützen, so nutzen viele Organisationen die Hilfe eines Applikations-Entwicklungs-Beraters mit entsprechender Erfahrung bei der Gewährleistung der Compliance bei mobilen Applikationen. Um jederzeit die Compliance-Einhaltung nachweisen zu können stellen Sie sicher, dass die Lösung neben einer entsprechenden Komplexitätskontrolle auch entsprechende Berichts- und Überwachungsfunktionalitäten beinhaltet.
Empfehlung 5: Schulen Sie Ihre Mitarbeiter hinsichtlich der Bedeutung der Compliance-Einhaltung
Die Mitarbeiter müssen nicht nur die unternehmenskritische Bedeutung der Einhaltung von Regularien verinnerlichen, sondern auch die potentiellen Konsequenzen beim Verfehlen der Compliance-Vorgaben kennen. Vor allem die mobilen Mitarbeiter müssen hinsichtlich möglichen Datenschutzverstößen sensibilisiert werden, da sie sich oftmals außerhalb des Unternehmens aufhalten. Einfach nur eine Unterschrift auf einem Dokument zu leisten, dass die Regeln beachtet werden, ist nicht genug. Die Mitarbeiter müssen fortwährend geschult werden.
Die Überwindung von Mobility Compliance-Herausforderungen mit Dell Mobilität / BYOD-Lösungen
Das umfangreiche Portfolio von Dell beinhaltet IT-Lösungen für Endanwender, drahtlose Lösungen, Lösungen für abgesicherte Fernzugriffe, Firewalls der nächsten Generation, IAM, Enterprise Mobility Management Lösungen und Dienste. Dell ermöglicht mit seinen Lösungen den gesamten Bereich von einzelnen Geräten über das mobile und drahtlose Umfeld bis hin zu ganzen Rechenzentren abzudecken, um die Produktivität der Endanwender zu erhöhen und Geschäftsprozesse zu verbessern, ohne dabei die Compliance zu vernachlässigen.
Dell Enterprise Mobility Management ist eine End-zu-End/BYOD Unterstützungslösung, die die industriell führenden Secure Remote Access Lösungen von Dell SonicWALL, die Dell Data Protection / Encryption Lösung, das mobile Gerätemanagement von Dell Wyse, das System Management von Dell KACE und neue, auf Applikationen-basierende abgesicherte Arbeitsbereiche kombiniert, um die Kosten, die Komplexität und die Risiken zu minimieren.
Über Dell Software
Dell Software hilft Kunden bei der besseren Nutzung ihres Potentials mit Hilfe von Technologie durch skalierbare, günstige und benutzerfreundliche Lösungen zur Vereinfachung der IT und zur Absicherung gegen Risiken. Das Softwareangebot von Dell richtet sich an fünf Schlüsselbereiche des Kundenbedarfs: Rechenzentrums- und Cloud-Management, Informationsmanagement, Mobile-Workforce-Management sowie Sicherheit und Datenschutz. In Kombination mit Dell Hardware und Services bietet die Software unerreichte Effizienz und Produktivität zur Beschleunigung der Unternehmensergebnisse. Weitere Informationen zu Dell und Dell Software sind unter www.dell.de und www.dell.de/software abrufbar.
Über Dell
Dell hört seinen Kunden zu und bietet innovative und zuverlässige IT-Lösungen und -Dienstleistungen, die auf Industrie-Standards basieren. Sie sind ganz auf die individuellen Anforderungen der Anwender zugeschnitten und ermöglichen es Unternehmen, erfolgreicher zu sein. Weitere Informationen unter www.dell.de und www.dell.de/d2dblog.