Økningen i bruk av bedriftens mobile enheter, drevet av Bringe din egen enhet (BYOD) og fremskritt innen teknologi, betyr at det er mange flere måter der data kan gå tapt, enten gjennom ansattes feil eller ondsinnet tyveri og salg av konfidensiell informasjon.

Som et resultat er GRC (Governance, Risk and Compliance) et av de største problemene selskapet står overfor i øyeblikket. Dessverre har den gjennomsnittlige virksomheten ikke innsett dette og gjenværende på høyre side av loven kan være et reelt problem.

I henhold til databeskyttelsesloven 1998, når en bedrift taper personopplysninger, har Informasjonskommissærens kontor (ICO) muligheten til å finere det til 500.000 kroner og til og med i ekstreme tilfeller sende personer til fengsel.

I tillegg har loven kriminelle handlinger - 654 påtalemyndigheter har blitt påbegynt i de siste seks årene av Crown Prosecution Service alene. Det som gjør dette enda større, er at personopplysninger har en bred definisjon - nemlig informasjon som kan brukes til å identifisere en person.

For mange bedrifter kan deres nåværende enhetsretningslinjer og tilnærminger, som BYOD eller Corporately Owned Personally Enabled (COPE), ikke lenger håndtere det nåværende samsvarslandskapet.

En riktig politikk og prosedyre må bestå av mer enn å fortelle ansatte hvordan man får tilgang til e-post på sine personlige enheter, fordi det ikke vil beskytte dataene som er lagret på dem. Bedrifter må ta en helhetlig, tre-trinns tilnærming for å sikre at dataene holdes sikre, bestående av utdanning, politikk og teknologi.

Men hva består hver av disse trinnene, og hvordan kan bedrifter implementere dem uten å påvirke deres bruk av mobilenheten?

1. Implementere en policy

Bedrifter må ha en klar data- og enhetspolitikk formidlet til sine ansatte og handlet. Innenfor dette må det også være klarhet om hvordan data er klassifisert og forskjellige dataklassifiseringsprotokoller.

Disse bør ikke skrives i altfor juridisk eller teknisk språk, men heller i en tone som alle ansatte vil forstå. På den måten holdes både firmaet og de ansatte fullt oppe i hva de får lov til å gjøre med sine enheter. Å ha en god politikk på plass sikrer at det er klart når ansatte har overtrådt den politikken.

2. Tren og utdanne ansatte

Den menneskelige faktoren er ofte den svakeste lenken i et selskaps datasikkerhet, og derfor er det så viktig at ansatte er tilstrekkelig opplært og utdannet for å unngå sikkerhetsbrudd. Det er viktig å kunne vise til dine ansatte hvilken innvirkning de fattige datasikkerhetspraksis kan ha på hele firmaet, slik at de forstår hvorfor deres støtte er nødvendig.

Det er imidlertid ikke så enkelt å klemme et stykke papir med en liste over regler til kontormuren eller laste ned en treningspakke fra internett. Datasikkerhet beste praksis må være engasjerende, relevant og skreddersydd for jobbene folk gjør.

3. Bruk en teknologiløsning

Til tross for å sette opp en sammenhengende enhetspolitikk og grundig utdannelse av personalet, er det fortsatt et viktig tredje element. Ansatte vil bryte reglene, både ved et uhell og målrettet. Derfor er det så viktig å ha en underliggende teknologiprogramvare løsning som kan beskytte virksomheten i tilfelle databrudd.

Bedrifter må kunne vedvarende spore, administrere og sikre alle enheter som brukes på jobben, samt data lagret på dem. Viktigst, teknologien som brukes, vil også tillate et selskap å bevise at samsvarsprosessene blir håndhevet og overholdt.

I lys av de alvorlige problemene kan brudd på data forårsake, for eksempel tap av omdømme, en bot fra ICO og til og med mulige kriminelle konsekvenser, kan selskapene ikke ta data sikringen for gitt. Og med et slikt overbevist miljø, er det nå viktig å ta en trekantet tilnærming for å sikre at alle baser er dekket. Politikken din må være klar og tilgjengelig, BYOD-trening du gir dine ansatte må være relevant for dem og organisasjonen, og det må være riktig databeskyttelsesprogramvare på plass.

Mobilitet kan ha utallige forretningsfordeler, men det må styres ordentlig for å motvirke risiko og overholde regelverket. Og hvis brudd skulle oppstå, kan arbeidsgiveren unnslippe sanksjoner hvis det kan bevise at det gjorde alt det kunne - politikk, trening og teknologi - for å forhindre brudd.

  • Jonathan Armstrong er datastyringsrådgiver for Absolute Software og teknologi advokat ved Cordery