Bring Your Own Device (BYOD) sangat umum di tempat kerja modern. Dengan kerja hybrid menjadi standar, karyawan mengharapkan akses ke sistem perusahaan dari laptop, ponsel, dan tablet pribadi mereka.

Namun, meskipun BYOD berkembang sebagai standar, kebijakan seputar implementasi amannya terus tertinggal, dan biasanya bukan karena desain keamanan yang buruk. Karyawan hanya tidak mengikuti pedoman yang diperlukan, dan tim siber dibiarkan dalam ketidaktahuan.

Jadi bagaimana organisasi dapat merancang kebijakan BYOD yang benar-benar akan diikuti karyawan, tanpa mengorbankan keamanan?

Buat Keamanan Tidak Terlihat (atau Setidaknya Mendekati Tidak Terlihat)

Agar kebijakan BYOD berfungsi dalam praktik, keamanan perlu sesuai secara alami dengan cara karyawan sudah bekerja. Semakin banyak mengganggu alur kerja sehari-hari, semakin besar kemungkinan pengguna mencari cara untuk menghindarinya.

Hambatan login adalah salah satu pembunuh adopsi terbesar. Memerlukan login berulang, langkah autentikasi yang kompleks, atau verifikasi ulang terus-menerus dapat dengan cepat menyebabkan frustrasi. Tetapi tidak harus seperti itu.

Dengan teknologi seperti Single Sign On (SSO) dan metode MFA sederhana (seperti notifikasi push atau biometrik), organisasi dapat mempertahankan keamanan yang kuat tanpa memperlambat pengguna.

Mengizinkan persistensi sesi yang lebih lama juga merupakan cara untuk mengurangi frustrasi dengan kerugian keamanan minimal. Tujuannya adalah menghindari memaksa pengguna mengambil langkah ekstra untuk tugas dasar. Jika mengakses email, dokumen, atau alat internal menjadi sulit, karyawan secara alami akan mencari jalan pintas.

Rancang Kebijakan BYOD Berdasarkan Perilaku Pengguna

Kebijakan BYOD harus mencerminkan bagaimana karyawan benar-benar bekerja, bukan bagaimana organisasi berpikir mereka harus bekerja. Pada kenyataannya, karyawan beralih antar perangkat, terhubung dari lokasi berbeda, dan berpindah antar jaringan sepanjang hari. Kebijakan yang mengabaikan ini secara alami akan menyebabkan ketidakpatuhan.

Alih-alih merancang untuk skenario ideal, bangun kebijakan berdasarkan perilaku nyata. Misalnya, praktik yang baik adalah memerlukan beberapa langkah autentikasi setiap kali pengguna mencoba masuk dari perangkat baru.

Namun, memerlukan tingkat autentikasi yang sama dengan setiap login akan membuat orang frustrasi.

Fleksibilitas adalah keharusan dalam lingkungan BYOD. Oleh karena itu, kebijakan harus berfokus terutama pada mengamankan data dan akses, daripada mengontrol setiap perangkat atau lokasi.

Perlu juga dipertimbangkan untuk menjauh dari aturan yang berlaku untuk semua. Pengembang, perwakilan penjualan, dan karyawan keuangan berinteraksi dengan sistem dengan cara yang berbeda, dan kemungkinan menggunakan alat yang sama sekali berbeda. Menyesuaikan seberapa ketat aturan, berdasarkan peran, tingkat akses, dan sensitivitas data yang terlibat, akan menghasilkan adopsi yang lebih baik.

Atasi Masalah Privasi Secara Langsung

Wajar bagi karyawan untuk merasa skeptis tentang kebijakan BYOD, bahkan jika kebijakan tersebut longgar, hanya karena kebijakan tersebut menyiratkan tingkat akses atau kontrol pemberi kerja atas perangkat yang mereka miliki.

Itulah mengapa organisasi harus berfokus secara ketat pada mengontrol akses ke data dan sistem perusahaan, dan menjelaskan hal itu kepada karyawan sehingga mereka yakin bahwa semua hal lain yang mereka lakukan di perangkat mereka tetap pribadi.

Pemisahan yang jelas adalah kunci. Organisasi tidak memerlukan visibilitas ke aplikasi pribadi, file, atau aktivitas untuk mengelola risiko BYOD secara efektif. Semua data perusahaan harus berada di aplikasi cloud dan ruang kerja yang dikelola, bukan di perangkat itu sendiri. Begitulah cara kontrol keamanan dapat ada tanpa meluas ke lingkungan pribadi pengguna.

Pemberi kerja juga mendapat manfaat dari pendekatan ini. Jika perangkat hilang, dikompromikan, atau karyawan meninggalkan perusahaan, organisasi dapat menghapus akses atau menghapus data perusahaan tanpa memengaruhi konten pribadi.

Berikan Pelatihan Praktis dan Berkelanjutan

Karyawan jauh lebih mungkin mengikuti kebijakan BYOD jika mereka memahami mengapa kebijakan tersebut ada. Ketika keamanan terasa abstrak atau tidak relevan, mudah untuk diabaikan. Tetapi ketika pengguna menyadari risiko nyata seperti phishing, pengambilalihan akun, atau Wi-Fi publik yang tidak aman, mereka jauh lebih mungkin menganggap serius kebijakan tersebut.

Pelatihan harus praktis dan relevan dengan cara karyawan benar-benar menggunakan perangkat mereka. Alih-alih sesi kesadaran umum, fokus pada skenario dunia nyata yang mereka hadapi setiap hari. Untuk lingkungan BYOD, itu termasuk mengenali upaya phishing, menghindari tautan mencurigakan, memahami risiko jaringan publik, dan mengetahui cara mengakses sistem perusahaan dengan aman dari perangkat pribadi.

Penting juga untuk tidak memperlakukan pelatihan sebagai latihan sekali saja. Ancaman terus berkembang, dan kesadaran karyawan juga harus demikian. Pembaruan atau pengingat singkat dan teratur jauh lebih efektif daripada sesi pelatihan panjang yang jarang dan cepat dilupakan.

Tujuannya bukan untuk mengubah karyawan menjadi ahli keamanan, tetapi untuk memberi mereka kesadaran yang cukup untuk membuat keputusan yang lebih baik dalam situasi sehari-hari.

Kesimpulan

BYOD adalah kenyataan bagaimana pekerjaan modern diselesaikan. Tantangannya dalam kebanyakan kasus bukan apakah akan mengizinkannya, tetapi bagaimana menerapkan kebijakan BYOD yang benar-benar akan diikuti karyawan. Kebijakan yang paling efektif bukan yang paling ketat, tetapi yang memudahkan karyawan untuk mengikutinya tanpa menimbulkan risiko yang tidak perlu.

Pada akhirnya, memaksimalkan adopsi kebijakan BYOD bermuara pada menemukan keseimbangan antara keamanan dan kegunaan. Organisasi yang mendapatkan keseimbangan ini dengan benar tidak hanya akan meningkatkan keamanan, tetapi juga menciptakan lingkungan kerja yang lebih lancar dan produktif.