Что такое политика приемлемого использования?

Политика допустимого использования, часто называемая AUP, — это письменный документ, в котором объясняется, что сотрудники и подрядчики могут и не могут делать с корпоративными технологиями. Обычно в нее входят ноутбуки, настольные компьютеры, мобильные телефоны, электронная почта, приложения для обмена сообщениями, доступ в интернет, облачные программы и корпоративные файлы.

Цель — не наказать людей. Она нужна, чтобы установить четкие правила простыми словами. Хорошая политика помогает сотрудникам избегать рискованного поведения, защищает информацию бизнеса и дает руководителям справедливый способ разбирать ошибки или повторяющиеся проблемы.

Для малого бизнеса это может быть короткий документ. Он не должен звучать как учебник по праву. Главное — чтобы он был понятным, реалистичным и связан с тем, как ваша команда действительно работает.

Большинство технологических проблем в малом бизнесе не вызваны «хакером» из фильма. Чаще всего все начинается с обычной путаницы. Кто-то использует личный аккаунт электронной почты для работы. Файл сохраняется не в том месте. Сотрудник устанавливает программное обеспечение, которое не было одобрено. Потерялся телефон с корпоративной электронной почтой. Политика допустимого использования помогает уменьшить такую путаницу.

Она также помогает поддерживать единообразие. Если одному человеку сказали, что для работы можно использовать личные устройства, а другому — что нельзя, это создает раздражение и повышает риск. Письменная политика задает всем одинаковую базовую линию.

В некоторых отраслях письменные правила по технологиям также могут поддерживать более широкие усилия по соблюдению требований. Требования зависят от отрасли и штата. Например, медицинским организациям может понадобиться учитывать HIPAA — Health Insurance Portability and Accountability Act (Закон о переносимости и подотчетности медицинского страхования). Компании, которые обрабатывают платежные карты, могут быть вынуждены учитывать PCI — Payment Card Industry Data Security Standard (Стандарт безопасности данных индустрии платежных карт). Политика допустимого использования — это не весь комплаенс-программы, но часто это полезная часть.

Практичная политика обычно описывает, какие устройства и учетные записи одобрены для работы, какой тип использования интернета и электронной почты разрешен, как сотрудники должны обращаться с данными компании, и что происходит, если правила игнорируются. Также она может включать удаленную работу, использование личных устройств, загрузку программного обеспечения и то, как сообщать о потерянном устройстве или подозрительном сообщении.

Многие компании также добавляют несколько базовых правил безопасности простыми словами. Например, требовать надежные пароли, включать MFA — многофакторную аутентификацию, и не хранить данные компании в персональных приложениях для хранения. Если ваша команда использует корпоративные ноутбуки или телефоны, политика может также указывать, что бизнес-устройства предназначены в первую очередь для работы.

Если вы работаете с MSP — managed IT services provider, то есть поставщиком управляемых ИТ-услуг, — они могут помочь подготовить или проверить политику в рамках более широкого ИТ-планирования. NodeBridge IT не пишет и не обеспечивает соблюдение политик. Мы предоставляем общие образовательные материалы и можем помочь вам найти независимого поставщика управляемых ИТ-услуг, если вам нужна внешняя консультация.