Jak opisać środki bezpieczeństwa, skoro nie mamy jurysdykcji nad sprzętem, na którym pracują nasi programiści?
ODPOWIEDŹ
Jeśli klient dostarcza własne laptopy, a organizacja nie ma nad nimi kontroli, warto określić i wymagać spełnienia minimalnych standardów bezpieczeństwa, takich jak np. aktualne oprogramowanie, szyfrowanie dysku i antywirus. Kluczowe jest wdrożenie dostępu warunkowego (np. VPN + MFA) oraz ograniczenie przechowywania danych lokalnie – dobrym rozwiązaniem mogą być środowiska chmurowe lub wirtualne. Dodatkowo monitorowanie dostępu i aktywności użytkowników pozwoli szybko wykrywać anomalie i potencjalne zagrożenia. Spełnianie tych elementów jak również monitorowanie tego spełniania powinno być przedmiotem analizy ryzyka.