现阶段,人们使用最多的通信工具是移动电话和平板电脑,用圆珠笔办公的日子已经离我们远去。随着高科技的日益普及,人们更习惯用自己熟悉的工具来工作。
带自己的设备办公对于个人而言,没有任何的麻烦,但是需要足够的安全策略去保护自有设备。
当然,钢笔和圆珠笔不能访问企业网络。手机和平板电脑代表了强大的计算设备,人们可以使用他们自己的个人设备工作和做事,这就引起了BYOD(自带设备)的风潮。2008年1月,美国公司应对Aberdeen的调查中,只有10%表示允许工人使用自有设备。五年后,在2012年7月,这一数字上升到超过80%以上。不过亚太地区,这种趋势发展的相对缓慢,很大部门公司不允许BYOD。
这一风潮的原因是什么?BYOD的目标是获得移动通信技术的生产力优势,而无需掏出很多钱在手机上。不过公司仍然倾向于配置笔记本电脑。
BYOD引发的一个迫在眉睫的问题是,员工拥有智能手机,并不意味着他们能够做到***的安全。每家公司都会有其自身的复杂性,其中包括技术因素和政策决定。下面是几个能够让公司BYOD容易产生的失误。
失误1:安全策略不完备
安全威胁往往是在已有设备中出现,所以很多公司都是针对所有的设备制定安全策略,目前针对安卓手机和IOS系统手机的安全策略最多,但是安全策略并不全面,往往存在漏网之鱼。
失误2:对员工权限开放
是不是所有员工都需要所有应用程序的访问权限?电子邮件的存取,ERP的访问等等权限是否全部放开?就拿电子邮件而言,如果电子邮件是一个封闭的系统,员工可以连接到电子邮件系统,但是不能连接到公司的数据库,这样就可以有效保护公司的敏感数据。
失误3:员工安全意识浅薄
员工安全意识淡薄是公司的一大禁忌,企业应该对员工的企业网络设备进行培训,帮助员工安全意识,分清楚哪些是应该做的和哪些是不应该做的。在医疗和金融公司,员工安全意识培训显得十分重要。如果员工使用权限过大,容易引发安全隐患,有些时候还可能出现法律纠纷。
失误4:假设不丢失的设备
很多时候,BYOD会带有很多敏感信息。很多员工会说,如果我自己的设备不丢失就不会引发安全问题。但是员工往往不会为设备里面的文件加密,甚至登陆没有认证的网络,这样即使是设备没有丢失,也可能出现泄漏的风险。
失误5:过分依赖管理软件
目前很多安全厂商都提供了远程擦除功能的产品,其中包括移动设备管理软件。远程擦除功能可以在设备丢失后起到很多安全保护。但是如果未经员工本人的同意,而擅自擦除员工手机等移动设备中的个人资料,就有可能遭到员工的起诉。所以公司不能过分的利用移动设备管理软件,不过公司倒是可以考虑取消丢失设备特定的访问应用程序的权限。
失误6:全面禁止BYOD不可取
BYOD是可控的,这样就可以帮助***信息安全官降低风险。他们只是需要有一个计划和过程,以满足他们的公司的需求。早在2004年,IBM就有超过130000名员工使用自有设备,主要是智能手机和平板电脑。
在这期间,IBM管理人员批准BYOD的需求,并且制定了一套企业及其工作人员必须遵守的安全准则。然后,该公司指派给员工一个8位的字母数字密码,设备中含有完整的远程擦除功能,如果有人失去他们的设备,或已被盗,就可以擦除整个设备中的敏感数据。同时IBM也限制了应用程序的访问权限,如电子邮件和IBM的协作套件的分装。
到2012年年底,IBM所有员工使用自己的设备时已成为“认证”。 IBM已经开发了约45分钟的视频模块的安全移动计算的原则,然后员工必须通过测试,才有资格使用他们自己的设备上的视频。它也开发了其内部应用程序商店的应用程序“角色”,使员工可以下载IBM特定的应用程序,进而扮演符合他们的职位特性的“角色”。
