現(xiàn)階段��,人們使用最多的通信工具是移動(dòng)電話和平板電腦�,用圓珠筆辦公的日子已經(jīng)離我們遠(yuǎn)去。隨著高科技的日益普及����,人們更習(xí)慣用自己熟悉的工具來工作。
帶自己的設(shè)備辦公對于個(gè)人而言�,沒有任何的麻煩,但是需要足夠的安全策略去保護(hù)自有設(shè)備�。
當(dāng)然,鋼筆和圓珠筆不能訪問企業(yè)網(wǎng)絡(luò)���。手機(jī)和平板電腦代表了強(qiáng)大的計(jì)算設(shè)備�����,人們可以使用他們自己的個(gè)人設(shè)備工作和做事���,這就引起了BYOD(自帶設(shè)備)的風(fēng)潮。2008年1月�����,美國公司應(yīng)對Aberdeen的調(diào)查中,只有10%表示允許工人使用自有設(shè)備��。五年后�����,在2012年7月�,這一數(shù)字上升到超過80%以上。不過亞太地區(qū)��,這種趨勢發(fā)展的相對緩慢�����,很大部門公司不允許BYOD��。
這一風(fēng)潮的原因是什么?BYOD的目標(biāo)是獲得移動(dòng)通信技術(shù)的生產(chǎn)力優(yōu)勢���,而無需掏出很多錢在手機(jī)上����。不過公司仍然傾向于配置筆記本電腦��。
BYOD引發(fā)的一個(gè)迫在眉睫的問題是,員工擁有智能手機(jī)���,并不意味著他們能夠做到百分之百的安全�。每家公司都會(huì)有其自身的復(fù)雜性�����,其中包括技術(shù)因素和政策決定�。下面是幾個(gè)能夠讓公司BYOD容易產(chǎn)生的失誤�。
失誤1:安全策略不完備
安全威脅往往是在已有設(shè)備中出現(xiàn),所以很多公司都是針對所有的設(shè)備制定安全策略���,目前針對安卓手機(jī)和IOS系統(tǒng)手機(jī)的安全策略最多�����,但是安全策略并不全面����,往往存在漏網(wǎng)之魚��。
失誤2:對員工權(quán)限開放
是不是所有員工都需要所有應(yīng)用程序的訪問權(quán)限?電子郵件的存取���,ERP的訪問等等權(quán)限是否全部放開?就拿電子郵件而言�,如果電子郵件是一個(gè)封閉的系統(tǒng),員工可以連接到電子郵件系統(tǒng)���,但是不能連接到公司的數(shù)據(jù)庫�����,這樣就可以有效保護(hù)公司的敏感數(shù)據(jù)��。
失誤3:員工安全意識(shí)淺薄
員工安全意識(shí)淡薄是公司的一大禁忌�����,企業(yè)應(yīng)該對員工的企業(yè)網(wǎng)絡(luò)設(shè)備進(jìn)行培訓(xùn)��,幫助員工安全意識(shí)�,分清楚哪些是應(yīng)該做的和哪些是不應(yīng)該做的���。在醫(yī)療和金融公司��,員工安全意識(shí)培訓(xùn)顯得十分重要��。如果員工使用權(quán)限過大���,容易引發(fā)安全隱患���,有些時(shí)候還可能出現(xiàn)法律糾紛。
失誤4:假設(shè)不丟失的設(shè)備
很多時(shí)候��,BYOD會(huì)帶有很多敏感信息��。很多員工會(huì)說��,如果我自己的設(shè)備不丟失就不會(huì)引發(fā)安全問題��。但是員工往往不會(huì)為設(shè)備里面的文件加密���,甚至登陸沒有認(rèn)證的網(wǎng)絡(luò),這樣即使是設(shè)備沒有丟失���,也可能出現(xiàn)泄漏的風(fēng)險(xiǎn)�����。
失誤5:過分依賴管理軟件
目前很多安全廠商都提供了遠(yuǎn)程擦除功能的產(chǎn)品����,其中包括移動(dòng)設(shè)備管理軟件。遠(yuǎn)程擦除功能可以在設(shè)備丟失后起到很多安全保護(hù)���。但是如果未經(jīng)員工本人的同意����,而擅自擦除員工手機(jī)等移動(dòng)設(shè)備中的個(gè)人資料�,就有可能遭到員工的起訴。所以公司不能過分的利用移動(dòng)設(shè)備管理軟件��,不過公司倒是可以考慮取消丟失設(shè)備特定的訪問應(yīng)用程序的權(quán)限���。
失誤6:全面禁止BYOD不可取
BYOD是可控的�,這樣就可以幫助首席信息安全官降低風(fēng)險(xiǎn)�����。他們只是需要有一個(gè)計(jì)劃和過程�����,以滿足他們的公司的需求����。早在2004年����,IBM就有超過130000名員工使用自有設(shè)備����,主要是智能手機(jī)和平板電腦。
在這期間����,IBM管理人員批準(zhǔn)BYOD的需求,并且制定了一套企業(yè)及其工作人員必須遵守的安全準(zhǔn)則����。然后�����,該公司指派給員工一個(gè)8位的字母數(shù)字密碼���,設(shè)備中含有完整的遠(yuǎn)程擦除功能����,如果有人失去他們的設(shè)備��,或已被盜,就可以擦除整個(gè)設(shè)備中的敏感數(shù)據(jù)���。同時(shí)IBM也限制了應(yīng)用程序的訪問權(quán)限��,如電子郵件和IBM的協(xié)作套件的分裝���。
到2012年年底,IBM所有員工使用自己的設(shè)備時(shí)已成為“認(rèn)證”�。 IBM已經(jīng)開發(fā)了約45分鐘的視頻模塊的安全移動(dòng)計(jì)算的原則,然后員工必須通過測試���,才有資格使用他們自己的設(shè)備上的視頻����。它也開發(fā)了其內(nèi)部應(yīng)用程序商店的應(yīng)用程序“角色”���,使員工可以下載IBM特定的應(yīng)用程序��,進(jìn)而扮演符合他們的職位特性的“角色”�。
