移动应用越来越丰富,移动计算设备在日益风行,许多公司还始为高管以及经常外出的员工配置了移动计算设备以便提升工作效率。同样也出现不少员工自带设备(Bring Your Own Device,简称BYOD)用于工作。不少公司并未及时制定相应的政策来规范BYOD的使用,甚至还有公司为了节省终端计算设备的开支,鼓励员工BYOD。
BYOD确实可能帮公司省不少钱,可是这种公私不分的方式为公司和员工都带来不少扯不清的安全隐患。简单问一问:如果BYOD在公司丢失,设备算谁的责任,数据又算谁的责任?
撇开法律上的扯皮可能,而从安全管理的角度,BYOD也不可取,但是似乎禁止BYOD又可能影响到员工的工作满意度,不利于节省成本和提高生产力。
有没有折衷的方法?当然有,只是麻烦一些而已,最重要的是需要制定BYOD安全政策、建立BYOD标准以及加强与用户的安全意识沟通。
制定BYOD安全政策主要表明员工和公司双方在BYOD本身及其上数据信息的所有权,员工要使用BYOD要遵循公司的BYOD安全标准和使用流程等等。
BYOD安全标准可参照公司提供的计算终端的安全标准,当然在硬、软件资产上要有些适当的灵活变化,为了方便安全管理,最好指定特定品牌甚至型号的产品,并为BYOD设置特别的客户端安全软件以便加强安全控管。
最重要的莫过于加强员工的信息安全意识教育,由于使用自有设备,数据又是无形的,除了在设备本身之外,员工可能会在非公司指定的其它地方使用或存储 数据,而这些地方可能非公司所能控制的范围,例如现在有大量针对移动终端的云存储服务,这些服务良莠不齐,有些甚至是黑客专设的数据钓鱼仓库,贸贸然使用 这些服务会带来机密数据丢失的隐患,公司需从制度和技术层面规范数据的存储,并加强用户的安全防范意识。
而有时员工可能无意间通过BYOD设备泄密,WIFI钓鱼盛行,公司应该教育员工在外使用WIFI服务时,通过公司批准的加密安全通讯连接各类网络应用服务,以有效防止攻击者的非法窃听。
虽然BYOD设备归员工所有,上面仍存储着公司的重要信息,所以公司仍应教育员工如何保护这些设备的物理安全,例如出差在外、以及带回家中时如何保护设备免受盗窃和信息偷窥等等。