有80%的BYOD使用者對企業雇主存取其私有設備上的個人資料感到疑慮,擔心他們自己所在的位置、使用的App、網頁瀏覽記錄和下載的信息受到不當揭露。
愈來愈多的企業允許員工攜帶自有的移動設備(BYOD)上班,并且使用在日常工作之中,一旦這些移動設備離開了企業環境,企業要如何管控移動設備上所儲存的大量商業數據,實施有效的安全管理,同時也要避免侵害員工的隱私?
BYOD2 BYOD安全與員工隱私 企業如何才能兩者兼顧? 移動安全 BYOD安全 BYOD
隨著Apple iOS、Android及Windows手機與平板計算機的銷售如雨后春筍般成長,其中有一項營銷的策略在于廠商讓消費者明白了,購買這些移動設備不只可以作為生活中的娛樂之用,更可以同時使用于工作之中,創造了使用者在購買時一次滿足的強烈欲望。
企業愿意讓員工BYOD并成為工作中的一項工具,主要就是希望透過這些移動設備的協助,能夠增加更多的工作效率,并且有機會拓展更多業務,而藉由員工自備移動設備,也可以讓企業降低硬件采購與更新的成本。
另外,使用移動設備的好處是,員工即使離開了工作場所,還是可以在往返公司的途中來存取工作資料,或是在出差時利用它來收發個人電子郵件或瀏覽網頁之用,同時兼顧并保有生活與工作上的多重用途。
移動設備的安全與隱私風險
但是,無論是由公司添購或是私人擁有的移動設備,只要是會將它連接至公司網絡,就必須依照公司的資安政策,進行身分驗證,然后賦予適當的權限,以便降低信息安全的風險。
一般而言,移動設備可能造成數據外泄的原因,包括遺失設備、感染惡意軟件、未經授權的不當泄露等。
目前在企業內可使用的移動設備,大致有以下兩種情況,第一種是由公司所配發的設備,所以公司有權可以主動進行適當的管控。另一種則是個人擁有的移動設備,對用戶而言,這些移動設備是自己購買的,在使用時不必受到公司信息部門的管轄,也可以拒絕受到不必要的安全管控。
目前,大多數企業只站在安全管理的角度來進行控管,而忽略了可能會有侵犯個人隱私的情況,舉例來說,如果發生疑似數據外泄的事件,企業可能會要求員工必須交出其使用的移動設備,以便檢查其中所存取的公司文件、瀏覽記錄與所儲存的數據等,撇開由私人所購買的設備不看,即便移動設備是由企業所提供,但是大多數的使用者,仍可能會將它使用在私人用途上,像是瀏覽網站、使用Facebook等社群媒體、下載音樂、影片、應用程序和游戲等,這些仍是與個人隱私有關的信息。
BYOD可能造成的隱私問題
根據美國的一項調查指出,實行BYOD的使用者有80%對于企業雇主存取其私有設備上的個人資料感到疑慮,擔心他們自己所在的位置、使用的App、網頁瀏覽記錄和下載的信息受到不當揭露。
站在企業信息安全的角度而言,進行安全管控以降低風險當然有其必要性,但卻不能以此就作為犧性員工個人隱私的充分理由。而員工興高采烈地帶著自己的移動設備,在加入公司的BYOD行列之前,也要想想可能會對自己造成什么影響。
根據云端安全聯盟(CSA)所提出的移動設備安全指南,提到員工在使用公司所提供的BYOD方案時,應該要先了解以下幾個問題:
■ 公司是否會讀取移動設備上我的個人資料?
■ 若需要進行法律相關調查時,對我的移動設備會造成什么影響?
■ 如果我的移動設備遺失了,將會發生什么事?
■ 在遺失移動設備時,是否可以要求進行完整的資料清除?
■ 當我采取了BYOD方案,但是在離開公司之后,將會發生什么事?
至于針對企業在建立BYOD的政策時,也需要考慮以下的事項:
■ 在什么情況下,企業需要取得移動設備的所有權?
■ 在什么情況下,移動設備的數據會被清除?這需要考慮當地的法律和法規。
■監控員工的數據與行為,應該合乎員工所面臨風險的比例原則,尤其特別需要考慮所儲存的位置信息。
■ 可授權進行監控員工的管理人員,應該要被清楚地識別出來并了解其責任。
■ 所有的監控在實施時,應盡可能地將侵犯行為控制在最小的范圍,并且只獲取最小量的員工數據。
■了解在某些案例中可能也會牽涉到非企業的員工,例如員工的家屬可能也會使用員工的移動設備。
■ 移動設備的數據清除,應只限于公司的數據。
保障移動設備安全與隱私的做法
為了因應BYOD的需求,同時兼顧企業信息安全的管理,由廠商所提出的第一代移動設備管理方案MDM(Mobile Device Management),很快地就受到企業的歡迎。MDM方案主要是針對移動設備本身的安全管理,提供了設備監控、遠程鎖定、網頁過濾、禁用相機等功能,但相對地也比較難以區隔在使用方面的個人隱私要求。
為了要同時兼顧工作與個人使用方面的需求,后續推出的應用程序管理MAM(Mobile Application Management)方案,讓存取企業數據的環境與個人在手機上所使用的行為能有所區隔。
MAM透過建立虛擬的企業工作區域,讓用戶自帶的移動設備可以達成公私兩用的彈性做法,對企業來說,獨立的工作區域也可降低數據外泄的風險,但是在隱私方面,雖然可以做到應用程序上的數據區隔,卻也仍然無法避免企業仍可保有追蹤用戶的位置信息。
對企業來說,能夠保障個人隱私的作法有哪些?以下是有關實施時的參考建議。
1. 避免不當的位置追蹤:企業導入移動設備管理方案 的好處,就是可以實時追蹤移動設備的所在位置,以便可以隨時啟動遠程鎖定、遠程警示和數據刪除等功能,除了GPS之外,當使用者處于建筑物內部時,也可以透過所接入的無線網絡或3G網絡來偵測出所在的地點,換句話說,企業的信息部門有能力隨時掌握使用者的行蹤,因此企業需要明訂在什么情況之下,基于何種理由和目的,公司可以啟動追蹤功能,并且是否要預先獲得使用者的同意。
2. 避免個人資料的遺失:一旦企業需要啟用遠程變更 密碼、強制鎖定和刪除時,請先確認會由誰來負責進行授權,并且將會如何進行。如果設定了自動刪除功能,那么是否僅僅會刪除企業相關的數據和應用程序?是否也提供了復原設備數據的功能?
3. 妥善管理聯機信息:除了所在的地點和位置信息之 外,一旦使用私有的移動設備鏈接了企業網絡,相關的網絡活動也有可能受到企業的過濾與監控,在使用者離職之后,這些涉及個人活動有關的資料,請確認是否還會繼續保留?
4.避免不當的隱私審查:如果涉及相關的法律事 件,企業是否需要審查用戶自帶的移動設備,內容將會包括了這臺設備上的網頁瀏覽紀錄、下載數據、歌曲、影片、電子郵件內容、聯絡人、社群媒體的活動、通話紀錄,甚至是所存放與家人有關的信息,這些都有可能會被揭露,請評估可能的沖擊與結果。
5. 厘清應用程序的安裝限制:針對移動設備的惡意 程序愈來愈多,企業為了降低安全風險,可能會限制員工在移動設備上任意安裝App,但若是員工私有的移動設備,員工仍然保有權力可以自己安裝軟件,因此這一部分就需要企業事先與使用者進行溝通,明訂應用程序的安裝要求。
6. 制定使用政策并實施教育訓練:透過政策明訂的內 容,向員工說明以便取得其同意來實施某些安全做法。例如啟用遠程刪除功能、數據加密等,會是比較容易獲得員工尊重與信賴的做法。
最后,建議企業在移動設備的安全管理方面,盡量以勸導、訓練和警示,代替全面監控員工的做法,換句話說,請千萬不要假安全之名而行侵犯隱私之實,因為在移動設備中的個人資料,同樣也受到個人信息保護法的保障,若企業因此而違法的話,到最后肯定得不償失。
京公網安備 11010502049343號