盡管員工自帶設(shè)備辦公(BYOD)對(duì)企業(yè)來(lái)說(shuō)是有好處的——比如說(shuō),提高員工工作效率和滿意度,并且因?yàn)闇p少了提供以及維護(hù)硬件設(shè)備終端的支出,從而降低企業(yè)成本。但是,由此產(chǎn)生的對(duì)企業(yè)安全的影響也讓IT部門面臨著巨大的挑戰(zhàn)。當(dāng)每個(gè)人都在辦公室辦公并使用公司配備的手機(jī)和計(jì)算機(jī)時(shí),IT部門能夠更好進(jìn)行網(wǎng)絡(luò)安全控制。現(xiàn)在,從各種平臺(tái)接入企業(yè)網(wǎng)絡(luò)的筆記本電腦、智能手機(jī)、平板電腦以及其它設(shè)備都成了惡意軟件侵入的渠道,以及企業(yè)數(shù)據(jù)外泄的路徑——所有這一切,IT部門可能毫不知情。
據(jù)Gartner最近發(fā)布的報(bào)告顯示,到2017年,半數(shù)雇主將要求員工使用自己的個(gè)人設(shè)備辦公,而38%的企業(yè)則有望在2016年之前停止為員工提供辦公設(shè)備。自帶設(shè)備上班的經(jīng)濟(jì)效益壓倒了安全問題,但是,在當(dāng)今的全球化業(yè)務(wù)時(shí)代,關(guān)鍵是要部署一個(gè)不僅能保護(hù)企業(yè)數(shù)據(jù),還能遵守區(qū)域性法規(guī)從而尊重員工隱私權(quán)的自帶設(shè)備辦公(BYOD)政策。加密、PIN碼強(qiáng)制執(zhí)行、在設(shè)備上安裝防惡意軟件和病毒的保護(hù)措施,以及移動(dòng)設(shè)備管理(MDM)工具——這些都有可能侵犯用戶隱私權(quán)。在大多數(shù)國(guó)家,如果未經(jīng)員工同意,企業(yè)不能合法執(zhí)行上述任何一項(xiàng)措施。
了解在工作和生活中使用同一臺(tái)電話的缺點(diǎn)
在制定一個(gè)企業(yè)強(qiáng)制執(zhí)行安全措施的自帶設(shè)備辦公(BYOD)政策時(shí),你必須要明確告知員工公司政策對(duì)其應(yīng)履行責(zé)任的要求。員工不僅必須簽署協(xié)議同意保護(hù)公司數(shù)據(jù),他們還必須了解他們所簽協(xié)議的內(nèi)容,并確認(rèn)他們完全了解這項(xiàng)政策的含義。
換言之,通過(guò)簽署自帶設(shè)備辦公(BYOD)協(xié)議,員工要放棄一些對(duì)其個(gè)人設(shè)備的控制權(quán),并有可能損失一些個(gè)人隱私。他們必須了解,通過(guò)訪問其個(gè)人設(shè)備,IT部門可以鎖定、禁用或從其設(shè)備擦除數(shù)據(jù)(或刪除手機(jī)上的所有數(shù)據(jù)),查看瀏覽記錄、聊天通訊記錄、照片、視頻及其它媒體。除了知道IT部門的權(quán)限,用戶還必須確切了解如果設(shè)備丟失、被盜,或者如果自己離職,將會(huì)發(fā)生什么。
跨國(guó)公司自帶設(shè)備辦公“一刀切”政策
跨國(guó)公司發(fā)現(xiàn),在全公司采用統(tǒng)一的、“一刀切”的自帶設(shè)備辦公(BYOD)政策尤其困難,因?yàn)槊總€(gè)國(guó)家的隱私法律法規(guī)都各不相同,美國(guó)各個(gè)州的相關(guān)法規(guī)也不盡相同。Ovum發(fā)布的一項(xiàng)名為“國(guó)際數(shù)據(jù)隱私立法研究:自帶設(shè)備辦公(BYOD)政策指南”的報(bào)告探討了數(shù)據(jù)隱私法在七個(gè)國(guó)家(分別為美國(guó)、英國(guó)、德國(guó)、中國(guó)、澳大利亞、法國(guó)和西班牙)的差異,但是對(duì)于以上所有國(guó)家而言,主要有兩點(diǎn)是一致的:
1. 企業(yè)必須采取充足的措施來(lái)確保客戶或患者信息,以及他們所擁有的任何個(gè)人數(shù)據(jù)的安全性。
2. 員工必須同意其個(gè)人數(shù)據(jù)能被訪問和處理。
企業(yè)一直想方設(shè)法向終端用戶呈現(xiàn)一個(gè)可以同時(shí)從法律和技術(shù)上保護(hù)用戶隱私和企業(yè)安全的“協(xié)議”。由于許多用戶都在遠(yuǎn)程辦公,因此法律協(xié)議的文書或驗(yàn)證成本非常高。所幸現(xiàn)在可以通過(guò)向終端客戶提供一個(gè)動(dòng)態(tài)遠(yuǎn)程訪問使用協(xié)議來(lái)幫助企業(yè)授權(quán)或拒絕訪問。從一個(gè)完全遠(yuǎn)程的位置來(lái)訪問網(wǎng)絡(luò),企業(yè)能夠通過(guò)VPN連接來(lái)提供針對(duì)特定區(qū)域的協(xié)議——可以針對(duì)特定區(qū)域,并且按需更新。
真正能夠解決這個(gè)問題的方法不僅僅靠法律,還必須靠技術(shù)。企業(yè)采用“自帶設(shè)備辦公”政策時(shí),必須從技術(shù)上確保登錄到個(gè)人設(shè)備時(shí)數(shù)據(jù)能夠得到保護(hù)。最重要的是,企業(yè)必須在保持較高成本效益的前提下確保數(shù)據(jù)得到保護(hù)。幸運(yùn)的是,安全移動(dòng)接入解決方案現(xiàn)在可支持一項(xiàng)名為per-app VPN的功能以及端點(diǎn)控制。這些技術(shù)讓已申請(qǐng)VPN的連接不僅能夠允許數(shù)據(jù)從定義網(wǎng)絡(luò)流向移動(dòng)設(shè)備上的特定應(yīng)用程序,而且能夠強(qiáng)制移動(dòng)設(shè)備上必須存在或者必須不存在某些特定應(yīng)用。
底線就是公司不僅需要在沒有高昂代價(jià)的互動(dòng)或延遲的情況下獲得自身與用戶之間所有法律協(xié)議,還需要同時(shí)確保數(shù)據(jù)只在目標(biāo)應(yīng)用登陸——無(wú)論它們是通用應(yīng)用還是客戶應(yīng)用,或者是移動(dòng)設(shè)備管理(MDM)解決方案。如果無(wú)需獲取特別的應(yīng)用程序包就能完成這些任務(wù),那么應(yīng)用的挑戰(zhàn)將大大簡(jiǎn)化。
確保企業(yè)數(shù)據(jù)安全,并防止違規(guī)行為
由于自帶設(shè)備辦公(BYOD)政策并沒有一個(gè)放諸四海皆準(zhǔn)的模板,所以具備能夠以不同的方式對(duì)待每個(gè)用戶的能力顯得尤為重要。如果你的企業(yè)能夠定制從不同地區(qū)不同用戶那里獲取授權(quán)同意的方法,你將知道誰(shuí)接受了哪些條款。如果這是工作流程中自動(dòng)處理的部分,它還將通過(guò)確保審查跟蹤來(lái)保護(hù)企業(yè)。
遵守地區(qū)隱私法是每個(gè)在全球開展業(yè)務(wù)的企業(yè)都應(yīng)嚴(yán)肅對(duì)待的事宜。盡管我們的第一要?jiǎng)?wù)是要保護(hù)企業(yè)數(shù)據(jù)中心里的數(shù)據(jù),當(dāng)然還有那些正在使用和存儲(chǔ)在設(shè)備中的數(shù)據(jù)——以及保護(hù)你的網(wǎng)絡(luò)防御那些通過(guò)移動(dòng)接入發(fā)起攻擊的惡意軟件——但是也不要忽視由于未獲得終端用戶許可便私自監(jiān)控其個(gè)人設(shè)備而帶來(lái)的財(cái)務(wù)風(fēng)險(xiǎn)——如不這么做,面臨的處罰成本可能相當(dāng)之高,并會(huì)對(duì)業(yè)務(wù)產(chǎn)生極大負(fù)面影響。
京公網(wǎng)安備 11010502049343號(hào)