BYOD的興起讓企業不得不管理越來越多的系統接入設備。最近的一個Bitglass進行的研究表明,由于公司管理層擁有太多的終端用戶個人數據的權限,出于隱私原因,57%的員工以及38%的IT專業人士并不參與企業BYOD計劃。
當然,員工并不會因此停止使用自己的設備,他們會想方設法繞過公司政策。當員工無視企業BYOD策略時,意味著有些東西出問題了,是時候重新評估BYOD計劃了。
那么該如何判斷員工用“流氓”的方式使用私人設備并讓企業數據處于風險之中呢?
可視隱私咨詢委員會會員,曾在多家企業擔任首席信息安全官的Patricia Titus稱:“從幾個跡象可以看出,但最明顯的是企業敏感信息的泄露。也就是說你已經發現企業數據暴露在互聯網上或者在暗網之中。”
惡意軟件數量增加或授權私人設備攻擊企業網絡則是另一個策略失效的跡象。這些現象可能說明員工并未在設備上使用安全軟件或沒有進行更新。
BYOD計劃的重新評估應該從政策開始進行,判斷它們是否符合公司需求,是否能讓員工承擔責任,是否使用與現在使用的技術。
經評估后,若發現當前BYOD策略成效不大且未能確保敏感數據的安全性。那么,你面臨著兩種選擇:重建現有政策或放棄整個BYOD計劃。
若選擇重建BYOD策略,將“信任和驗證”框架落實到位是保證策略有效性的關鍵因素。曾在金融行業擔任信息安全分析師的網絡安全顧問Dominic Vogel稱,如果員工缺乏主人翁意識,他們還會繼續忽略這一策略。
他說:“一個有效的策略需要讓員工擁有主人翁意識。企業必需確保人力資源,財務,營銷,通信,管理人員都考慮在內并制定一個現實的(而不是嚴厲的)策略,這樣就能在幫助企業的同時減少風險。”
企業還需要向員工清楚闡明重建后的策略中非技術方面的內容并使其了解策略條款中被允許的私人設備連接企業網絡的情況。
然而,你可能會驚奇地發現,越來越多的安全專家相信企業會選第二個方案。大多數員工會避開企業BYOD策略,因此禁止私人設備連接公司網絡似乎更為靠譜,尤其是高度監管的行業。
Titus說:“如果企業的風險承受能力非常低,意味著它受到嚴格監管,BYOD計劃可能并不太適合這類企業。這類管制企業還必須向審計人員證明BYOD計劃有效。”
Titus提出用C(choose)YOD方案替代BYOD。在這種方案中,公司擁有設備所有權并掌控安全性,員工被允許從一些列入企業安全計劃的設備清單中選擇設備。
如果你出于任何原因終止BYOD計劃,企業需要確保在不刪除任何個人數據的前提下清除公司的機密,這是非常重要的。Titus說:“這可能是一種敏感的處境。即便是臨時終止該計劃,和法律部門、人力資源部門合作都是非常重要的。溝通是最重要的,同時企業還需要向員工灌輸安全意識以確保網絡安全。”
失敗的BYOD政策對企業是毀滅性的,它會帶來知識產權,客戶的個人身份信息和財務數據,終端用戶數據泄漏的風險。只要有一臺沒打補丁,沒安裝標準殺毒軟件或其他安全保護措施軟件,網絡配置不當,丟失或被盜的設備,企業就有可能成為重大數據泄漏的受害者。
京公網安備 11010502049343號