在今天的工作環(huán)境中,越來越多的員工需要不斷地進行溝通交流。無論公司是否允許,越來越多的員工都傾向于使用他們的個人設(shè)備進行工作。這種趨勢是不可避免的,任何企業(yè)都不應(yīng)該忽視,而是應(yīng)該制定和實施保護公司的BYOD策略,并將生產(chǎn)力與安全性進行平衡。
在制定BYOD策略之前,需要明確主要目標(biāo)——保護移動設(shè)備本身,管理移動環(huán)境,解決應(yīng)用風(fēng)險。這些包括保護公司信息,提高可用性/生產(chǎn)力,減少時間成本和不當(dāng)?shù)腤eb使用。
除此之外,企業(yè)在開展BYOD政策時應(yīng)該將以下10個方面納入考慮范圍。
1.評估監(jiān)管風(fēng)險。企業(yè)應(yīng)明確了解國家/地方/國外數(shù)據(jù)隱私和安全相關(guān)法律。如果不同地區(qū)法律有所不同不能統(tǒng)一,請考慮根據(jù)需要擴大BYOD政策的次級政策或程序。在制定BYOD策略時,包括人力資源、技術(shù)部、法務(wù)部在內(nèi)的各種利益相關(guān)者,需要確保以可實施的方式制定政策。
2. 隱私治理。保留信息訪問的審核權(quán),確保員工意識到可能會出現(xiàn)的安全威脅。
3. 結(jié)算機制。明確企業(yè)是否支付電話費或每月使用津貼?數(shù)據(jù)覆蓋又該如何處理?
4. 所有個人設(shè)備的嚴(yán)格安全策略。督促員工使用強大的字母數(shù)字密碼,而不是簡單密碼;制定允許哪些設(shè)備訪問內(nèi)部網(wǎng)絡(luò)的規(guī)則;定義設(shè)備在鎖定之前應(yīng)該處于非活動狀態(tài)的時間。
5.數(shù)據(jù)所有權(quán)和恢復(fù)。明確員工誰擁有什么樣的數(shù)據(jù)?使用哪些應(yīng)用程序?設(shè)備丟失或被盜時,會發(fā)生什么情況?公司是否可以擦拭(擦去個人照片,員工個人付費的應(yīng)用程序等)? BYOD策略應(yīng)該明確表明,公司是否有抹去帶入網(wǎng)絡(luò)的設(shè)備上的信息的權(quán)利。
6.網(wǎng)站訪問權(quán)限。
· 應(yīng)用。允許或禁止哪些應(yīng)用程式?什么網(wǎng)站會被阻止?不僅限于網(wǎng)站,還應(yīng)該包括社交媒體、VPN、遠程訪問軟件等。
· 與可接受的使用策略集成。您的工作場所可能不允許使用社交媒體,不允許訪問令人反感的網(wǎng)站或利用網(wǎng)站進行營業(yè)盈利。如果員工通過VPN連接公司網(wǎng)絡(luò)通過個人設(shè)備發(fā)送不當(dāng)內(nèi)容,該怎么辦? 您將如何監(jiān)控和執(zhí)行有關(guān)個人設(shè)備的這些政策?你可以設(shè)定什么規(guī)則?
7. 指定BYOD設(shè)備的技術(shù)支持級別。設(shè)備損壞會得到公司內(nèi)部技術(shù)支持嗎?會支持“擦除和重新配置”嗎? 將如何處理借用設(shè)備?IT技術(shù)需要幫助解決有關(guān)個人設(shè)備上的一些技術(shù)問題。
8. 員工退休。員工離職時,您將如何強制執(zhí)行訪問信息、數(shù)據(jù)、電子郵件和專有數(shù)據(jù)的刪除?以下是需要考慮的選項:
· 遠程禁用電子郵件?
· 禁用同步訪問?
· 徹底擦拭設(shè)備?
· 擦拭設(shè)備,但是備份個人照片和個人購買的應(yīng)用程序?
· 與員工合作,但如有需要,請保留完全擦除的權(quán)利。
9.審查、監(jiān)督、修改。定期檢查有哪些個人設(shè)備正在工作,必要時可以監(jiān)控這些設(shè)備。
10. 積極主動地保護設(shè)備。
· 安裝手機更新(或在BYOD策略中包含及時更新的要求),不斷更新修復(fù)漏洞。
· 不允許越獄設(shè)備,(不受管制的應(yīng)用程序通常可能包含惡意軟件)。
· 使用移動設(shè)備管理。這些服務(wù)可以安全地保護智能手機和平板電腦,定義安全設(shè)置,管理工作內(nèi)容,以及啟用無線推送更新或應(yīng)用程序。
· 強制執(zhí)行密碼和密碼要求。這對于丟失或被盜設(shè)備至關(guān)重要。