根據領導管理學會(Institute of Leadership and Management)此前的一項研究顯示,新冠疫情爆發前,三分之二(65%)的管理者會在休假期間查看他們的工作電子郵件,而四分之三的管理者會在休假期間接聽或者打過工作電話,更有越來越多的員工為了完成自己的工作在休假期間登錄工作賬號。疫情期間,IT 部門必須確保分散在不同位置的員工能夠安全訪問工作內容。現在,IT 部門還必須應對黃金周假期遠程登錄工作賬號的員工需求浪潮。
影子 IT 帶來安全威脅
“影子 IT”指用戶在未經批準的情況下擅自使用企業 IT 系統、設備和軟件的行為。思杰曾委托市場調查機構 Censuswide 進行過一項研究,該研究調查了全球 3,700 多名 IT 高管,結果顯示:疫情期間,企業迅速調整了辦公模式,員工也由線下辦公轉為線上遠程辦公。這一轉變引發了一系列 IT 高管必須要解決的、新的安全問題和挑戰,其中影子 IT 位居榜首。根據調研,54% 的高管認識到越來越多的員工正在安裝未經批準的軟件,而 68% 的高管對員工使用未經授權的個人設備所帶來的 IT 安全問題表示擔心。此外,四分之三(73%)的高管還證實,部分員工甚至在接受調查時還在使用私人設備辦公。
為應對影子 IT 日益增長的威脅,企業可以部署以人為中心的虛擬工作空間,限制員工使用未經批準的設備。這樣一來,只有通過企業批準的虛擬應用程序和桌面才能訪問數據。這使得零信任安全策略模式可以迅速推廣——無論位置或者設備如何,都會強制驗證安全控制措施。這種模式更加易于管理,擁有成本也更低,還可以大大減少出現影子 IT 的機率。
不當行為帶來諸多風險
疫情下,隨著企業越來越廣泛地轉向遠程工作模式,員工生活和工作之間的界限也越來越模糊。企業必須認識到,員工在度假時可能會通過未經授權的私人或臨時設備,甚至防護措施不完善的舊設備訪問企業數據。如果這些設備丟失、被盜或者被攻破——或者不安全的連接被人利用了,那么關鍵數據可能會被網絡犯罪分子獲取并實施勒索。
如果員工為了更快完成工作而紛紛使用未經授權的設備辦公(也就是影子 IT),這不僅不符合企業政策,還會給企業帶來嚴重的后果。有時員工為了能夠按時下班,不按步驟和規定程序進行操作,這種草率的行為將使企業面臨安全漏洞的風險。如果員工越來越“得心應手”地使用非企業級應用程序,那么每當員工開啟“休假模式”時,企業的關鍵業務數據就會處于危險之中。
此外,休假期間員工很可能會選擇關閉手機的自動安全更新功能,以避免所使用的帶寬和數據量產生高額的漫游費。這對企業來說同樣很危險,這意味著員工訪問企業數據時,所使用的設備可能裝有過時或者易受攻擊的軟件。
為解決這個問題,IT 部門應盡快提供相應的培訓,確保員工了解最新的安全措施和休假時的最佳做法,比如 IT 部門應幫助員工在其休假前將手機和平板電腦打好補丁并保持最新版本。這有助于減少員工在離開辦公室后訪問企業數據時出現漏洞的可能。
謹防網絡詐騙
現如今,人們僅通過線上操作就可以完成休假前的準備工作,這就更需要員工在出發前做好數據保護工作。在過去的 18 個月中,通過短信和電子郵件針對消費者的欺詐行為有所增加,這也是企業在員工休假時必須考慮到并應對的另一風險。
然而,對于缺乏防范意識的員工來說,在搶票或緊急預定旅行保險時,很容易誤入詐騙網站,讓黑客有機可乘。這些網站通過使用先進復雜的工具在員工的設備上植入惡意軟件,從而盜取相關數據。
盡管近期對防范網絡詐騙的宣傳有所增加,但人們往往不知道怎樣去避免這一情況。長遠來看,企業需要做好員工培訓,在員工充分了解詐騙信息邀約、釣魚郵件和其他形式的網絡詐騙后,企業的數據安全保障才能加強。隨著旅行政策的放寬,提高員工防范網絡詐騙的意識顯得尤為重要。
溝通是關鍵
面對即將到來的假期,員工往往會在旅行的前一周采取更為激進的措施來“把工作做完”。無論員工是否計劃留在本地,企業一定要建議所有員工都保持警惕,比如與同事充分溝通休假期間的工作,以及將交接任務記錄清楚。盡管員工在假期工作并不是值得鼓勵的行為,但 IT 部門應針對員工可能需要在辦公室以外訪問企業敏感數據的情況進行規劃,并采取必要的預防措施。
企業開放的安全文化應鼓勵員工表達訴求,比如可以提前與員工溝通,詢問他們是否需要在休假期間完成工作,畢竟在異地工作可能比按時完成一份報告的風險性要高得多,這也有助于保證企業的數據安全。在應對數據風險方面,只要做好企業內部的有效溝通,向員工傳達應對數據安全的實用建議,便能享受假期而不需擔憂數據安全。(作者:思杰大中華區總經理 于放)
京公網安備 11010502049343號