我们注意到您目前正在访问英国网站。您想访问我们的主网站吗?

员工在办公桌上使用个人设备。

自带设备:工作场所个人设备的安全措施

如果员工可以将智能手机、平板电脑或个人笔记本电脑带到工作场所,则公司必须制定“自带设备”安全政策(简称 BYOD 政策)。几乎每个员工都带着联网设备上班,即使该设备没有主动连接到公司网络,也可能存在安全风险。

使用个人设备做一些无害的事情,比如发送工作电子邮件,可能会在组织的网络中造成漏洞。各种规模的组织都认为 BYOD 安全性是一个挑战,因为公司必须对员工拥有的智能手机和平板电脑施加一定的控制。毕竟,40% 的数据泄露是由设备丢失或被盗造成的。然而,在强调个人自由的文化中,这样的政策可能会遭到员工的抵制或怨恨。最好是对这个问题采取巧妙但坚决的方法。

在这种情况下,公司可以做些什么来提高网络安全?一种选择是完全禁止 BYOD,并严格执行其政策。但全球 BYOD 市场规模巨大且不断增长。据估计,2022 年的市场价值为 3500 亿美元。疫情引发的居家工作趋势加速了其增长。另一种选择是偏向于实践,同时制定常识性的 BYOD 政策和安全措施,使其对公司和员工都更安全。大多数公司发现这是两种选择中更容易实施的一种,但并不是说明智的 BYOD 政策不需要努力和考虑。

BYOD 安全风险

BYOD意味着,名义上公司为员工在硬件和软件上的支出减少了。82% 的公司允许员工在工作中使用个人设备。71% 的雇主认为可以让人们在使用设备时更舒适,因为他们最熟悉自己的个人手机。58% 则认为可以提高效率。但只有 55% 认为可以降低成本。为什么会出现这种差异?可能是因为,安全政策允许 BYOD 的公司,通过员工自有设备出现数据泄露的情况达到了令人震惊的 50%。难怪在反对采用 BYOD 政策的公司中,26% 的公司将安全问题作为主要原因。

BYOD 安全最佳实践

同事一起使用笔记本电脑、平板电脑和手机

任何值得一试的 BYOD 政策都要涵盖以下要素:

  • 允许的设备类型
  • 可接受的用途:员工可以从他们的设备访问哪些应用程序和资源?
  • 设备安全控制的最低要求:公司对 BYOD 设备要求采取哪些安全措施?
  • 公司提供的组件:例如,用于设备身份验证的 SSL 证书
  • 公司关于设备修改的权利:例如,在设备被盗或丢失的情况下进行远程擦除
  • 离职员工设备上的公司数据会怎样?
  • 谁拥有设备上的应用程序和数据?公司是否会为员工报销应用程序费用或月费?
  • IT 将为设备所有者提供哪些支持?

政策制定者需要考虑以下规定,以便提供最佳选择:

  • 常识规则:工作时限制私人电话和视频,开车时禁止使用设备
  • 维护和升级:任何最终确定的政策都应确保员工可靠地保持设备和应用程序的最新状态
  • 数据传输规定:公司数据应加密并使用密码保护,且仅在公司授权的应用程序上传输
  • 密码规定:使用密码保护敏感信息显然没有商量余地;还可能需要双重身份验证

隐私规定:公司如何在数据保护和员工隐私与 BYOD 之间取得平衡?

BYOD 安全政策

如何最好地设计一致且安全的 BYOD?任何这种规模的政策起草都应该让员工和利益相关者共同参与。员工意见可以通过调查获得,这是制定政策的重要依据。行政人员、人力资源、IT 运营、财务和安全人员都应该有代表参与 BYOD 项目管理团队。这些部门都可以为之做出贡献。

调查在发出并收到回复后,需要对员工设备上需要哪些数据和应用程序进行分析。在推出完成的政策之后,培训是该过程的一个重要阶段。必须指导各级员工了解数据处理协议、设备故障排除、丢失或被盗设备的程序、使用哪些应用程序、反网络钓鱼措施,以及更广泛的网络威胁防范指导。

人们普遍认为,未经网络安全培训的员工是对组织数据完整性的最大威胁。2014 年,87% 的 IT 经理认为,对组织的最大威胁是粗心员工使用的移动设备。2020 年,96% 的移动设备攻击以应用程序为载体。这是因为绝大多数应用程序(近五分之四)嵌入了可能造成漏洞的第三方库。

实施严格 BYOD 政策的公司应该使用哪些应用程序?研究发现,员工每天会使用五个或五个以上的应用程序。组织应包括专用的安全消息平台、电子邮件、CRM 以及他们认为员工需要的任何应用程序。确保明确禁止使用可能碍事的应用程序。

组织还应为因任何原因离开公司的员工制定具体程序。当员工离开时,组织必须确保从他们的设备上删除所有数据,并且相应撤回他们对公司应用程序的全部访问权限。但这项职责会带来许多困难,通常被认为是放弃 BYOD 政策并提供自己设备的充分理由。

尽管政策的强大程度取决于公司执行政策的能力,还是需要不能遵守政策的人承担后果。任何政策都应该有关于跟踪、测量和执行问责制的具体细节,以便所有团队成员都知道。缺乏监督是 BYOD 实施的主要问题之一。公司需要足够的 IT 支持人员来安排员工,并提供持续的支持和监控。

在系统和协议得到保障后,组织应优先考虑员工的教育。想要 BYOD 取得成功,让员工了解使用方式和基本数据安全卫生十分重要。

三个人拿着笔记本电脑、平板电脑和文件在办公桌前工作的俯视图。

BYOD 安全解决方案

应考虑纳入 BYOD 政策的安全解决方案包括:

  • 对静态和传输中的数据进行加密
  • 防病毒:公司提供或要求员工安装
  • 监控:跟踪员工设备的 GPS 位置或互联网流量等
  • 容器化:分离为有密码保护的私人或财务空间的设备
  • 密码卫生培训,包括定期更改的要求
  • 黑名单:屏蔽或限制应用程序,特别是因为它们会危及运营安全或损害生产力 - 这在员工所有的设备上通常是不可能的,容器化除外
  • 白名单:只允许访问某些已批准的应用程序,通常对组织分布式硬件更实用
  • 要求定期备份,以及更新应用程序和操作系统
  • 定期培训和再培训,了解如何确保 BYOD 硬件 WiFi 网络接入方面的公司数据安全
  • 数据访问限制:为了防止数据泄露,应严格控制数据访问,以便只有那些需要访问特定工作数据集的人方可从个人设备访问

数据定位和数据访问模式的监控工具,用于检测可疑行为,如从不安全或可疑地点访问。

为 BYOD 系统提供更好安全性的方法之一是向员工发放加密的 USB 闪存盘和加密的固态硬盘。存储在这些设备上的数据比为全体员工提供手机或平板电脑更经济,也比容器化员工带到现场的每一台设备要简单得多,这些设备上存储的数据获得的保护远高于一般设备。有了质量足够高的加密,小偷在盗取加密闪存盘后也无法访问特权数据。

#KingstonIsWithYou #KingstonIronKey

电路板芯片上的 Kingston“咨询专家”图标

咨询专家

规划合适的解决方案时需要了解项目的安全目标。让金士顿专家为您提供指导。

咨询专家

相关视频

相关文章