Chúng tôi nhận thấy bạn hiện đang truy cập trang web của Vương quốc Anh. Thay vào đó, bạn có muốn truy cập trang web chính của chúng tôi không?

Một nhân viên đang sử dụng thiết bị cá nhân tại bàn làm việc.

Mang Thiết bị Riêng Đi làm: Các Biện pháp Bảo mật dành cho Thiết bị Cá nhân tại Nơi làm việc

Mọi công ty cho phép nhân viên mang điện thoại thông minh, máy tính bảng hoặc máy tính xách tay cá nhân đến nơi làm việc đều cần có chính sách dành cho việc Mang thiết bị riêng đi làm (hay gọi tắt là chính sách BYOD). Hầu hết các nhân viên đều mang theo thiết bị kết nối Internet để làm việc. Tuy nhiên, ngay cả khi những thiết bị đó không được kết nối thường xuyên với mạng công ty thì những nguy cơ bảo mật vẫn sẽ luôn hiện hữu.

Việc sử dụng thiết bị cá nhân cho những hoạt động tưởng chừng rất đỗi bình thường như gửi email công việc vẫn có thể tạo ra các lỗ hổng trong hệ thống mạng của doanh nghiệp. Vấn đề bảo mật dành cho BYOD luôn là một thách thức lớn đối với mọi công ty, dù ở bất kỳ cấp độ quy mô nào, khi phải tìm kiếm giải pháp để có thể kiểm soát điện thoại thông minh và máy tính bảng cá nhân của nhân viên. Trên thực tế, 40% các vụ vi phạm dữ liệu bắt nguồn từ việc làm mất hoặc bị đánh cắp thiết bị. Tuy nhiên, với những nền văn hóa chú trọng đến quyền tự do cá nhân, các chính sách này có thể vấp phải sự phản đối hoặc thái độ tiêu cực từ nhân viên. Chính vì vậy, chúng ta cần có một phương thức tiếp cận vừa tinh tế lại phải vừa mạnh mẽ.

Vậy công ty có thể làm gì để nâng cao chất lượng an ninh mạng của họ trong trường hợp này? Một giải pháp là cấm hoàn toàn BYOD và áp dụng chính sách một cách nghiêm khắc. Tuy nhiên, thị trường BYOD toàn cầu có quy mô vô cùng lớn và vẫn đang tiếp tục phát triển. Theo ước tính, năm 2022, thị trường này có trị giá khoảng 350 tỷ USD. Sự xuất hiện của đại dịch COVID đã khiến xu hướng làm việc tại nhà ngày càng gia tăng hơn nữa. Một giải pháp khác là chấp nhận việc BYOD, đồng thời ban hành các chính sách và bảo mật chung cho BYOD, giúp đảm bảo an toàn hơn cho cả công ty và nhân viên. Hầu hết các công ty đều nhận thấy lựa chọn thứ hai mang tính khả thi cao hơn. Tuy nhiên, điều này không có nghĩa là việc xây dựng một chính sách BYOD là một quá trình dễ dàng và nhanh chóng.

Rủi ro Bảo mật từ BYOD

Trên danh nghĩa, khi áp dụng BYOD, các công ty sẽ có thể tiết kiệm chi phí phần cứng và phần mềm cho nhân viên. 82% công ty cho phép nhân viên sử dụng thiết bị cá nhân trong công việc. 71% trong số đó cho rằng các nhân viên cảm thấy thoải mái hơn khi sử dụng những thiết bị vốn đã vô cùng quen thuộc với họ. 58% ghi nhận những chuyển biến tích cực về hiệu quả công việc. Tuy nhiên, chỉ có 55% công ty cho rằng biện pháp này giúp họ tiết kiệm chi phí. Tại sao lại có sự khác biệt đến vậy? Nguyên nhân có thể là bởi trong số các công ty cho phép BYOD, có tới 50% phải đối mặt với vấn đề vi phạm dữ liệu qua thiết bị riêng của nhân viên - một con số đáng báo động. Đây cũng là lý do mà 26% trong số các công ty phản đối việc áp dụng chính sách BYOD khẳng định rằng, những lo ngại về bảo mật là trở ngại lớn nhất của BYOD.

Các Quy tắc thực hành Tốt nhất về Bảo mật BYOD

Các nhân viên cùng sử dụng máy tính xách tay, máy tính bảng và điện thoại di động

Một chính sách BYOD hiệu quả cần bao hàm những nội dung sau:

  • Loại thiết bị được phép
  • Sử dụng được chấp nhận: nhân viên có thể truy cập những ứng dụng và nội dung nào từ thiết bị cá nhân?
  • Yêu cầu tối thiểu về kiểm soát bảo mật thiết bị: công ty sẽ cần phải có những biện pháp an toàn nào đối với các thiết bị BYOD?
  • Các thành phần do công ty cung cấp: chẳng hạn như chứng chỉ SSL để xác thực thiết bị
  • Quyền sửa đổi thiết bị của công ty: chẳng hạn như công ty có thể xóa bỏ từ xa trong trường hợp thiết bị bị thất lạc hoặc mất cắp
  • Điều gì sẽ xảy ra với những dữ liệu của công ty trên thiết bị của nhân viên sắp nghỉ việc?
  • Ai là người sở hữu các ứng dụng và dữ liệu trên thiết bị? Nhân viên có được công ty hoàn trả số tiền mua ứng dụng hoặc mức phí hàng tháng không?
  • Bộ phận CNTT sẽ hỗ trợ chủ sở hữu thiết bị như thế nào?

Các nhà hoạch định chính sách cần xem xét những quy định sau để có thể đưa ra lựa chọn tốt nhất:

  • Quy tắc chung: giới hạn cuộc gọi cá nhân và cuộc gọi video tại nơi làm việc, không sử dụng trong khi lái xe
  • Bảo trì và nâng cấp: chính sách cần phải đảm bảo rằng các nhân viên luôn cập nhật thiết bị và ứng dụng đúng cách
  • Quy định về truyền dữ liệu: dữ liệu của công ty phải được mã hóa và bảo vệ bằng mật khẩu và chỉ được truyền qua các ứng dụng do công ty ủy quyền
  • Quy định về mật khẩu: bắt buộc phải sử dụng mật khẩu để bảo vệ thông tin nhạy cảm; ngoài ra, người dùng cũng có thể phải thực hiện xác thực hai yếu tố

Quy định về quyền riêng tư: làm thế nào để công ty có thể cân bằng giữa việc bảo vệ dữ liệu và quyền riêng tư của nhân viên khi áp dụng BYOD?

Chính sách bảo mật BYOD

Phương pháp tốt nhất để có thể xây dựng các quy tắc thực hành BYOD nhất quán và an toàn là gì? Quá trình soạn thảo chính sách BYOD cần phải có sự tham gia của cả nhân viên và các bên liên quan. Dữ liệu từ nhân viên có thể được thu thập thông qua khảo sát, một nền tảng quan trọng trong quy trình hoạch định chính sách. Tất cả các giám đốc điều hành, nhân sự, vận hành CNTT, tài chính và an ninh đều phải nắm được thông tin và tham gia bộ phận quản lý dự án BYOD. Mỗi một phòng ban đều có một nhiệm vụ riêng.

Sau khi hoàn thành việc thu thập dữ liệu khảo sát, bước tiếp theo là thực hiện phân tích để tìm ra những dữ liệu và ứng dụng cần thiết trên thiết bị của nhân viên. Đào tạo cũng là một bước quan trọng trong quy trình sau khi xây dựng chính sách hoàn chỉnh. Nhân viên ở mọi cấp bậc phải được hướng dẫn về giao thức xử lý dữ liệu, khắc phục sự cố trên thiết bị, quy trình khi làm thất lạc hoặc bị mất trộm thiết bị, ứng dụng cần cài đặt và các biện pháp phòng chống lừa đảo, cũng như nâng cao cảnh giác trước các mối đe dọa an ninh mạng.

Những nhân viên không được đào tạo về an ninh mạng thường được coi là mối nguy hiểm lớn nhất đối với tính toàn vẹn dữ liệu của công ty. Năm 2014, 87% nhà quản lý CNTT được hỏi tin rằng, sự bất cẩn của nhân viên khi sử dụng thiết bị di động chính là mối đe dọa lớn nhất đối với các công ty. Năm 2020, có tới 96% các cuộc tấn công nhằm vào thiết bị di động được thực hiện thông qua ứng dụng. Nguyên nhân là do phần lớn các ứng dụng, chiếm tỷ lệ gần 80%, nhúng thư viện của bên thứ ba có nguy cơ chứa lỗ hổng bảo mật.

Đâu là những ứng dụng phù hợp dành cho các công ty áp dụng chính sách BYOD nghiêm ngặt? Theo một nghiên cứu, trung bình mỗi ngày, các nhân viên thường sử dụng từ năm ứng dụng trở lên. Các công ty nên lựa chọn một nền tảng nhắn tin an toàn chuyên dụng, email, CRM và bất kỳ ứng dụng nào khác mà họ cảm thấy nhân viên của mình sẽ cần. Hãy đảm bảo tránh xa các ứng dụng có nguy cơ cao.

Công ty cũng cần xây dựng quy trình cụ thể dành cho các nhân viên rời khỏi công ty, dù vì bất kỳ lý do gì. Khi một nhân viên rời đi, công ty phải đảm bảo rằng tất cả dữ liệu đã bị xóa khỏi thiết bị của nhân viên và mọi quyền truy cập vào các ứng dụng của công ty cũng đều bị thu hồi. Tuy nhiên, đây không phải là điều dễ dàng và nhiều công ty đã lựa chọn từ bỏ chính sách BYOD và cung cấp thiết bị của riêng mình.

Một chính sách chỉ đạt hiệu quả khi có sự quyết đoán trong thực thi của công ty. Điều này cũng đồng nghĩa với việc những người không tuân thủ chính sách sẽ phải chịu hệ quả. Mọi chính sách đều phải có thông tin cụ thể liên quan đến quá trình theo dõi, đánh giá và trách nhiệm thực thi của từng phòng ban để tất cả các mọi người đều nắm được. Một vấn đề nổi trội trong quá trình áp dụng BYOD là sự lơ là trong khâu quản lý giám sát. Các công ty cần có đủ nhân viên CNTT để hỗ trợ và giám sát liên tục thiết lập của nhân viên.

Sau khi hoàn tất quá trình bảo mật hệ thống và giao thức, công ty nên chú trọng đến việc phổ biến kiến thức cho nhân viên. Để áp dụng chính sách BYOD thành công, nhân viên cần phải có ý thức về tầm quan trọng của việc sử dụng được chấp nhận và tối ưu bảo mật dữ liệu cơ bản.

Góc nhìn từ trên cao cho thấy ba người làm việc tại bàn, trên bàn có laptop, máy tính bảng và giấy tờ.

Các giải pháp bảo mật BYOD

Các giải pháp bảo mật cần được xem xét để đưa vào chính sách BYOD bao gồm:

  • Mã hóa dữ liệu khi đang lưu trữ và khi đang truyền
  • Phần mềm chống virus: do công ty cung cấp hoặc yêu cầu nhân viên phải cài đặt
  • Giám sát: theo dõi vị trí GPS thiết bị của nhân viên hoặc lưu lượng truy cập internet, v.v.
  • Container hóa: thiết bị được phân tách thành các vùng chứa dữ liệu cá nhân hoặc tài chính với mật khẩu bảo vệ
  • Đào tạo tối ưu mật khẩu, bao gồm việc yêu cầu thay đổi thường xuyên
  • Danh sách đen: chặn hoặc hạn chế các ứng dụng cụ thể tiềm ẩn nguy cơ rủi ro bảo mật hoặc ảnh hưởng đến hiệu suất – giải pháp này thường không áp dụng đối với các thiết bị cá nhân của nhân viên, trừ khi kết hợp với container hóa
  • Danh sách trắng: chỉ cho phép truy cập vào một số ứng dụng đã được phê duyệt, thường được áp dụng với phần cứng do công ty cung cấp
  • Yêu cầu thường xuyên sao lưu, cũng như cập nhật ứng dụng và hệ điều hành
  • Đào tạo và tái đào tạo định kỳ về các biện pháp giúp bảo vệ dữ liệu của công ty khi truy cập mạng WiFi từ phần cứng BYOD
  • Hạn chế truy cập dữ liệu: để ngăn ngừa nguy cơ rò rỉ dữ liệu, quyền truy cập dữ liệu phải được kiểm soát chặt chẽ để chỉ những người cần truy cập vào các tập dữ liệu cụ thể dành cho công việc của họ mới có quyền truy cập từ thiết bị cá nhân

Các công cụ giám sát vị trí dữ liệu và dạng thức truy cập dữ liệu giúp phát hiện những hành vi đáng ngờ, chẳng hạn như truy cập từ các địa điểm không an toàn hoặc đáng ngờ (ví dụ: Bắc Triều Tiên).

Một phương pháp bảo mật hữu ích khác dành cho các hệ thống BYOD là cung cấp ổ USB Flash mã hóa và ổ SSD mã hóa cho nhân viên. Giải pháp này sẽ tiết kiệm chi phí hơn so với việc cung cấp điện thoại hoặc máy tính bảng cho toàn bộ lực lượng lao động và đơn giản hơn rất nhiều so với việc container hóa mọi thiết bị nhân viên mang đến công ty, dữ liệu được lưu trữ trên các thiết bị này cũng sẽ được bảo vệ tốt hơn so với những thiết bị thông thường. Nếu được bảo vệ tốt bằng mã hóa, kẻ trộm dù lấy được ổ đĩa mã hóa sẽ không thể làm gì để truy cập dữ liệu đặc quyền.

#KingstonIsWithYou #KingstonIronKey

Biểu tượng Hỏi chuyên gia của Kingston trên chipset bo mạch

Hỏi Chuyên gia

Lên kế hoạch cho giải pháp phù hợp yêu cầu phải có sự hiểu biết về các mục tiêu bảo mật của dự án. Hãy để các chuyên gia của Kingston hướng dẫn cho bạn.

Hỏi Chuyên gia

Video liên quan

Bài viết liên quan