自带设备：工作场所个人设备的安全措施

BYOD 安全最佳实践

任何值得一试的 BYOD 政策都要涵盖以下要素：

• 允许的设备类型
• 可接受的用途：员工可以从他们的设备访问哪些应用程序和资源？
• 设备安全控制的最低要求：公司对 BYOD 设备要求采取哪些安全措施？
• 公司提供的组件：例如，用于设备身份验证的 SSL 证书
• 公司关于设备修改的权利：例如，在设备被盗或丢失的情况下进行远程擦除
• 离职员工设备上的公司数据会怎样？
• 谁拥有设备上的应用程序和数据？公司是否会为员工报销应用程序费用或月费？
• IT 将为设备所有者提供哪些支持？

政策制定者需要考虑以下规定，以便提供最佳选择：

• 常识规则：工作时限制私人电话和视频，开车时禁止使用设备
• 维护和升级：任何最终确定的政策都应确保员工可靠地保持设备和应用程序的最新状态
• 数据传输规定：公司数据应加密并使用密码保护，且仅在公司授权的应用程序上传输
• 密码规定：使用密码保护敏感信息显然没有商量余地；还可能需要双重身份验证

隐私规定：公司如何在数据保护和员工隐私与 BYOD 之间取得平衡？

BYOD 安全政策

如何最好地设计一致且安全的 BYOD？任何这种规模的政策起草都应该让员工和利益相关者共同参与。员工意见可以通过调查获得，这是制定政策的重要依据。行政人员、人力资源、IT 运营、财务和安全人员都应该有代表参与 BYOD 项目管理团队。这些部门都可以为之做出贡献。

调查在发出并收到回复后，需要对员工设备上需要哪些数据和应用程序进行分析。在推出完成的政策之后，培训是该过程的一个重要阶段。必须指导各级员工了解数据处理协议、设备故障排除、丢失或被盗设备的程序、使用哪些应用程序、反网络钓鱼措施，以及更广泛的网络威胁防范指导。

人们普遍认为，未经网络安全培训的员工是对组织数据完整性的最大威胁。2014 年，87% 的 IT 经理认为，对组织的最大威胁是粗心员工使用的移动设备。2020 年，96% 的移动设备攻击以应用程序为载体。这是因为绝大多数应用程序（近五分之四）嵌入了可能造成漏洞的第三方库。

实施严格 BYOD 政策的公司应该使用哪些应用程序？研究发现，员工每天会使用五个或五个以上的应用程序。组织应包括专用的安全消息平台、电子邮件、CRM 以及他们认为员工需要的任何应用程序。确保明确禁止使用可能碍事的应用程序。

组织还应为因任何原因离开公司的员工制定具体程序。当员工离开时，组织必须确保从他们的设备上删除所有数据，并且相应撤回他们对公司应用程序的全部访问权限。但这项职责会带来许多困难，通常被认为是放弃 BYOD 政策并提供自己设备的充分理由。

尽管政策的强大程度取决于公司执行政策的能力，还是需要不能遵守政策的人承担后果。任何政策都应该有关于跟踪、测量和执行问责制的具体细节，以便所有团队成员都知道。缺乏监督是 BYOD 实施的主要问题之一。公司需要足够的 IT 支持人员来安排员工，并提供持续的支持和监控。

在系统和协议得到保障后，组织应优先考虑员工的教育。想要 BYOD 取得成功，让员工了解使用方式和基本数据安全卫生十分重要。