พนักงานกำลังใช้อุปกรณ์ส่วนบุคคลบนโต๊ะทำงาน

Bring Your Own Device: มาตรการรักษาความปลอดภัยสำหรับอุปกรณ์ส่วนบุคคลในที่ทำงาน

ส.ค. 2023
หน้าแรกของบล็อก

บริษัทที่พนักงานสามารถนำสมาร์ทโฟน แท็บเล็ต หรือโน้ตบุ๊กส่วนบุคคลมาทำงานได้จะต้องมีนโยบายการรักษาความปลอดภัยเกี่ยวกับ Bring Your Own Device (หรือนโยบาย BYOD) พนักงานเกือบทุกคนนำอุปกรณ์ที่สามารถเชื่อมต่ออินเทอร์เน็ตไปทำงานด้วย แม้ว่าอุปกรณ์จะไม่ได้เชื่อมต่อกับเครือข่ายของบริษัท แต่ก็ยังอาจทำให้เกิดความเสี่ยงด้านการรักษาความปลอดภัยได้

การใช้อุปกรณ์ส่วนบุคคลเพื่อทำกิจกรรมทั่ว ๆ ไป เช่น การส่งอีเมลงาน อาจทำให้เกิดความเสี่ยงต่อเครือข่ายของหน่วยงาน หน่วยงานทั้งเล็กและใหญ่มองว่าการรักษาความปลอดภัยเกี่ยวกับ BYOD เป็นเรื่องท้าทายเนื่องจากบริษัทต่าง ๆ จะต้องมีมาตรการควบคุมบางประการสำหรับสมาร์ทโฟนและแท็บเล็ตที่พนักงานครอบครอง 40% ของกรณีข้อมูลรั่วไหลเกิดขึ้นมาจากอุปกรณ์ถูกขโมยหรือสูญหาย อย่างไรก็ตาม ในสังคมที่ให้ความสำคัญด้านเสรีภาพส่วนบุคคล นโยบายเช่นนี้อาจถูกต่อต้านและก่อให้เกิดความไม่พอใจในหมู่พนักงาน แนวทางที่รัดกุมและรอมชอมดูจะเป็นทางเลือกที่ดีที่สุดของปัญหานี้

บริษัทต่าง ๆ สามารถดำเนินการได้บ้างเพื่อปรับปรุงมาตรการรักษาความปลอดภัยทางไซเบอร์ในสถานการณ์เหล่านี้ โดยตัวเลือกหนึ่งอาจเป็นการยกเลิกนโนบาย BYOD ไปเลยและบังคับใช้นโยบายของบริษัทอย่างเคร่งครัด แต่ตลาด BYOD ทั่วโลกมีขนาดใหญ่มากและเติบโตอย่างต่อเนื่อง ตลาดในปี 2022 คาดว่ามีมูลค่าสูงถึง 350,000 ล้านเหรียญ เทรนด์การทำงานที่บ้านถูกขับเคลื่อนโดยสถานการณ์แพร่ระบาดและคาดว่าจะยังคงเติบโตต่อไป อีกทางเลือกคือการหันมาใช้หลักปฏิบัตินี้ไปพร้อมกับการกำหนดนโยบายและการรักษาความปลอดภัยที่สมเหตุสมผลเกี่ยวกับ BYOD เพื่อให้ปลอดภัยมากยิ่งขึ้นสำหรับทั้งบริษัทและพนักงานเอง เมื่อพิจารณาทั้งสองตัวเลือกแล้ว บริษัทส่วนใหญ่พบว่าการหันมาใช้หลักปฏิบัตินี้ดำเนินการง่ายกว่า เป็นแนวทางที่ง่ายกว่าเมื่อพิจารณาจากทั้งสองตัวเลือก ทั้งนี้ไม่ได้หมายความว่านโยบาย BYOD ที่เหมาะสมนั้นไม่จำเป็นต้องลงมือลงแรงและข้อพิจารณาต่าง ๆ

ปัจจัยเสี่ยงด้านการรักษาความปลอดภัยสำหรับ BYOD

โดยทั่วไปแล้ว BYOD จะหมายความว่าบริษัทต่าง ๆ นั้นจะมีค่าใช้จ่ายเกี่ยวกับฮาร์ดแวร์และซอฟต์แวร์สำหรับพนักงานลดลง บริษัท 82% ยินยอมให้พนักงานใช้อุปกรณ์ส่วนบุคคลในการทำงานได้ และนายจ้างเหล่านี้ 71% มองว่าแนวทางนี้ทำให้พนักงานสะดวกใจในการใช้อุปกรณ์ต่าง ๆ มากกว่าเนื่องจากความคุ้นเคยกับโทรศัพท์ส่วนบุคคลที่ตนใช้เป็นประจำมากกว่า 58% พบว่าประสิทธิภาพการทำงานเพิ่มสูงขึ้น อย่างไรก็ตาม เพียง 55% เท่านั้นที่เห็นว่าวิธีการนี้สามารถช่วยลดค่าใช้จ่ายได้ เพราะเหตุใดผลลัพธ์จึงแตกต่างกันเช่นนี้ มีแนวโน้มว่าเป็นเช่นนี้เพราะบริษัทต่าง ๆ ที่นโนบายการรักษาความปลอดภัยอนุญาตให้มีการใช้ BYOD พบว่ามีข้อมูลรั่วไหลจากอุปกรณ์ของพนักงานในตัวเลขที่น่าตกใจถึง 50% จึงไม่แปลกใจว่าทำไมบริษัทหลาย ๆ แห่งจึงปฏิเสธที่จะใช้นโยบาย BYOD โดย 26% ระบุว่าข้อกังวลนี้เป็นสาเหตุหลัก

หลักปฏิบัติที่ดีที่สุดเพื่อรักษาความปลอดภัยของ BYOD

เพื่อนร่วมงานกำลังใช้โน้ตบุ๊ก แท็บเล็ตและโทรศัพท์มือถือพร้อม ๆ กัน

นโยบาย BYOD ที่มีประสิทธิภาพจะต้องมีองค์ประกอบดังต่อไปนี้

  • ประเภทอุปกรณ์ที่อนุญาตให้ใช้ได้
  • การใช้งานที่ยอมรับได้: แอพและทรัพยากรต่าง ๆ ที่พนักงานสามารถใช้งานผ่านอุปกรณ์ของตน
  • เงื่อนไขขั้นต่ำสำหรับการควบคุมด้านการรักษาความปลอดภัยของอุปกรณ์: มาตรการด้านความปลอดภัยที่บริษัทกำหนดสำหรับอุปกรณ์ BYOD
  • อุปกรณ์ที่บริษัทจัดหาให้: เช่น เอกสารรับรอง SSL สำหรับการตรวจสอบสิทธิ์อุปกรณ์
  • สิทธิ์ของบริษัทในการดัดแปลงอุปกรณ์: เช่น การล้างข้อมูลทางไกลในกรณีที่มีการขโมยอุปกรณ์หรืออุปกรณ์สูญหาย
  • จะเกิดอะไรขึ้นกับข้อมูลของบริษัทในอุปกรณ์ของพนักงานที่ออกจากบริษัท
  • ใครเป็นเจ้าของแอพและข้อมูลในอุปกรณ์ พนักงานจะได้รับค่าตอบแทนจากบริษัทหรือไม่สำหรับค่าใช้จ่ายที่เกี่ยวกับแอพหรือค่าใช้จ่ายรายเดือนใด ๆ
  • ฝ่าย IT มีบริการรองรับใดบ้างสำหรับเจ้าของอุปกรณ์

ผู้กำหนดนโยบายจะต้องพิจารณาถึงข้อบังคับต่อไปนี้เพื่อให้สามารถนำเสนอตัวเลือกที่ดีที่สุด:

  • หลักเกณฑ์พื้นฐาน: จำกัดการโทรหรือการโทรสายวิดีโอส่วนบุคคลระหว่างทำงาน และห้ามใช้ขณะขับขี่
  • ข้อบังคับว่าด้วยการถ่ายโอนข้อมูล: ข้อมูลของบริษัทควรได้รับการเข้ารหัสและได้รับป้องกันด้วยรหัสผ่าน และถ่ายโอนข้อมูลผ่านแอพพลิเคชั่นที่บริษัทกำหนดเท่านั้น
  • เงื่อนไขในการโอนข้อมูล: ข้อมูลของบริษัทควรมีการเข้ารหัส และมีการป้องกันด้วยรหัสผ่าน และโอนข้อมูลผ่านแอพพลิเคชั่นที่บริษัทกำหนดเท่านั้น
  • ข้อบังคับว่าด้วยรหัสผ่าน: การใช้รหัสผ่านถือเป็นเงื่อนไขภาคบังคับเพื่อป้องกันข้อมูลที่ละเอียดอ่อน โดยอาจกำหนดให้ใช้การยืนยันตัวตนแบบสองชั้น

ข้อบังคับว่าด้วยความเป็นส่วนตัว: บริษัทจะปรับสมดุลระหว่างการปกป้องข้อมูลกับความเป็นส่วนตัวของพนักงานสำหรับ BYOD ได้อย่างไร

นโยบายการรักษาความปลอดภัยสำหรับ BYOD

จะกำหนดหลักปฏิบัติสำหรับ BYOD ให้สอดคล้องและปลอดภัยได้อย่างไร การกำหนดนโยบายในระดับนี้ควรให้ทั้งพนักงานและผู้มีส่วนได้ส่วนเสียเข้ามามีส่วนเกี่ยวข้อง สามารถขอความคิดเห็นจากพนักงานผ่านการทำแบบสำรวจซึ่งเป็นจุดตั้งต้นที่ดีสำหรับการวางแผนกำหนดนโยยาย ผู้บริหาร ฝ่ายบุคคล ฝ่าย IT, ฝ่ายการเงิน และฝ่ายรักษาความปลอดภัยควรได้รับการประสานและมีส่วนร่วมกับทีมงานบริหารจัดการโครงการ BYOD ส่วนงานเหล่านี้ล้วนมีบทบาทที่สำคัญ:

หลังจากที่ส่งแบบสำรวจออกไปและได้รับความคิดเห็นแล้ว จะมีการวิเคราะห์ข้อมูลพิจารณาว่าข้อมูลและแอพใดบ้างที่มีความจำเป็นสำหรับอุปกรณ์ของพนักงาน หลังจากที่นำเสนอนโยบายทั้งหมดแล้ว การฝึกอบรมจะถือเป็นขั้นตอนสำคัญของกระบวนการนี้ พนักงานในทุกระดับจะต้องได้รับคำแนะนำเกี่ยวกับมาตรการสำหรับการจัดการข้อมูล การแก้ไขปัญหาอุปกรณ์ ขั้นตอนเมื่ออุปกรณ์สูญหายหรือถูกขโมย แอพพลิเคชั่นใดที่ควรใช้ มาตรการป้องกันการหลอกลวง รวมถึงคำแนะนำกว้าง ๆ ในการระวังภัยคุกคามทางไซเบอร์ต่าง ๆ

เชื่อกันว่าพนักงานที่ไม่ได้รับการฝึกอบรมด้านการรักษาความปลอดภัยทางไซเบอร์มักมีความเสี่ยงมากที่สุดต่อความครบถ้วนสมบูรณ์ของข้อมูลในของหน่วยงาน ในปี 2014 ผู้จัดการฝ่าย IT ถึง 87% เชื่อว่าภัยคุกคามที่ใหญ่ที่สุดในหน่วยงานคืออุปกรณ์พกพาที่พนักงานใช้โดยไม่ระมัดระวัง ในปี 2020 การโจมตีอุปกรณ์พกพาจำนวนมากถึง 96% เกิดขึ้นโดยใช้แอพเป็นเวกเตอร์ ทั้งนี้เนื่องจากแอพเกือบ 4 ใน 5 ใช้ไลบรารี่จากภายนอกที่อาจทำให้เกิดช่องโหว่ได้

แอพใดที่บริษัทควรใช้นโยบาย BYOD อย่างเคร่งคัด การศึกษาพบว่าในทุก ๆ วันพนักงานใช้งานแอพอย่างน้อยห้าแอพ หน่วยงานต่าง ๆ จึงควรมีแพลตฟอร์มส่งข้อความแบบปลอดภัย, อีเมล, CRM และแอพอื่นใดที่หน่วยงานคิดว่าพนักงานอาจต้องการใช้งานจัดไว้เป็นการเฉพาะ ตรวจสอบให้แน่ใจว่าได้ห้ามไม่ให้ใช้แอพที่สุ่มเสี่ยงไว้อย่างชัดแจ้งแล้ว

นอกจากนี้ หน่วยงานต่าง ๆ ยังควรต้องมีกระบวนการที่เฉพาะเจาะจงสำหรับพนักงานที่ออกจากบริษัทแล้วไม่ว่าด้วยสาเหตุใดก็ตาม เมื่อพนักงานออกจากบริษัทแล้ว หน่วยงานจะต้องตรวจสอบให้แน่ใจได้นำข้อมูลทั้งหมดออกจากอุปกรณ์ของพนักงานแล้ว รวมถึงถอนสิทธิ์การเข้าถึงทั้งหมดที่มีในแอพของบริษัทด้วย อย่างไรก็ตาม หน้าที่นี้มาพร้อมกับความยุ่งยากมากมายและหลายต่อหลายครั้งก็ถือเป็นสาเหตุที่ทำให้ต้องล้มเลิกนโยบาย BYOD และจัดหาอุปกรณ์ให้แทน

นโยบายจะมีประสิทธิภาพได้ก็ต้องอาศัยความสามารถในการบังคับใช้ของบริษัท ซึ่งหมายความว่าจำเป็นต้องมีบทลงโทษสำหรับผู้ที่ไม่ปฏิบัติตาม นโบบายทุกนโยบายควรระบุรายละเอียดแบบเฉพาะเจาะจงในด้านการตรวจตาม การวัดผล ตลอดจนการบังคับใช้หลักความรับผิดชอบเพื่อให้ทีมงานทั้งหมดทราบ การขาดการกำกับดูแลเป็นอีกหนึ่งปัญหาสำคัญของการนำนโยบาย BYOD มาใช้ บริษัทต่าง ๆ จะต้องมีบุคลากรด้าน IT อย่างเพียงพอเพื่อช่วยเตรียมความพร้อมพนักงาน ตลอดจนให้ความสนับสนุนและการเฝ้าติดตามอย่างต่อเนื่อง

หลังจากที่กำหนดมาตรการรักษาความปลอดภัยสำหรับระบบและกระบวนการทางต่าง ๆ แล้ว หน่วยงานควรให้ความสำคัญกับการให้ความรู้แก่พนักงานด้วยเช่นกัน เพื่อให้นโยบาย BYOD ประสบความสำเร็จ การเน้นย้ำเกี่ยวกับการใช้งานที่ยอมรับได้และการจัดการเพื่อรักษาความปลอดภัยของข้อมูลขั้นพื้นฐานกับพนักงานถือเป็นสิ่งสำคัญ

ภาพด้านบนคนสามคนกำลังทำงานที่โต๊ะพร้อมโน้ตบุ๊ก แท็บเล็ตและเอกสารต่าง ๆ

โซลูชันการรักษาความปลอดภัยสำหรับ BYOD

โซลูชันการรักษาความปลอดภัยที่ควรพิจารณาใช้กับนโยบาย BYOD ได้แก่

  • การเข้ารหัสข้อมูลที่พักเก็บไว้หรือที่มีการนำส่ง
  • ระบบป้องกันไวรัส: อาจเป็นที่บริษัทจัดหาหรือที่กำหนดให้พนักงานเลือกติดตั้ง
  • การเฝ้าติดตาม: การติดตามตำแหน่ง GPS อุปกรณ์ของพนักงานหรือการใช้งานอินเทอร์เน็ต เป็นต้น
  • การกำหนดพื้นที่จัดเก็บ: อุปกรณ์ที่แยกระหว่างพื้นที่ส่วนตัวและข้อมูลด้านการเงินโดยใช้รหัสผ่านป้องกัน
  • การฝึกอบรมด้านการจัดการรหัสผ่าน รวมทั้งข้อกำหนดในการเปลี่ยนรหัสผ่านเป็นประจำ
  • การจัดทำบัญชีดำ: การบล็อคหรือจำกัดการใช้งานแอพเนื่องจากมีความเสี่ยงด้านความปลอดภัยในการปฏิบัติงานหรือกระทบต่อประสิทธิภาพการทำงานโดยเฉพาะ โดยปกติจะไม่สามารถทำได้กับอุปกรณ์ของพนักงาน ยกเว้นกรณีที่มีการกำหนดพื้นที่จัดเก็บไว้
  • การจัดทำบัญชีรายการที่เชื่อถือได้: อนุญาตให้ใช้เฉพาะแอพพลิเคชั่นที่ผ่านการรับรอง และเหมาะสำหรับฮาร์ดแวร์ที่หน่วยงานจัดหา
  • ข้อกำหนดในการสำรองข้อมูลเป็นประจำ รวมถึงการอัพเดตแอพและระบบปฏิบัติการ
  • การฝึกอบรมเป็นระยะและการทบทวนเนื้อหาเกี่ยวกับวิธีรักษาข้อมูลของบริษัทให้ปลอดภัยสำหรับการเชื่อมต่อผ่านเครือข่าย Wi-Fi เมื่อใช้อุปกรณ์ตามนโยบาย BYOD
  • การจำกัดการเข้าถึงข้อมูล: เพื่อป้องกันการรั่วไหลของข้อมูล การให้สิทธิ์อนุญาตเข้าถึงข้อมูลควรเป็นไปอย่างเข้มงวด ทั้งนี้ก็เพื่อให้เฉพาะผู้ที่จำเป็นต้องเข้าถึงชุดข้อมูลดังกล่าวเพื่อทำงานของตนสามารถเข้าถึงชุดที่จะเข้าถึงชุดข้อมูลนั้นจากอุปกรณ์ของตนได้

เครื่องมือการติดตามเพื่อระบุตำแหน่งของข้อมูลและรูปแบบการเข้าถึงข้อมูล เพื่อตรวจจับพฤติกรรมที่น่าสงสัย เช่น การเข้าถึงข้อมูลจากตำแหน่งที่ไม่ปลอดภัยหรือน่าสงสัย (เช่น เกาหลีเหนือ)

วิธีหนึ่งในการยกระดับการรักษาความปลอดภัยสำหรับระบบ BYOD คือการแจกจ่ายแฟลชไดรฟ์ USB และ SSD ที่ได้รับการเข้ารหัสแก่พนักงาน วิธีนี้มีค่าใช้จ่ายน้อยกว่าการจัดหาโทรศัพท์หรือแท็บเล็ตให้กับบุคลากรทั้งหมด และซับซ้อนน้อยกว่าการกำหนดพื้นที่จัดเก็บแยกสำหรับอุปกรณ์ทุก ๆ เครื่องที่พนักงานนำมาในพื้นที่ รวมถึงข้อมูลที่จัดเก็บในอุปกรณ์เหล่านี้จะได้รับการป้องกันดีกว่าอุปกรณ์ทั่ว ๆ ไป เมื่อการเข้ารหัสมีคุณภาพเพียงพอ ผู้ไม่หวังดีซึ่งเข้าถึงไดรฟ์ที่ได้รับการรหัสก็จะไม่สามารถดำเนินการเพื่อเข้าถึงข้อมูลลับที่จัดเก็บไว้ได้

#KingstonIsWithYou #KingstonIronKey

ไอคอน Ask an Expert ของ Kingston บนชิปเซ็ตของแผงวงจร

ถามผู้เชี่ยวชาญ

การวางแผนระบบการทำงานที่เหมาะสมต้องอาศัยความเข้าใจเกี่ยวกับวัตถุประสงค์ด้าน IT ของคุณ ให้ผู้เชี่ยวชาญจาก Kingston เสนอคำแนะนำที่เป็นประโยชน์แก่คุณ

ถามผู้เชี่ยวชาญ

วิดีโอที่เกี่ยวข้อง

Trisha กำลังมองไปที่หน้าจอด้วยความตกใจและวิตกกังวล โดยมีรูปกะโหลกและกระดูกไขว้พร้อมสามเหลี่ยมแจ้งเตือนปรากฏอยู่บนหน้าจอ 3:59

วิธีรักษาบัญชีผู้ใช้ออนไลน์ของคุณให้ปลอดภัย

วิธียกระดับการรักษาความปลอดภัยให้สูงที่สุดโดยใช้ขั้นตอนต่าง ๆ เพื่อปกป้องตัวตนของคุณ

บทความที่เกี่ยวข้อง

หน้าแรกของบล็อก