請教專家
要規劃適當的解決方案需要對專案目標有通盤了解。讓 Kingston 專家引導您完成作業。
請教專家凡允許員工自行攜帶智慧型手機、平板電腦或個人筆記型電腦等裝置到工作場所的公司,都必須制定自帶裝置(簡稱 BYOD 政策)安全政策。幾乎每一位員工都會攜帶可連線上網的裝置到公司,即使這些裝置不會自動與公司網路連線,也仍舊存在一些安全風險。
使用個人裝置時,即使是像寄送公司電子郵件這樣看似無害的小動作,都可能使公司網路出現安全弱點。無論組織的規模大小,公司會發現 BYOD(自帶設備)的安全政策對企業來說極具挑戰,因為公司必須對員工的智慧手機和平板電腦施加一定的控制。畢竟,有 40% 的資料外洩都是因為裝置遺失或遭竊所致。然而,在強調個人自由的文化中,此類政策可能會遭受員工的反對或不滿。最好採取溫和但堅定的方式來解決這個問題。
在這些情況下,公司該怎麼做才能加強網路安全?其中一種方式是完全禁止 BYOD 並嚴格執行。然而,全球的 BYOD 市場一直在持續擴大。2022 年的市值估計高達 3,500 億美元。疫情推升了居家辦公的趨勢,也加速了 BYOD 市場的成長。另一種較為務實的方式是制定合理的 BYOD 政策和安全措施,使公司和員工雙方都更加安全。大多數的公司普遍都認為這種方式比第一種容易實行,但並不表示制定合理的 BYOD 政策不需要下功夫、花心思。
BYOD 意味著公司可以在員工使用的硬體和軟體上節省開支。82% 的公司允許員工使用自己的個人裝置來處理公事。71% 的雇主認為這樣可以讓員工在使用裝置時更自在,畢竟員工對自己的手機最熟悉。58% 的雇主則認為這種方式比較有效率。可是,只有 55% 的雇主認為這樣能降低成本。為什麼會有這種落差?可能是因為允許 BYOD 安全政策的公司因員工使用自帶裝置而造成資料外洩的比例高達 50%,十分駭人。難怪在反對實施 BYOD 政策的公司中,有 26% 都表示安全問題是他們的首要顧慮。
凡合情合理的 BYOD 政策,都會包含以下要素:
政策制定者需斟酌以下條款,以便提供最佳選項:
隱私權條款:公司實施的 BYOD 政策如何在防護資料的同時,兼顧員工隱私?
如何以最佳方式制定連貫且安全的 BYOD 實務規範?這個規模的所有政策草案會同時影響員工和利害關係人。可以通過調查獲得員工的意見,這是制定政策的良好基礎。高階主管、人力資源部門 (HR)、IT 部門、財務部門和資安部門等均應共同參與,派出代表加入 BYOD 專案管理團隊。這些部門都可貢獻一己之力。
一旦發送意見調查並收到回覆後,最好對回覆進行分析,確定員工裝置上需要有哪些資料和應用程式。在引入完善的政策後,培訓是過程中至關重要的一個階段。所有職級的員工都必須按照指示的規則來處理資料、進行裝置疑難排解、處理遺失或遭竊的裝置,瞭解要使用哪些應用程式以及防網路釣魚措施,並且瞭解如何對更廣泛的網路威脅提高警覺。
普遍來說,沒有受過網路安全訓練的員工對企業資料完整性所造成的危害最大。2014 年有 87% 的 IT 管理員認為,企業最大的威脅就是員工使用行動裝置時粗心大意。2020 年,行動裝置上高達 96% 的攻擊都是透過應用程式作為媒介。這是因為絕大多數、近八成的應用程式被嵌入了可能造成漏洞的第三方庫。
實施強大 BYOD 政策的公司應該使用哪些應用程式?研究發現,員工每天都會使用五款以上的應用程式。公司應規定員工安裝專門的安全傳訊平台、電子郵件、CRM 以及他們認為員工必須使用的其他應用程式。務必明文規定嚴禁安裝可能會導致法律責任的應用程式。
企業亦應針對因故離職的員工制定具體明確的程序。員工離職時,企業必須將他們裝置上的所有資料移走,同樣也必須撤銷他們對公司應用程式的存取權。然而,這個責任有許多難以落實之處,而且往往成為公司最後放棄 BYOD 政策,改而配發裝置給員工使用的理由。
政策的效果取決於公司貫徹執行的程度,想要有效貫徹政策,對無法遵守政策的人祭出懲處是不可避免的。任何政策都應具有關於追蹤、衡量和執行問責的具體細節,以便所有團隊成員知悉。缺乏監督是實施 BYOD 政策的主要問題之一。公司的 IT 部門需要配置足夠的支援人力,同時支援和監控都必須持續不中斷。
制度和規則底定之後,企業需排定員工教育訓練課程的優先順序。為了發揮 BYOD 的成效,一定要強調員工使用自帶裝置的容許用途和基本資料安全機制的重要性。
應斟酌納入 BYOD 政策的安全解決方案包括下列內容:
監控資料位置和資料存取模式的工具,這類工具可以偵測可疑行為,例如從不安全或可疑地點(例如北韓)進行存取的行為。
提供 BYOD 系統更好安全性的另一種方法是,向員工發放加密的 USB 隨身碟和加密的固態硬碟。這種方式比配發手機或平板電腦給整個工作團隊使用更加經濟實惠,也比將工作團隊帶來公司的每一台裝置容器化還要直接得多,因為儲存在這些加密裝置上的資料可以獲得比一般裝置更高的保護力。只要具備足夠縝密的加密技術,盜賊即使取得加密隨身碟,也無法破解它或存取其中資料。
#KingstonIsWithYou #KingstonIronKey
要規劃適當的解決方案需要對專案目標有通盤了解。讓 Kingston 專家引導您完成作業。
請教專家