自帶裝置在工作場所中保障個人裝置安全的防護措施

BYOD 安全最佳實務做法

凡合情合理的 BYOD 政策，都會包含以下要素：

• 容許的裝置類型
• 容許的用途：員工可以在自己的裝置上使用哪些應用程式和資產？
• 裝置安全控管措施的最低下限要求：公司規定 BYOD 裝置需採取哪些安全措施？
• 公司配發的元件：例如供裝置身份驗證使用的 SSL 憑證
• 公司對裝置進行修改的權利：例如當裝置遭竊或遺失時，從遠端刪除裝置的資料。
• 如果員工將存有公司資料的裝置留置在公司內，會有什麼後果？
• 留存在裝置上的應用程式和資料，屬於誰所有？公司會不會補助員工應用程式的費用或月費？
• IT 部門會為裝置擁有者提供什麼支援？

政策制定者需斟酌以下條款，以便提供最佳選項：

• 合理規定：限制上班時間的私人通話及視訊，不得在駕駛車輛時使用
• 維護與升級：任何最終定案的政策都應確保員工能確實讓裝置與應用程式保持最新狀態
• 資料傳送條款：公司資料需加密並設有密碼保護，而且僅透過公司指定的應用程式傳送
• 密碼條款：使用密碼來防護機密資訊顯然勢在必行；同時也必須使用雙因素驗證

隱私權條款：公司實施的 BYOD 政策如何在防護資料的同時，兼顧員工隱私？

BYOD 安全政策

如何以最佳方式制定連貫且安全的 BYOD 實務規範？這個規模的所有政策草案會同時影響員工和利害關係人。可以通過調查獲得員工的意見，這是制定政策的良好基礎。高階主管、人力資源部門 (HR)、IT 部門、財務部門和資安部門等均應共同參與，派出代表加入 BYOD 專案管理團隊。這些部門都可貢獻一己之力。

一旦發送意見調查並收到回覆後，最好對回覆進行分析，確定員工裝置上需要有哪些資料和應用程式。在引入完善的政策後，培訓是過程中至關重要的一個階段。所有職級的員工都必須按照指示的規則來處理資料、進行裝置疑難排解、處理遺失或遭竊的裝置，瞭解要使用哪些應用程式以及防網路釣魚措施，並且瞭解如何對更廣泛的網路威脅提高警覺。

普遍來說，沒有受過網路安全訓練的員工對企業資料完整性所造成的危害最大。2014 年有 87% 的 IT 管理員認為，企業最大的威脅就是員工使用行動裝置時粗心大意。2020 年，行動裝置上高達 96% 的攻擊都是透過應用程式作為媒介。這是因為絕大多數、近八成的應用程式被嵌入了可能造成漏洞的第三方庫。

實施強大 BYOD 政策的公司應該使用哪些應用程式？研究發現，員工每天都會使用五款以上的應用程式。公司應規定員工安裝專門的安全傳訊平台、電子郵件、CRM 以及他們認為員工必須使用的其他應用程式。務必明文規定嚴禁安裝可能會導致法律責任的應用程式。

企業亦應針對因故離職的員工制定具體明確的程序。員工離職時，企業必須將他們裝置上的所有資料移走，同樣也必須撤銷他們對公司應用程式的存取權。然而，這個責任有許多難以落實之處，而且往往成為公司最後放棄 BYOD 政策，改而配發裝置給員工使用的理由。

政策的效果取決於公司貫徹執行的程度，想要有效貫徹政策，對無法遵守政策的人祭出懲處是不可避免的。任何政策都應具有關於追蹤、衡量和執行問責的具體細節，以便所有團隊成員知悉。缺乏監督是實施 BYOD 政策的主要問題之一。公司的 IT 部門需要配置足夠的支援人力，同時支援和監控都必須持續不中斷。

制度和規則底定之後，企業需排定員工教育訓練課程的優先順序。為了發揮 BYOD 的成效，一定要強調員工使用自帶裝置的容許用途和基本資料安全機制的重要性。