我們注意到您目前正在訪問英國網站。您想訪問我們的主網站嗎?

在辦公桌上使用個人裝置的員工。

自帶裝置在工作場所中保障個人裝置安全的防護措施

凡允許員工自行攜帶智慧型手機、平板電腦或個人筆記型電腦等裝置到工作場所的公司,都必須制定自帶裝置(簡稱 BYOD 政策)安全政策。幾乎每一位員工都會攜帶可連線上網的裝置到公司,即使這些裝置不會自動與公司網路連線,也仍舊存在一些安全風險。

使用個人裝置時,即使是像寄送公司電子郵件這樣看似無害的小動作,都可能使公司網路出現安全弱點。無論組織的規模大小,公司會發現 BYOD(自帶設備)的安全政策對企業來說極具挑戰,因為公司必須對員工的智慧手機和平板電腦施加一定的控制。畢竟,有 40% 的資料外洩都是因為裝置遺失或遭竊所致。然而,在強調個人自由的文化中,此類政策可能會遭受員工的反對或不滿。最好採取溫和但堅定的方式來解決這個問題。

在這些情況下,公司該怎麼做才能加強網路安全?其中一種方式是完全禁止 BYOD 並嚴格執行。然而,全球的 BYOD 市場一直在持續擴大。2022 年的市值估計高達 3,500 億美元。疫情推升了居家辦公的趨勢,也加速了 BYOD 市場的成長。另一種較為務實的方式是制定合理的 BYOD 政策和安全措施,使公司和員工雙方都更加安全。大多數的公司普遍都認為這種方式比第一種容易實行,但並不表示制定合理的 BYOD 政策不需要下功夫、花心思。

BYOD 安全風險

BYOD 意味著公司可以在員工使用的硬體和軟體上節省開支。82% 的公司允許員工使用自己的個人裝置來處理公事。71% 的雇主認為這樣可以讓員工在使用裝置時更自在,畢竟員工對自己的手機最熟悉。58% 的雇主則認為這種方式比較有效率。可是,只有 55% 的雇主認為這樣能降低成本。為什麼會有這種落差?可能是因為允許 BYOD 安全政策的公司因員工使用自帶裝置而造成資料外洩的比例高達 50%,十分駭人。難怪在反對實施 BYOD 政策的公司中,有 26% 都表示安全問題是他們的首要顧慮。

BYOD 安全最佳實務做法

正在一起使用筆記型電腦、平板電腦和手機的同仁們

凡合情合理的 BYOD 政策,都會包含以下要素:

  • 容許的裝置類型
  • 容許的用途:員工可以在自己的裝置上使用哪些應用程式和資產?
  • 裝置安全控管措施的最低下限要求:公司規定 BYOD 裝置需採取哪些安全措施?
  • 公司配發的元件:例如供裝置身份驗證使用的 SSL 憑證
  • 公司對裝置進行修改的權利:例如當裝置遭竊或遺失時,從遠端刪除裝置的資料。
  • 如果員工將存有公司資料的裝置留置在公司內,會有什麼後果?
  • 留存在裝置上的應用程式和資料,屬於誰所有?公司會不會補助員工應用程式的費用或月費?
  • IT 部門會為裝置擁有者提供什麼支援?

政策制定者需斟酌以下條款,以便提供最佳選項:

  • 合理規定:限制上班時間的私人通話及視訊,不得在駕駛車輛時使用
  • 維護與升級:任何最終定案的政策都應確保員工能確實讓裝置與應用程式保持最新狀態
  • 資料傳送條款:公司資料需加密並設有密碼保護,而且僅透過公司指定的應用程式傳送
  • 密碼條款:使用密碼來防護機密資訊顯然勢在必行;同時也必須使用雙因素驗證

隱私權條款:公司實施的 BYOD 政策如何在防護資料的同時,兼顧員工隱私?

BYOD 安全政策

如何以最佳方式制定連貫且安全的 BYOD 實務規範?這個規模的所有政策草案會同時影響員工和利害關係人。可以通過調查獲得員工的意見,這是制定政策的良好基礎。高階主管、人力資源部門 (HR)、IT 部門、財務部門和資安部門等均應共同參與,派出代表加入 BYOD 專案管理團隊。這些部門都可貢獻一己之力。

一旦發送意見調查並收到回覆後,最好對回覆進行分析,確定員工裝置上需要有哪些資料和應用程式。在引入完善的政策後,培訓是過程中至關重要的一個階段。所有職級的員工都必須按照指示的規則來處理資料、進行裝置疑難排解、處理遺失或遭竊的裝置,瞭解要使用哪些應用程式以及防網路釣魚措施,並且瞭解如何對更廣泛的網路威脅提高警覺。

普遍來說,沒有受過網路安全訓練的員工對企業資料完整性所造成的危害最大。2014 年有 87% 的 IT 管理員認為,企業最大的威脅就是員工使用行動裝置時粗心大意。2020 年,行動裝置上高達 96% 的攻擊都是透過應用程式作為媒介。這是因為絕大多數、近八成的應用程式被嵌入了可能造成漏洞的第三方庫。

實施強大 BYOD 政策的公司應該使用哪些應用程式?研究發現,員工每天都會使用五款以上的應用程式。公司應規定員工安裝專門的安全傳訊平台、電子郵件、CRM 以及他們認為員工必須使用的其他應用程式。務必明文規定嚴禁安裝可能會導致法律責任的應用程式。

企業亦應針對因故離職的員工制定具體明確的程序。員工離職時,企業必須將他們裝置上的所有資料移走,同樣也必須撤銷他們對公司應用程式的存取權。然而,這個責任有許多難以落實之處,而且往往成為公司最後放棄 BYOD 政策,改而配發裝置給員工使用的理由。

政策的效果取決於公司貫徹執行的程度,想要有效貫徹政策,對無法遵守政策的人祭出懲處是不可避免的。任何政策都應具有關於追蹤、衡量和執行問責的具體細節,以便所有團隊成員知悉。缺乏監督是實施 BYOD 政策的主要問題之一。公司的 IT 部門需要配置足夠的支援人力,同時支援和監控都必須持續不中斷。

制度和規則底定之後,企業需排定員工教育訓練課程的優先順序。為了發揮 BYOD 的成效,一定要強調員工使用自帶裝置的容許用途和基本資料安全機制的重要性。

俯視圖:三個人在一張桌子前工作,桌上有筆記型電腦、平板電腦和紙張。

BYOD 安全解決方案

應斟酌納入 BYOD 政策的安全解決方案包括下列內容:

  • 將待用狀態和傳輸中的資料加密
  • 防毒軟體:由公司提供或規定員工安裝的防毒軟體
  • 監控:追蹤員工裝置的 GPS 位置或網路流量等
  • 容器化:透過密碼防護方式將裝置區分為私人資料區或財務資料區
  • 密碼安全機制培訓,包括定期變更密碼的規定
  • 黑名單:對操作安全造成風險或妨礙效率的應用程式,封鎖或限制其使用 – 除非進行容器化處理,否則往往會有漏網之魚
  • 白名單:僅允許員工存取某些經過核准的應用程式,這些應用程式通常在企業配發給員工的硬體上較為實用
  • 定期備份以及更新應用程式和作業系統等規定
  • 舉辦員工定期培訓與進修課程,使員工瞭解如何在保障公司資料安全的前提下,透過 BYOD 硬體存取 WiFi 網路
  • 資料存取限制:為了防止資料外洩,務必嚴密控管資料存取權,只有在履行職務時需存取特定資料集的員工才能在他們自己的個人裝置上存取他們所需的資料

監控資料位置和資料存取模式的工具,這類工具可以偵測可疑行為,例如從不安全或可疑地點(例如北韓)進行存取的行為。

提供 BYOD 系統更好安全性的另一種方法是,向員工發放加密的 USB 隨身碟和加密的固態硬碟。這種方式比配發手機或平板電腦給整個工作團隊使用更加經濟實惠,也比將工作團隊帶來公司的每一台裝置容器化還要直接得多,因為儲存在這些加密裝置上的資料可以獲得比一般裝置更高的保護力。只要具備足夠縝密的加密技術,盜賊即使取得加密隨身碟,也無法破解它或存取其中資料。

#KingstonIsWithYou #KingstonIronKey

電路板晶片組上的 Kingston 諮詢專家圖示

請教專家

要規劃適當的解決方案需要對專案目標有通盤了解。讓 Kingston 專家引導您完成作業。

請教專家

相關影片

相關文章