Mang Thiết bị Riêng Đi làm: Các Biện pháp Bảo mật dành cho Thiết bị Cá nhân tại Nơi làm việc

Các Quy tắc thực hành Tốt nhất về Bảo mật BYOD

Một chính sách BYOD hiệu quả cần bao hàm những nội dung sau:

• Loại thiết bị được phép
• Sử dụng được chấp nhận: nhân viên có thể truy cập những ứng dụng và nội dung nào từ thiết bị cá nhân?
• Yêu cầu tối thiểu về kiểm soát bảo mật thiết bị: công ty sẽ cần phải có những biện pháp an toàn nào đối với các thiết bị BYOD?
• Các thành phần do công ty cung cấp: chẳng hạn như chứng chỉ SSL để xác thực thiết bị
• Quyền sửa đổi thiết bị của công ty: chẳng hạn như công ty có thể xóa bỏ từ xa trong trường hợp thiết bị bị thất lạc hoặc mất cắp
• Điều gì sẽ xảy ra với những dữ liệu của công ty trên thiết bị của nhân viên sắp nghỉ việc?
• Ai là người sở hữu các ứng dụng và dữ liệu trên thiết bị? Nhân viên có được công ty hoàn trả số tiền mua ứng dụng hoặc mức phí hàng tháng không?
• Bộ phận CNTT sẽ hỗ trợ chủ sở hữu thiết bị như thế nào?

Các nhà hoạch định chính sách cần xem xét những quy định sau để có thể đưa ra lựa chọn tốt nhất:

• Quy tắc chung: giới hạn cuộc gọi cá nhân và cuộc gọi video tại nơi làm việc, không sử dụng trong khi lái xe
• Bảo trì và nâng cấp: chính sách cần phải đảm bảo rằng các nhân viên luôn cập nhật thiết bị và ứng dụng đúng cách
• Quy định về truyền dữ liệu: dữ liệu của công ty phải được mã hóa và bảo vệ bằng mật khẩu và chỉ được truyền qua các ứng dụng do công ty ủy quyền
• Quy định về mật khẩu: bắt buộc phải sử dụng mật khẩu để bảo vệ thông tin nhạy cảm; ngoài ra, người dùng cũng có thể phải thực hiện xác thực hai yếu tố

Quy định về quyền riêng tư: làm thế nào để công ty có thể cân bằng giữa việc bảo vệ dữ liệu và quyền riêng tư của nhân viên khi áp dụng BYOD?

Chính sách bảo mật BYOD

Phương pháp tốt nhất để có thể xây dựng các quy tắc thực hành BYOD nhất quán và an toàn là gì? Quá trình soạn thảo chính sách BYOD cần phải có sự tham gia của cả nhân viên và các bên liên quan. Dữ liệu từ nhân viên có thể được thu thập thông qua khảo sát, một nền tảng quan trọng trong quy trình hoạch định chính sách. Tất cả các giám đốc điều hành, nhân sự, vận hành CNTT, tài chính và an ninh đều phải nắm được thông tin và tham gia bộ phận quản lý dự án BYOD. Mỗi một phòng ban đều có một nhiệm vụ riêng.

Sau khi hoàn thành việc thu thập dữ liệu khảo sát, bước tiếp theo là thực hiện phân tích để tìm ra những dữ liệu và ứng dụng cần thiết trên thiết bị của nhân viên. Đào tạo cũng là một bước quan trọng trong quy trình sau khi xây dựng chính sách hoàn chỉnh. Nhân viên ở mọi cấp bậc phải được hướng dẫn về giao thức xử lý dữ liệu, khắc phục sự cố trên thiết bị, quy trình khi làm thất lạc hoặc bị mất trộm thiết bị, ứng dụng cần cài đặt và các biện pháp phòng chống lừa đảo, cũng như nâng cao cảnh giác trước các mối đe dọa an ninh mạng.

Những nhân viên không được đào tạo về an ninh mạng thường được coi là mối nguy hiểm lớn nhất đối với tính toàn vẹn dữ liệu của công ty. Năm 2014, 87% nhà quản lý CNTT được hỏi tin rằng, sự bất cẩn của nhân viên khi sử dụng thiết bị di động chính là mối đe dọa lớn nhất đối với các công ty. Năm 2020, có tới 96% các cuộc tấn công nhằm vào thiết bị di động được thực hiện thông qua ứng dụng. Nguyên nhân là do phần lớn các ứng dụng, chiếm tỷ lệ gần 80%, nhúng thư viện của bên thứ ba có nguy cơ chứa lỗ hổng bảo mật.

Đâu là những ứng dụng phù hợp dành cho các công ty áp dụng chính sách BYOD nghiêm ngặt? Theo một nghiên cứu, trung bình mỗi ngày, các nhân viên thường sử dụng từ năm ứng dụng trở lên. Các công ty nên lựa chọn một nền tảng nhắn tin an toàn chuyên dụng, email, CRM và bất kỳ ứng dụng nào khác mà họ cảm thấy nhân viên của mình sẽ cần. Hãy đảm bảo tránh xa các ứng dụng có nguy cơ cao.

Công ty cũng cần xây dựng quy trình cụ thể dành cho các nhân viên rời khỏi công ty, dù vì bất kỳ lý do gì. Khi một nhân viên rời đi, công ty phải đảm bảo rằng tất cả dữ liệu đã bị xóa khỏi thiết bị của nhân viên và mọi quyền truy cập vào các ứng dụng của công ty cũng đều bị thu hồi. Tuy nhiên, đây không phải là điều dễ dàng và nhiều công ty đã lựa chọn từ bỏ chính sách BYOD và cung cấp thiết bị của riêng mình.

Một chính sách chỉ đạt hiệu quả khi có sự quyết đoán trong thực thi của công ty. Điều này cũng đồng nghĩa với việc những người không tuân thủ chính sách sẽ phải chịu hệ quả. Mọi chính sách đều phải có thông tin cụ thể liên quan đến quá trình theo dõi, đánh giá và trách nhiệm thực thi của từng phòng ban để tất cả các mọi người đều nắm được. Một vấn đề nổi trội trong quá trình áp dụng BYOD là sự lơ là trong khâu quản lý giám sát. Các công ty cần có đủ nhân viên CNTT để hỗ trợ và giám sát liên tục thiết lập của nhân viên.

Sau khi hoàn tất quá trình bảo mật hệ thống và giao thức, công ty nên chú trọng đến việc phổ biến kiến thức cho nhân viên. Để áp dụng chính sách BYOD thành công, nhân viên cần phải có ý thức về tầm quan trọng của việc sử dụng được chấp nhận và tối ưu bảo mật dữ liệu cơ bản.