BYOD的兴起让企业不得不管理越来越多的系统接入设备。最近的一个Bitglass进行的研究表明,由于公司管理层拥有太多的终端用户个人数据的权限,出于隐私原因,57%的员工以及38%的IT专业人士并不参与企业BYOD计划。
当然,员工并不会因此停止使用自己的设备,他们会想方设法绕过公司政策。当员工无视企业BYOD策略时,意味着有些东西出问题了,是时候重新评估BYOD计划了。
那么该如何判断员工用“流氓”的方式使用私人设备并让企业数据处于风险之中呢?
可视隐私咨询委员会会员,曾在多家企业担任首席信息安全官的Patricia Titus称:“从几个迹象可以看出,但最明显的是企业敏感信息的泄露。也就是说你已经发现企业数据暴露在互联网上或者在暗网之中。”
恶意软件数量增加或授权私人设备攻击企业网络则是另一个策略失效的迹象。这些现象可能说明员工并未在设备上使用安全软件或没有进行更新。
BYOD计划的重新评估应该从政策开始进行,判断它们是否符合公司需求,是否能让员工承担责任,是否使用与现在使用的技术。
经评估后,若发现当前BYOD策略成效不大且未能确保敏感数据的安全性。那么,你面临着两种选择:重建现有政策或放弃整个BYOD计划。
若选择重建BYOD策略,将“信任和验证”框架落实到位是保证策略有效性的关键因素。曾在金融行业担任信息安全分析师的网络安全顾问Dominic Vogel称,如果员工缺乏主人翁意识,他们还会继续忽略这一策略。
他说:“一个有效的策略需要让员工拥有主人翁意识。企业必需确保人力资源,财务,营销,通信,管理人员都考虑在内并制定一个现实的(而不是严厉的)策略,这样就能在帮助企业的同时减少风险。”
企业还需要向员工清楚阐明重建后的策略中非技术方面的内容并使其了解策略条款中被允许的私人设备连接企业网络的情况。
然而,你可能会惊奇地发现,越来越多的安全专家相信企业会选第二个方案。大多数员工会避开企业BYOD策略,因此禁止私人设备连接公司网络似乎更为靠谱,尤其是高度监管的行业。
Titus说:“如果企业的风险承受能力非常低,意味着它受到严格监管,BYOD计划可能并不太适合这类企业。这类管制企业还必须向审计人员证明BYOD计划有效。”
Titus提出用C(choose)YOD方案替代BYOD。在这种方案中,公司拥有设备所有权并掌控安全性,员工被允许从一些列入企业安全计划的设备清单中选择设备。
如果你出于任何原因终止BYOD计划,企业需要确保在不删除任何个人数据的前提下清除公司的机密,这是非常重要的。Titus说:“这可能是一种敏感的处境。即便是临时终止该计划,和法律部门、人力资源部门合作都是非常重要的。沟通是最重要的,同时企业还需要向员工灌输安全意识以确保网络安全。”
失败的BYOD政策对企业是毁灭性的,它会带来知识产权,客户的个人身份信息和财务数据,终端用户数据泄漏的风险。只要有一台没打补丁,没安装标准杀毒软件或其他安全保护措施软件,网络配置不当,丢失或被盗的设备,企业就有可能成为重大数据泄漏的受害者。
作者:何妍
来源:51CTO