BYOD的興起讓企業(yè)不得不管理越來越多的系統(tǒng)接入設(shè)備。最近的一個Bitglass進(jìn)行的研究表明,由于公司管理層擁有太多的終端用戶個人數(shù)據(jù)的權(quán)限,出于隱私原因,57%的員工以及38%的IT專業(yè)人士并不參與企業(yè)BYOD計劃。
當(dāng)然,員工并不會因此停止使用自己的設(shè)備,他們會想方設(shè)法繞過公司政策。當(dāng)員工無視企業(yè)BYOD策略時,意味著有些東西出問題了,是時候重新評估BYOD計劃了。
那么該如何判斷員工用“流氓”的方式使用私人設(shè)備并讓企業(yè)數(shù)據(jù)處于風(fēng)險之中呢?
可視隱私咨詢委員會會員,曾在多家企業(yè)擔(dān)任首席信息安全官的Patricia Titus稱:“從幾個跡象可以看出,但最明顯的是企業(yè)敏感信息的泄露。也就是說你已經(jīng)發(fā)現(xiàn)企業(yè)數(shù)據(jù)暴露在互聯(lián)網(wǎng)上或者在暗網(wǎng)之中。”
惡意軟件數(shù)量增加或授權(quán)私人設(shè)備攻擊企業(yè)網(wǎng)絡(luò)則是另一個策略失效的跡象。這些現(xiàn)象可能說明員工并未在設(shè)備上使用安全軟件或沒有進(jìn)行更新。
BYOD計劃的重新評估應(yīng)該從政策開始進(jìn)行,判斷它們是否符合公司需求,是否能讓員工承擔(dān)責(zé)任,是否使用與現(xiàn)在使用的技術(shù)。
經(jīng)評估后,若發(fā)現(xiàn)當(dāng)前BYOD策略成效不大且未能確保敏感數(shù)據(jù)的安全性。那么,你面臨著兩種選擇:重建現(xiàn)有政策或放棄整個BYOD計劃。
若選擇重建BYOD策略,將“信任和驗證”框架落實到位是保證策略有效性的關(guān)鍵因素。曾在金融行業(yè)擔(dān)任信息安全分析師的網(wǎng)絡(luò)安全顧問Dominic Vogel稱,如果員工缺乏主人翁意識,他們還會繼續(xù)忽略這一策略。
他說:“一個有效的策略需要讓員工擁有主人翁意識。企業(yè)必需確保人力資源,財務(wù),營銷,通信,管理人員都考慮在內(nèi)并制定一個現(xiàn)實的(而不是嚴(yán)厲的)策略,這樣就能在幫助企業(yè)的同時減少風(fēng)險。”
企業(yè)還需要向員工清楚闡明重建后的策略中非技術(shù)方面的內(nèi)容并使其了解策略條款中被允許的私人設(shè)備連接企業(yè)網(wǎng)絡(luò)的情況。
然而,你可能會驚奇地發(fā)現(xiàn),越來越多的安全專家相信企業(yè)會選第二個方案。大多數(shù)員工會避開企業(yè)BYOD策略,因此禁止私人設(shè)備連接公司網(wǎng)絡(luò)似乎更為靠譜,尤其是高度監(jiān)管的行業(yè)。
Titus說:“如果企業(yè)的風(fēng)險承受能力非常低,意味著它受到嚴(yán)格監(jiān)管,BYOD計劃可能并不太適合這類企業(yè)。這類管制企業(yè)還必須向?qū)徲嬋藛T證明BYOD計劃有效。”
Titus提出用C(choose)YOD方案替代BYOD。在這種方案中,公司擁有設(shè)備所有權(quán)并掌控安全性,員工被允許從一些列入企業(yè)安全計劃的設(shè)備清單中選擇設(shè)備。
如果你出于任何原因終止BYOD計劃,企業(yè)需要確保在不刪除任何個人數(shù)據(jù)的前提下清除公司的機(jī)密,這是非常重要的。Titus說:“這可能是一種敏感的處境。即便是臨時終止該計劃,和法律部門、人力資源部門合作都是非常重要的。溝通是最重要的,同時企業(yè)還需要向員工灌輸安全意識以確保網(wǎng)絡(luò)安全。”
失敗的BYOD政策對企業(yè)是毀滅性的,它會帶來知識產(chǎn)權(quán),客戶的個人身份信息和財務(wù)數(shù)據(jù),終端用戶數(shù)據(jù)泄漏的風(fēng)險。只要有一臺沒打補(bǔ)丁,沒安裝標(biāo)準(zhǔn)殺毒軟件或其他安全保護(hù)措施軟件,網(wǎng)絡(luò)配置不當(dāng),丟失或被盜的設(shè)備,企業(yè)就有可能成為重大數(shù)據(jù)泄漏的受害者。