BYOS带来的数据安全风险胜过BYOD

自带计算设备BYOD是个热门词汇,不过如果能严格管控BYOD的话,不仅能够节省IT终端设备的投资,还可以提升员工工作效率。

不过,考虑到资产所属可能带来的法律问题或安全问题,多数大型组织还是喜欢公私分明。昆明亭长朗然科技有限公司的安全研究顾问Bob Xue称:注重安全的公司宁可花钱购买消费型智能终端计算设备用于工作,也不愿员工自己的私人设备接入公司内部网络或存储工作相关数据。

即使设备方面的问题容易统一解决,但软件使用方面,如果员工Bring Your Own Software/Service,BYOS的话,仍然会引来了不少安全问题,虽然未经破解的原生iOS、Android或Windows Phone的安全性相对较强,仍然会面临移动恶意代码、软件程序安全漏洞、程序控制等等问题。

目前市场上已经出现一些移动设备管理MDM解决方案和系统,MDM能够帮助解决一部分BYOD安全控管问题,但是并非全部,主要的原因并非仅仅是移动程序数量巨大并且更新频繁,更重要的MDM缺乏足够的对数据进行安全保护的管理机制。

而信息数据,无疑是超过设备本身的更需要得到安全关爱的核心资产,面临着数据生成、访问控制、同步、数据展示、数据通讯、加密存储和最终删除等众多安全控管需求,这是任何单一的安全控管技术都无法全面实现的。

当笔记本电脑、上网本、超级本遭遇智能手机和平板设备时,当终端操作系统不再是单一的Windows XP,当应用程序的安装源头五花八门时,想从技术层面达到有效控管便成了一道不可能的任务。

那该如何着手更为经济有效呢?亭长朗然Bob说:IT变得移动化和消费化,让商业应用变得更加自由和高效,IT安全管理者应该与时俱进,放弃传统的家长式技术控管理念,从移动终端设备和应用的使用者入手,加强移动设备的安全使用政策制定,强化对用户的移动安全意识教育和安全技术指导,才是最有效的。

在BYOD的时代,信息安全不再是传统IT职责范围内的服务器、网关和桌面安全,而更为分散到最终用户,唯有强化终端用户的安全意识,让终端用户担负起保护信息资产安全的职责,信息安全才能取得成功,数据风险亦可变得可控,业务安全方可获得保障。

byod-android-mobile

建立企业安全文化的关键

企业安全文化是企业文化的一部分,员工们如何看待企业安全文化呢?在现今时代,如何建立适应企业发展的安全文化呢?

每天各类型的组织机构都面临着新型的威胁,要积极应对它们,保护自身,唯有顺应时代的变革,积极部署新的安全控管措施,训练员工们以及不断校正企业安全文化。昆明亭长朗然科技有限公司安全管理顾问Alice Wong提出如下变革企业安全文化的要点:

1.没有一成不变的企业文化,包括使命和价值观也会随着时代的变化而变化,企业安全文化也是如此,但是安全文化的变革往往要滞后。

2.商业世界不断面临着变化,业务面临着新的挑战,需要改变安全文化以适应这些挑战,安全管理负责人要积极触发企业安全文化的正向变革。

3.企业安全文化的变革是自上而下的行动,安全观念的革新需从最高层抓起,安全职责应该得到落实,安全显然并非仅仅只是“安全部门”的工作。

4.每年进行一次必要的安全培训,包括针对新员工的入职安全意识培训,每年考核一次员工的安全绩效表现,这些应该成为整体绩效考核的一部分。

5.对员工们的安全行为进行适当的奖罚,鼓励积极正面的安全理念和行为,警告甚至开除那些严重违反安全规章制度,令公司损失惨重或处于危险状态的员工行为。

企业安全文化的建立非一日之功,只有组织高阶管理层重视并付诸行动,企业安全文化计划才能得以顺利开展。而最高领导层,更需要在安全意识方面得到教育,以便能够展示对保障安全的承诺和对安全事故进行适当的响应指导。

security-culture