消费型电子设备热卖,功能强大而且携带方便,进而使不少员工开始将自己的计算设备用于工作,即所谓Bring Your Own Device,简称BYOD。BYOD往往会从企业高层和IT部门开始,安全管理方面稍一松懈,便会呈现破竹之势,迅速在公司范围之内普及。
BYOD无法阻拦,但是安全问题会随之而来,在准入控制方面,把BYOD划分在企业外网不失为一种有效的安全域规划战略。一方面,公司的内网可以得到有效的保护,另一方面,又为员工提供使用网络资源的便利。但是随着BYOD越来越多,并且所需连接的资源也越来越多之时,内外网便会逐渐模糊起来,只对用户的虚拟身份进行验证,而忽略终端设备是大的接入控管趋势,公司所需严格保护的似乎只剩下核心的信息系统了。
问题可能不会这么简单,IT企图放弃终端安全的想法任何时候都是很危险的,终端用户并非IT安全方面的高手,人心如水,水能载舟,亦能覆舟,公司信息安全管理层需要认真对待BYOD。
那么,从何做起呢?从资产属性上讲,BYOD属于员工,而用于工作,本身就是公私不够分明的情形,从公司层面来讲,也难以有适当的理由来实施有效的安全控管。简单地问一问:谁将为BYOD的安全负责?昆明亭长朗然科技有限公司进行的一项移动安全调查表明:近半数受访者认为员工自己应该为BYOD的安全问题负责,有四分之一的受访者认为公司(或雇主)应该负责。
简单举例来讲,存储着工作数据的终端设备丢失了,由谁负责?公司要给员工设备相关的赔偿吗?员工要为公司数据的泄露负责吗?显然这是些复杂的容易扯皮的问题,从这个角度来看,似乎双方都有不可推卸的职责。
员工将自己的计算设备用于工作,您认为安全问题应该由谁负责?欢迎联系我们并告诉我们。