自带计算设备BYOD带来的安全问题探讨

移动应用越来越丰富,移动计算设备在日益风行,许多公司还始为高管以及经常外出的员工配置了移动计算设备以便提升工作效率。

同样也出现不少员工自带设备(Bring Your Own Device,简称BYOD)用于工作。不少公司并未及时制定相应的政策来规范BYOD的使用,甚至还有公司为了节省终端计算设备的开支,鼓励员工BYOD。

BYOD确实可能帮公司省不少钱,可是这种公私不分的方式为公司和员工都带来不少扯不清的安全隐患。简单问一问:如果BYOD在公司丢失,设备算谁的责任,数据又算谁的责任?

撇开法律上的扯皮可能,而从安全管理的角度,BYOD也不可取,但是似乎禁止BYOD又可能影响到员工的工作满意度,不利于节省成本和提高生产力。

有没有折衷的方法?当然有,只是麻烦一些而已,最重要的是需要制定BYOD安全政策、建立BYOD标准以及加强与用户的安全意识沟通。

制定BYOD安全政策主要表明员工和公司双方在BYOD本身及其上数据信息的所有权,员工要使用BYOD要遵循公司的BYOD安全标准和使用流程等等。

BYOD安全标准可参照公司提供的计算终端的安全标准,当然在硬、软件资产上要有些适当的灵活变化,为了方便安全管理,最好指定特定品牌甚至型号的产品,并为BYOD设置特别的客户端安全软件以便加强安全控管。

最重要的莫过于加强员工的信息安全意识教育,由于使用自有设备,数据又是无形的,除了在设备本身之外,员工可能会在非公司指定的其它地方使用或存储数据,而这些地方可能非公司所能控制的范围,例如现在有大量针对移动终端的云存储服务,这些服务良莠不齐,有些甚至是黑客专设的数据钓鱼仓库,贸贸然使用这些服务会带来机密数据丢失的隐患,公司需从制度和技术层面规范数据的存储,并加强用户的安全防范意识。

而有时员工可能无意间通过BYOD设备泄密,WIFI钓鱼盛行,公司应该教育员工在外使用WIFI服务时,通过公司批准的加密安全通讯连接各类网络应用服务,以有效防止攻击者的非法窃听。

虽然BYOD设备归员工所有,上面仍存储着公司的重要信息,所以公司仍应教育员工如何保护这些设备的物理安全,例如出差在外、以及带回家中时如何保护设备免受盗窃和信息偷窥等等。

昆明亭长朗然科技有限公司致力于帮助各类型的组织向员工提供信息安全意识教育,针对BYOD也有推出相应的安全意识培训打包产品,欢迎与亭长朗然的培训专员聊聊您对BYOD的安全顾虑和想法。

此外,我们开发制作了数百部安全、保密与合规相关教程及动画视频,员工们通过电脑、手机、平板等随时随地进行简单的移动式学习和体验,便可了解基础的安全防范理念。欢迎联系我们预览和洽谈采购使用。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898

小心躲开“免费”的企业版安全软件

惊闻360免费企业版已经有20多万家客户金山的2012企业版防病毒软件也已经全面免费,对这两家公司的义举表示赞扬,毕竟,企业终端安全软件往往价格不菲,而多数中小企业IT安全资金投入很有限,安全问题严重阻止了中小企业信息化的发展步伐。

不过,在对这场免费活动的赞扬和感激之余,我们不免有些担心,俗话说“天下没有免费的馅饼”,这些免费活动提供商真的个个都是学习雷锋的好榜样吗?免费幌子的背后是不是有什么不可告人的企图?

显然不可能有完全免费的大餐等着中小企业,毕竟这等“美事”一眼看来不合乎社会常情和经济学规律,这时,就需要加强警惕了。

要警惕什么呢?相信不少人都碰到过街头骗子,骗子们的伎俩往往都是让人们感到占了便宜,低价抢购、最后一天、亏本大出血……

我们不是说便宜无好货,也不是说商家的促销都是骗局,更不是否定上述两家的安全产品的功效,尽管市面上有不少假冒的防病毒软件。实际上,在国内外的不少防病毒安全产品的评测中,这两家的产品都是榜上有名,甚至业界领先。

既然是好产品,还要警惕什么呢?不错的问题,大陆人到了港澳后,往往会得到坐豪华游轮到公海免费赌博的机会,本来就有意向或无兴趣的人可能都愿意去尝试一把,反正不花什么钱,还能免费旅游,多美的事儿,再去问问港澳地区的本地常住居民,他们会说的确是这样,可是他们自己却并不愿意去,为什么呢?让我们结合免费的企业版终端安全产品谈一谈。

1.浪费时间,免费是真的,可是免费满足不了需求,遏制需求,不花钱继续买吧,就这么折腾着,想想安装些软件、不满意再卸载不都需要不少功夫吗?时间就是生产力,在这些时间内企业员工本身可以创造更多的价值,却被这个免费的噱头给耽误了。

2.占小便宜吃大亏,就是不花钱,免费的东西给一点用一点,可以啊,不过您刚发现病毒,正要杀的时候,它来给洗个脑,弹出个诱人的广告,不点广告不给杀毒,唉,忍一忍吧,最终买了广告后方知吃了大亏。

3.丢了隐私,使用杀毒软件,要更新吧?要病毒报告吧?软件有问题要反馈吧?不明病毒要提交吧?在双方都明了,都同意的情况下这些都是正常而合适的,问题在于免费是有附加条件的,没仔细看软件的使用条款吧?被偷了客户通讯录和电脑密码,搜索引擎告诉你是谁偷走的,找到这个小偷,正想斥责他监守自盗时,小偷说:免费的,不负责,还说谁让你家开着门,同意他可以来偷呢!你这叫活该。

那就不能用这些免费的企业版安全软件吗?也不是,中小企业打拼不易,再说谁不想能省则省呢?既然这些免费产品也不太差,当然可以当作一个选择了。

问题在于选择上,曾经闹过一大堆丑闻,特别是有坑蒙拐骗劣迹的,您敢指望它变得可靠吗?狗改不了吃屎,还是离远点儿了好。下面我们给您分离几点注意事项:

1.简单评估风险,免费的往往不负责,所以别指望厂家来帮您免费安装系统和提供培训,杀不出病毒,还让系统崩溃了,您就自己承担着。

2.选择之前,看好协议,也就是使用条款,含糊其辞的让人不放心,有霸王条款的,还是走远点。

3.如果自己没有足够的鉴别实力,找个懂行的安全专家帮忙挑选,日后安全终端软件上的运营维护也好有个顾问和帮手。

4.加强终端安全操作技能培训,提升员工的安全意识,免费软件意味着厂家不帮忙,您得像吃自助餐,凡事自己动手,加强安全技能培训让员工也能自己帮助自己。

最后,要知道:搞企业,不是过家家,企业终端安全,个人版家庭版的那套可能不适用。免费有免费的道理,并非完全不靠谱,不过羊毛出在羊身上,真的想用,也不是不可能,只是您得小心点儿。