自带计算设备BYOD的安全职责探讨

消费型电子设备热卖,功能强大而且携带方便,进而使不少员工开始将自己的计算设备用于工作,即所谓Bring Your Own Device,简称BYOD。BYOD往往会从企业高层和IT部门开始,安全管理方面稍一松懈,便会呈现破竹之势,迅速在公司范围之内普及。

BYOD无法阻拦,但是安全问题会随之而来,在准入控制方面,把BYOD划分在企业外网不失为一种有效的安全域规划战略。一方面,公司的内网可以得到有效的保护,另一方面,又为员工提供使用网络资源的便利。但是随着BYOD越来越多,并且所需连接的资源也越来越多之时,内外网便会逐渐模糊起来,只对用户的虚拟身份进行验证,而忽略终端设备是大的接入控管趋势,公司所需严格保护的似乎只剩下核心的信息系统了。

问题可能不会这么简单,IT企图放弃终端安全的想法任何时候都是很危险的,终端用户并非IT安全方面的高手,人心如水,水能载舟,亦能覆舟,公司信息安全管理层需要认真对待BYOD。

那么,从何做起呢?从资产属性上讲,BYOD属于员工,而用于工作,本身就是公私不够分明的情形,从公司层面来讲,也难以有适当的理由来实施有效的安全控管。简单地问一问:谁将为BYOD的安全负责?昆明亭长朗然科技有限公司进行的一项移动安全调查表明:近半数受访者认为员工自己应该为BYOD的安全问题负责,有四分之一的受访者认为公司(或雇主)应该负责。

简单举例来讲,存储着工作数据的终端设备丢失了,由谁负责?公司要给员工设备相关的赔偿吗?员工要为公司数据的泄露负责吗?显然这是些复杂的容易扯皮的问题,从这个角度来看,似乎双方都有不可推卸的职责。

员工将自己的计算设备用于工作,您认为安全问题应该由谁负责?欢迎联系我们并告诉我们。

从两起事件宣讲员工信息安全手册

最近,又看到和听到一些信息安全事件,无疑,这些事件的原因都是对信息安全的误解和不了解。

其中一起事件值得玩儿味,暑假,清洁阿姨带着自己的儿子来到某公司,借用了某员工的电脑玩儿游戏。后来该员工发现一些程序和重要工作文件丢失了,原来阿姨的儿子要安装大游戏,但是提示存储空间不足,该小伙便悄悄把电脑中的程序和数据给删除了。

我说该员工真倒霉,不过不值得同情。昆明亭长朗然科技有限公司信息安全专员董志军表示:很多员工知道,在职场中,分配给自己工作用的电脑不是自己的私产,但是却不明白,自己作为使用者和保管者,承担着保护电脑的责任,即使交给他人使用,也还是得自己担负责任。

计算机使用责任

员工负责适当使用区域计算机和通信资源,并采取合理的预防措施来保护委托给他们的信息和设备。

员工有责任举报不当使用区域计算机和违反计算机安全的行为。

员工有责任遵守此处所述的政策和做法,以及其他政策和程序,以确保可接受地使用计算机和通信资源,并采取实际措施防止计算机信息和设备的丢失或损坏。

另一起事件是一名员工在与该公司高管面谈时,无意中记下了该高管的系统登录密码。后来,该员工悄悄使用高管的账号,登录到客户关系管理系统,下载了大量的客户名录。结果该员工不但被解聘,还吃了十几天牢饭,并把非法所得充了公。该高管也在后来的办公室政治中被拿这件事儿来压制,受了不少气。

要我说该员工缺乏规范意识,头脑简单,无知者无畏。从技术能力上讲,那么多IT系统管理员,特别是数据库管理员都可以轻松搞到大量客户名录,但是应该明白,IT系统管理员不是数据的所有者,只是数据的管家。就像以前的社会那样,管家管着财主很多钱,但要支配它们使用它们还都要财主说了算。当然,财主发给管理的工作报酬是管理可以自由支配和使用的。街头开锁的工匠也很明白这个道理,他们有能耐打开很多户家的门锁,但是人家没让他们开,他们可是不敢的。

我还要说该高管也是缺乏足够的安全意识,当着员工的面输入自己的密码,也不遮掩一下,这不就是把自己的安全弱点暴露给人家嘛!如果能稍稍注意一点,就能弃恶扬善,防范一起人间悲剧的发生。

越权访问

禁止未经授权访问计算机(硬件和软件)和通信资源(例如互联网、Web服务器、电子邮件)。禁止未经授权访问数据文件和自动化系统。拥有访问能力不代表拥有访问授权。

任何形式的篡改、窥探或黑客入侵计算机都违反安全政策,并带来严重后果,包括解雇和刑事指控。员工在离开现场时需要保护他们的计算机,并在每天结束时将其关闭。

在工作时间内,如果员工离开他/她的办公桌,则需要“锁定”计算机以防止未经授权的使用。使用Windows操作系统,同时按下Ctrl + Alt + Delete键并在屏幕上选择“锁定”选项即可完成此操作。也可以通过同时按下Windows键(在Alt键旁边的)和字母“L”来锁定计算机。

这两起安全事件案例就分享到这儿,职场经历多了,这种事情相信会见到很多。不管您碰到任何信息安全相关事件,都欢迎您拿来和我们分享,一起探讨如何通过信息安全意识教育来防范类似事件的再发。

昆明亭长朗然科技有限公司是最早将信息安全意识引入国内的探索者和领航者,我们帮助各类型组织机构建立适当的信息安全意识宣教计划,以及向受众群体提供必要的标准化和定制化的信息安全意识教育活动。我们的信息安全意识宣教内容资源,及网络安全宣传周活动方案被多家大型机构所采用,欢迎有相关需求的客户以及有兴趣合作的伙伴们与我们取得联系。

电话:0871-67122372
手机:18206751343
微信:18206751343
邮箱:info@securemymind.com
QQ:1767022898