自带计算设备BYOD的安全职责探讨

消费型电子设备热卖,功能强大而且携带方便,进而使不少员工开始将自己的计算设备用于工作,即所谓Bring Your Own Device,简称BYOD。BYOD往往会从企业高层和IT部门开始,安全管理方面稍一松懈,便会呈现破竹之势,迅速在公司范围之内普及。

BYOD无法阻拦,但是安全问题会随之而来,在准入控制方面,把BYOD划分在企业外网不失为一种有效的安全域规划战略。一方面,公司的内网可以得到有效的保护,另一方面,又为员工提供使用网络资源的便利。但是随着BYOD越来越多,并且所需连接的资源也越来越多之时,内外网便会逐渐模糊起来,只对用户的虚拟身份进行验证,而忽略终端设备是大的接入控管趋势,公司所需严格保护的似乎只剩下核心的信息系统了。

问题可能不会这么简单,IT企图放弃终端安全的想法任何时候都是很危险的,终端用户并非IT安全方面的高手,人心如水,水能载舟,亦能覆舟,公司信息安全管理层需要认真对待BYOD。

那么,从何做起呢?从资产属性上讲,BYOD属于员工,而用于工作,本身就是公私不够分明的情形,从公司层面来讲,也难以有适当的理由来实施有效的安全控管。简单地问一问:谁将为BYOD的安全负责?昆明亭长朗然科技有限公司进行的一项移动安全调查表明:近半数受访者认为员工自己应该为BYOD的安全问题负责,有四分之一的受访者认为公司(或雇主)应该负责。

简单举例来讲,存储着工作数据的终端设备丢失了,由谁负责?公司要给员工设备相关的赔偿吗?员工要为公司数据的泄露负责吗?显然这是些复杂的容易扯皮的问题,从这个角度来看,似乎双方都有不可推卸的职责。

员工将自己的计算设备用于工作,您认为安全问题应该由谁负责?欢迎联系我们并告诉我们。

新世代员工蔑视IT政策的应对之道

思科公司的年度安全报告表明:70%的新世代员工通常会忽略IT相关的政策,最终导致四分之一的人成为身份盗窃的受害者。

的确,婴儿潮世代的人们占据了组织中的领导地位,他们的特点是易于接受上级控制也敢于控制下属,但却在逐步退休期;30岁以下的年轻人从小生活在数字时代,他们的生活方式已经严重信赖互联网,所以他们有很多个性化的需求、行为方式独特、崇尚网络自由、随时随地工作……

当他们将这些流行的生活方式带到工作场所时,会不自觉将私人与商业行为混合,当工作时需要联网却受到阻碍时,便会对IT心生不满,进而轻则消极怠工、选择退出,重则企图突破控制防线、甚至毁坏安全管理体系。

思科在报告中也简单提及一些新世代员工为了突破安全控管措施的不安全行为,包括使用其它的无线网络连接,随意借用他们的计算设备及权限,在社交网络分享工作相关事务,使用非授权软件和程序用于完成工作等等。

67%的受访者表示IT安全政策未能满足现实生活对弹性工作的要求,而61%的受访员工表明他们不为保护信息和设备的安全负责,这些应该是IT服务提供者的职责。

这些重要的发现给IT安全管理负责人带来的新的启示,新世代的劳动力需要对信息更加开放的访问权限以及社交网络,如何及时调整IT及安全政策,确保管理好风险的前题下,能给员工更多的移动工作能力和生产力。

昆明亭长朗然科技有限公司的安全顾问James Dong称:我们相信安全控管科技的创新将会帮助IT安全管理人员,同时也需要针对新世代员工的特点,制定适合他们的信息安全沟通战略和方式,显然传统的发布文字版安全策略和标准文档的方式不会受到新世代80后员工的欢迎,而多媒体、互动式、社交网络式的电子学习渠道将大受追捧。

it-secrity-policy-enforcement