员工自带计算设备的安全保密管理实践

回顾历史,为了保障信息安全,使员工只可以使用公司(或其他类型的组织机构)的计算机设备,通过移动方式访问公司资源(例如电子邮件)的方式,曾经是非常受欢迎的。由于设备属于公司,因此公司可以完全控制设备的配置、使用和安全性。但是时代在变化,随着消费性移动计算设备的盛行,企业级的移动计算再也无法回避员工自带计算设备。

近年来,个人购买供私人使用的面向消费者的移动设备,如智能手机、平板电脑等等具有执行电子邮件、通过网络访问文档、运行基于Web的应用程序等功能。已经购买了此类设备以供个人使用的员工更愿意使用该设备进行工作任务或业务交易,而不是额外携带一份公司分配的计算机设备。

对此,昆明亭长朗然科技有限公司移动计算安全专员董志军称:随着云计算和移动化的深入渗透,传统的信息安全控管方式面临着新的挑战,如何控制员工在工作过程中安全地使用自己的个人设备访问、存储和传输企业拥有的信息,成为IT、安全与保密人员们的共同难题。如下,我们将与您一起分享让员工自带计算设备的安全保密管理实践。

一、确定访问公司的网络和数据的人员

这一点明显,也是最基本的。通过加强用户账户管理,可以最大程度地提升信息安全性。及时清除不再需要远程访问公司的人员账户,定期检查哪些帐户可用于公司的电子邮件服务、VPN服务、内部具有自己的用户数据库的网络应用程序等等。看其中是否有不应该(如已离职人员、承包商等)的访问活动,是否有活动异常的帐户(如大量不成功的登录等等)。

二、确定用户们可以远程访问哪些数据

公司的某些特定信息有着特殊的价值,如果落入外部人员的手中,会使公司受到损害,因此必须小心保护。严格控制敏感或涉密数据的访问人员,并记录详细的访问记录,有助于降低数据泄露的相对风险。因此,需要花费足够的精力来控制对具有最敏感数据的访问,可以不花力气或使用少量精力来控制对具有低风险数据的访问。

三、确保能够配置员工的移动计算设备

对于公司数据,移动设备特别受关注,因为它们极易遭受物理损害。如果某员工的设备落入他人手中,则该员工用权访问到的所有工作数据都面临着丢失或泄露的风险。所有主流的移动设备平台中都存在安全漏洞,最有效的防御方法是,确保正确配置所有将用于访问网络的计算设备,以减少从设备中丢失数据的风险。使用准入控制工具,在进行账户管理如添加新账号工作时,对终端移动计算设备的安全配置进行检查,是一种有效的控制手段。

四、制定员工移动计算设备使用管理规范

确保员工安全配置其设备的最基本方法是向他们提供口头或书面说明,说明如何执行此操作并期望他们遵守相关政策。不过,这种方法存在潜在的问题,即使是勤奋的员工,也往往会忘记指令,除非进行严格的培训,否则他们可能会在第一次交流后按照说明进行操作,但是随着时间的流逝,他们会忘记,而让他们的设备陷入更具风险的配置中。一项最好的方法是借助工作来确保规定的落实,使用可以自动报告设备配置并帮助或强迫员工进行安全设置的工具。今天最常用的工具是移动设备管理工具。也有一些轻型的“移动设备审核”工具,可以不用完全控制员工们的移动计算设备,同时获得该设备安全配置的报告。

五、确保移动管理工具不会损害用户隐私

要知道,即使员工们将其移动计算设备用于访问公司业务数据,设备仍然属于员工所有。因此,取得能够满足双方需求的平衡很重要。公司需要一种确保设备安全配置和使用的方式,以减少丢失公司信息的风险。员工们需要在不直接损害业务数据安全性的情况下将其用于个人用途。因此,要让员工们知道其雇主无权访问不需要访问的信息和内容,它们可能包括GPS位置、个人通讯内容如非企业帐户上的短信或电子邮件等等。一方面尊重员工们的个人隐私,另一方面也避免由于滥用隐私招致法律问题。

六、与员工们保持清晰的安全政策沟通

公司需要清楚地告知使用自带计算设备的员工们,他们正在使用的设备会受到必要的监视和控制。例如:公司可以监视哪些数据?公司可以修改哪些设置?公司将如何使用有关其设备的信息?用户设备使用相关的数据保留期有多长?等等。切记,如果公司需要审核或控制员工个人计算设备,那么可能需要签订书面协议,明确说明可以在其设备上查看或修改的信息。同时,让员工们了解自己的移动安全职责也很重要。这些职责包括:保持设备的安全性配置、及时报告可疑活动、立即报告设备丢失情况或可疑的数据泄露、确保用于公司审核的应用程序处于启用状态等等。

七、制定有关处理数据泄露的响应计划

需知,数据丢失的风险只能降低到适当的水平,而不能完全被消除。从风险管控的科学角度讲,完全消除任何数据泄露的风险的成本是非常高昂的,也几乎是不可能的。因此很有必要为发生数据泄露时的处理做好准备。建立移动计算设备数据丢失应急响应计划,及时通知安全响应团队、立即对受影响的系统进行配置更改、甚至可能会进行必要的取证活动等等。不怕一万,就怕万一,建立了响应计划之后,在遭遇意外的移动计算安全事件时,能够有效地遵循该计划,采取正确的应对行动,将损失降至最低限度。

八、让员工们体验移动计算的快乐和便利

进行上述系列安全控管需要计划、精力和资源支出。不过,这一切努力都会有所回报。公司管理人员能够看到数据遭遇丢失或破坏的风险得到了系统性地减少,员工们会因为他们可以将私人移动计算设备用于工作而感到兴奋,进而提高生产力,而不是觉得公司僵化的政策阻碍了他们的成功。

九、定期审核上述安全工作并不断改进

需要补充的是,随着时间的流逝,定期检查以上提到的所有操作实践非常必要,这是因为IT系统会随着时间的推移而变化,因此,请务必使流程和工具与业务信息系统的当前状态保持更新和一致。当然,对于信息安全与保密管理工作来讲,没有最好,只有更好,不断改进工作是专业人员职业成长和发展的动力,也是保持公司信息安全状态不断迈向更高成熟度的方法。

回顾上述几条关于员工将个人计算设备用于移动化工作的安全保密管控实践,我们不难发现,要保障公司信息数据的安全,需要将安全政策与技术要求、终端计算设备、人员安全意识等因素有效结合并联动起来,这就需要IT、安全、保密团队密切合作,并加强与员工(用户)们的安全沟通。昆明亭长朗然科技有限公司专注于帮助各类型组织机构提升员工们的信息安全意识,我们帮助客户策划和制定安全意识培训及沟通计划,并提供各种安全意识课程内容资源,以及安全宣教教育活动的支持。欢迎有兴趣和有需要的客户,以及合作伙伴联系我们,洽谈业务合作。

  • 电话:0871-67122372
  • 微信:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898

移动办公用户必须了解的加密基础

mobile-device-encryption
在家办公、异地办公和远程办公等词汇随着移动计算时代的到来也开始被逐渐包装成“移动办公”,不管如何,信息数据和计算终端走出公司原本划定的安全边界是不可争议的趋势。

现今的差旅人员总得随身带着笔记本电脑这一移动工作利器,以及用于快速沟通联络和打发旅途时间的平板设备或智能手机,携带自有设备BYOD逐渐流行,而信息安全问题也越来越多地浮出水面。

移动工作到底会面临哪些安全问题呢?昆明亭长朗然科技有限公司移动安全专员James Dong说:除了人员的人身安全、交通安全和食宿安全之外,大概就是个人财物以及计算设备本身密切相关的财产安全,以及工作相关的信息数据的安全了。

环顾全球,各国家和地区安全局势有异,部分地区战火不断,但即使是在社会安全状态较为稳定的国家,也不能对安全掉以轻心。文明程度较高的大中城市亦有不少贼偷劫犯,民风纯朴的乡镇荒村也有不少地痞流氓,所以说,时时处处,我们都面临着各种人身和财产的安全威胁。

移动在外,与相对固定的熟知环境不同,我们需要强烈的自我保护意识,在此基础之上方能建立起一套自适应式的安全网,进而从容应对各类复杂局势。熟悉行程和路线,避开高危区域,保持低调总是出差在外的第一安全要点;入乡随俗,遵守法纪,则是融入社区保障安全的重要准则。了解到这两点,您就不会偏在月黑风高之夜入住案件高发之地,并背着大笔金钱财物四处溜达,还高呼“天下无贼”。

保障人身和财产安全是人们比较容易理解的,在信息时代,我们不得不讨论移动办公的安全常识,移动计算设备,体积轻巧而且容易携带,自然也会面临不少的物理安全问题。人们把它们装在口袋或皮包里,或者在公共场所使用它们,它们可能被偷、被抢、从口袋里滑落或者被遗忘在某个地方。而且一旦移动设备丢失,找回的可能性是很小的。

其实除了保障设备实体安全(或物理安全)之外,最主要的则是信息数据的安全了。使用智能终端在公共交通工具上看看电子书、听听音乐或看看电影视频,则很无妨,但处理工作邮件和制定工作报告等等则需小心旁边人员的偷看。如果笔记本电脑没有安装防偷窥的保护屏,则注意使用角度。如果是使用移动电话讨论工作事务,也需小心防范偷听。

对于使用无线网络,小心基于WIFI无线的信息攻击则是重中之重,应对之道是在接入新的WIFI之前确认信号的真伪,然后在连接到WLAN之后立即开启到公司的VPN连接,以防无线攻击者窃取敏感网络通讯。

通讯方面的加密并不足够,俗话说:不怕一万,就怕万一,尽管我们竭尽全力,移动计算设备仍然可能遭难。我们还需要通过加密措施来保障移动设备中所存储的数据的安全,如果设备支持,使用全盘加密方案是最佳的选择,但是仍然要注意对敏感数据实施第二层的加密,以防工作相关的机密数据外泄。为防止窃贼或设备拾取者能够轻易访问设备,我们还需为智能终端设定登录密码、密文、密钥等保护,并且设置自动锁定的时间。

通过有效的保密措施如加密动作,让攻击者即使能够获得设备本身,也难获得重要的信息数据。不过我们可不应该让数据和设备一起“玉石同碎”,数据的重建可是需要花费大量时间和精力的,我们更不能因设备的意外丢失而让工作任务无法继续进行下去,所以,我们得使用数据远程(异地)备份措施。

为了帮助各类型的公司指导员工的移动工作安全,也为了差旅人士及广大移动设备的使用者能够获得安全的体验,昆明亭长朗然科技有限公司制作了些许移动设备安全使用指南,希望对您有所帮助。此外,我们还有更多可以用于针对商业环境中的用户安全意识培养的教程内容和素材资源。如果您有这方面的兴趣或需求,请联系我们洽谈业务合作。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898