自带计算设备比新冠还毒

如果一家企业允许自带设备,要么这家企业没有什么需要保护的重要信息,要么这家企业的数据安全将面临巨大风险。新型冠状病毒不断出现新变种,威胁着人类的生命健康安全。对此,昆明亭长朗然科技有限公司网络安全专员董志军称:与之对比,自带计算设备对企业的信息安全威胁,也足以匹敌正在世界上大肆流行的冠状病毒。

有人说,我们可以使用移动设备管理安全解决方案。的确,移动计算越来越流行,越来越受到企业的追捧。尤其是受到病毒影响,人员进行隔离期间,在家工作、远程工作,不就得靠移动计算么?但是,实际的情况远比表面看起来复杂。

通过打造安全的网络通讯连接,如VPN,或者云计算,某些岗位,如销售、客服、人资、财务等岗位,某些行业,如互联网行业、数字媒体行业等行业,完全可以在家办公。但是,硬核实物产品的设计研发、测试检验、生产试作、批量制造、供应采购、仓储物流,涉及到实物的保密,现场层层的安全保护措施,都难以完全抵挡大意失密,或者恶意窃密的情况,何况允许员工自带计算设备进入。

对于层层的安全防范,安全专家们称之为“多重防御”、“立体防御”。如果放开自带计算设备,如同为病毒开了一个口子,让病毒“无孔不入”一样,很多现代的科技公司,在这方面的安全意识和管控措施远不如传统的制造业。这就类似崇尚“自由、人权、民主”的西方社会,很难控制住冠状病毒的传播,而东方式的“集权体制”却可以在一定程度上实现病例“清零”的原因。

很容易理解,让我们做个对比:金融科技公司的员工们,个个是“天之骄子”,工作环境好、福利佳,员工们自然想要将个人手机带入办公区,而管理层得考虑“留住人才”,不得不让步;而制造业的员工们,中学毕业文凭都混不来,大都是些偷奸耍滑的“打工人”,也只能干些简单的手工话儿或力气活儿“混饭吃”,不让你带手机进工作区,主要是怕影响了工作效率,当然,也有安全保密的考量因素。

也有些小型科技公司的小老板为了贪图便宜,不想购置如笔记本电脑等计算设备,如果员工们肯使用自带设备来用于工作,那不是很好吗?这种短视的做法,令人不齿,也带来安全隐患。

如果IT或小公司老板允许员工们在个人计算设备上安装业务所需的所有软件,那么事情在某些时候将不可避免地出现问题。

首先,雇主可以合法地强加给员工的界限是有限的。例如,他们无法精准控制员工在使用设备时将访问哪些网站。

其次,该设备在工作时间以外个人使用时可能会受到恶意软件的影响,然后在带回办公室时可能会感染工作信息系统。

再次,雇主无法控制是否允许朋友和家人使用该设备,因此不一定能够阻止他们访问敏感的公司数据。

还有,安全隐私不仅对公司而且对员工都是一个重要问题。正如企业希望他们的文件保持私密性一样,员工也希望公司不要过度干涉到自己的个人隐私。

笔记本电脑、平板电脑、智能手机、可穿戴式智能小玩艺儿,它们之间的界线越来越模糊,但是它们都是强大的计算机,可以拍照录像(窃密),可以联网(窃密、泄密)。而如果它们的所有权是员工私人,而非公司,那么在任何时候,员工们不太可能允许IT经理或小老板拿走该设备进行调查。

因此,当允许员工将自己的设备带入工作场所时,会出现许多数据安全问题。那要怎么办呢?“零信任政策”与“清零政策”有异曲同工之妙,拒绝自带计算设备,不适合某些“开放性”较强的行业或岗位,而却是另一些对保密性要求较高的行业及岗位的最佳做法。很多科技企业的研发部门,对进出的员工进行金属探测和“搜身”,其严格程度,堪比机场安检。这种做法虽然苛刻,也是情有可原,原因无非是在激烈的竞争环境下,内部人员窃密泄密,带来的损失太大,大到无法承受之重。

当然,企业也可以采取一些措施来提高工作场所的数据安全性,比如可以使用云存储来远程访问数据,而不是将信息存储在个人设备上。当然,这也需要更多的云存储配套安全措施,如访问监控和审计等等,以防敏感信息被不当获取和泄露。

总之,对于自带计算设备的态度,“宽政猛于毒”。组织机构应该根据自身的实际情况,评估窃密泄密风险,并以此为基础,制定合适的自带计算设备政策。比如,在开放式的办公区域,允许员工有限制地带入和使用私人手机,在涉密区域或场所,禁止任何私人电子设备的进出。当然,同时,也需配合相应的保密协议及沟通教育,以获得员工们的理解和支持。唯有如此,才能在获得保密成效的同时也获得员工们的人心,以及高效的生产力。

昆明亭长朗然科技有限公司推出了大量的网络安全与保密意识宣传教育内容,包括动画视频、平面图片和电子课件资源,其中也有网络安全与信息保密相关的法规科普,以及员工们需知的数据安全保护知识,欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品以及洽谈采购合作。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com

自带计算设备BYOD带来的安全问题探讨

移动应用越来越丰富,移动计算设备在日益风行,许多公司还始为高管以及经常外出的员工配置了移动计算设备以便提升工作效率。

同样也出现不少员工自带设备(Bring Your Own Device,简称BYOD)用于工作。不少公司并未及时制定相应的政策来规范BYOD的使用,甚至还有公司为了节省终端计算设备的开支,鼓励员工BYOD。

BYOD确实可能帮公司省不少钱,可是这种公私不分的方式为公司和员工都带来不少扯不清的安全隐患。简单问一问:如果BYOD在公司丢失,设备算谁的责任,数据又算谁的责任?

撇开法律上的扯皮可能,而从安全管理的角度,BYOD也不可取,但是似乎禁止BYOD又可能影响到员工的工作满意度,不利于节省成本和提高生产力。

有没有折衷的方法?当然有,只是麻烦一些而已,最重要的是需要制定BYOD安全政策、建立BYOD标准以及加强与用户的安全意识沟通。

制定BYOD安全政策主要表明员工和公司双方在BYOD本身及其上数据信息的所有权,员工要使用BYOD要遵循公司的BYOD安全标准和使用流程等等。

BYOD安全标准可参照公司提供的计算终端的安全标准,当然在硬、软件资产上要有些适当的灵活变化,为了方便安全管理,最好指定特定品牌甚至型号的产品,并为BYOD设置特别的客户端安全软件以便加强安全控管。

最重要的莫过于加强员工的信息安全意识教育,由于使用自有设备,数据又是无形的,除了在设备本身之外,员工可能会在非公司指定的其它地方使用或存储数据,而这些地方可能非公司所能控制的范围,例如现在有大量针对移动终端的云存储服务,这些服务良莠不齐,有些甚至是黑客专设的数据钓鱼仓库,贸贸然使用这些服务会带来机密数据丢失的隐患,公司需从制度和技术层面规范数据的存储,并加强用户的安全防范意识。

而有时员工可能无意间通过BYOD设备泄密,WIFI钓鱼盛行,公司应该教育员工在外使用WIFI服务时,通过公司批准的加密安全通讯连接各类网络应用服务,以有效防止攻击者的非法窃听。

虽然BYOD设备归员工所有,上面仍存储着公司的重要信息,所以公司仍应教育员工如何保护这些设备的物理安全,例如出差在外、以及带回家中时如何保护设备免受盗窃和信息偷窥等等。

昆明亭长朗然科技有限公司致力于帮助各类型的组织向员工提供信息安全意识教育,针对BYOD也有推出相应的安全意识培训打包产品,欢迎与亭长朗然的培训专员聊聊您对BYOD的安全顾虑和想法。

此外,我们开发制作了数百部安全、保密与合规相关教程及动画视频,员工们通过电脑、手机、平板等随时随地进行简单的移动式学习和体验,便可了解基础的安全防范理念。欢迎联系我们预览和洽谈采购使用。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898