员工自带计算设备的安全保密管理实践

回顾历史,为了保障信息安全,使员工只可以使用公司(或其他类型的组织机构)的计算机设备,通过移动方式访问公司资源(例如电子邮件)的方式,曾经是非常受欢迎的。由于设备属于公司,因此公司可以完全控制设备的配置、使用和安全性。但是时代在变化,随着消费性移动计算设备的盛行,企业级的移动计算再也无法回避员工自带计算设备。

近年来,个人购买供私人使用的面向消费者的移动设备,如智能手机、平板电脑等等具有执行电子邮件、通过网络访问文档、运行基于Web的应用程序等功能。已经购买了此类设备以供个人使用的员工更愿意使用该设备进行工作任务或业务交易,而不是额外携带一份公司分配的计算机设备。

对此,昆明亭长朗然科技有限公司移动计算安全专员董志军称:随着云计算和移动化的深入渗透,传统的信息安全控管方式面临着新的挑战,如何控制员工在工作过程中安全地使用自己的个人设备访问、存储和传输企业拥有的信息,成为IT、安全与保密人员们的共同难题。如下,我们将与您一起分享让员工自带计算设备的安全保密管理实践。

一、确定访问公司的网络和数据的人员

这一点明显,也是最基本的。通过加强用户账户管理,可以最大程度地提升信息安全性。及时清除不再需要远程访问公司的人员账户,定期检查哪些帐户可用于公司的电子邮件服务、VPN服务、内部具有自己的用户数据库的网络应用程序等等。看其中是否有不应该(如已离职人员、承包商等)的访问活动,是否有活动异常的帐户(如大量不成功的登录等等)。

二、确定用户们可以远程访问哪些数据

公司的某些特定信息有着特殊的价值,如果落入外部人员的手中,会使公司受到损害,因此必须小心保护。严格控制敏感或涉密数据的访问人员,并记录详细的访问记录,有助于降低数据泄露的相对风险。因此,需要花费足够的精力来控制对具有最敏感数据的访问,可以不花力气或使用少量精力来控制对具有低风险数据的访问。

三、确保能够配置员工的移动计算设备

对于公司数据,移动设备特别受关注,因为它们极易遭受物理损害。如果某员工的设备落入他人手中,则该员工用权访问到的所有工作数据都面临着丢失或泄露的风险。所有主流的移动设备平台中都存在安全漏洞,最有效的防御方法是,确保正确配置所有将用于访问网络的计算设备,以减少从设备中丢失数据的风险。使用准入控制工具,在进行账户管理如添加新账号工作时,对终端移动计算设备的安全配置进行检查,是一种有效的控制手段。

四、制定员工移动计算设备使用管理规范

确保员工安全配置其设备的最基本方法是向他们提供口头或书面说明,说明如何执行此操作并期望他们遵守相关政策。不过,这种方法存在潜在的问题,即使是勤奋的员工,也往往会忘记指令,除非进行严格的培训,否则他们可能会在第一次交流后按照说明进行操作,但是随着时间的流逝,他们会忘记,而让他们的设备陷入更具风险的配置中。一项最好的方法是借助工作来确保规定的落实,使用可以自动报告设备配置并帮助或强迫员工进行安全设置的工具。今天最常用的工具是移动设备管理工具。也有一些轻型的“移动设备审核”工具,可以不用完全控制员工们的移动计算设备,同时获得该设备安全配置的报告。

五、确保移动管理工具不会损害用户隐私

要知道,即使员工们将其移动计算设备用于访问公司业务数据,设备仍然属于员工所有。因此,取得能够满足双方需求的平衡很重要。公司需要一种确保设备安全配置和使用的方式,以减少丢失公司信息的风险。员工们需要在不直接损害业务数据安全性的情况下将其用于个人用途。因此,要让员工们知道其雇主无权访问不需要访问的信息和内容,它们可能包括GPS位置、个人通讯内容如非企业帐户上的短信或电子邮件等等。一方面尊重员工们的个人隐私,另一方面也避免由于滥用隐私招致法律问题。

六、与员工们保持清晰的安全政策沟通

公司需要清楚地告知使用自带计算设备的员工们,他们正在使用的设备会受到必要的监视和控制。例如:公司可以监视哪些数据?公司可以修改哪些设置?公司将如何使用有关其设备的信息?用户设备使用相关的数据保留期有多长?等等。切记,如果公司需要审核或控制员工个人计算设备,那么可能需要签订书面协议,明确说明可以在其设备上查看或修改的信息。同时,让员工们了解自己的移动安全职责也很重要。这些职责包括:保持设备的安全性配置、及时报告可疑活动、立即报告设备丢失情况或可疑的数据泄露、确保用于公司审核的应用程序处于启用状态等等。

七、制定有关处理数据泄露的响应计划

需知,数据丢失的风险只能降低到适当的水平,而不能完全被消除。从风险管控的科学角度讲,完全消除任何数据泄露的风险的成本是非常高昂的,也几乎是不可能的。因此很有必要为发生数据泄露时的处理做好准备。建立移动计算设备数据丢失应急响应计划,及时通知安全响应团队、立即对受影响的系统进行配置更改、甚至可能会进行必要的取证活动等等。不怕一万,就怕万一,建立了响应计划之后,在遭遇意外的移动计算安全事件时,能够有效地遵循该计划,采取正确的应对行动,将损失降至最低限度。

八、让员工们体验移动计算的快乐和便利

进行上述系列安全控管需要计划、精力和资源支出。不过,这一切努力都会有所回报。公司管理人员能够看到数据遭遇丢失或破坏的风险得到了系统性地减少,员工们会因为他们可以将私人移动计算设备用于工作而感到兴奋,进而提高生产力,而不是觉得公司僵化的政策阻碍了他们的成功。

九、定期审核上述安全工作并不断改进

需要补充的是,随着时间的流逝,定期检查以上提到的所有操作实践非常必要,这是因为IT系统会随着时间的推移而变化,因此,请务必使流程和工具与业务信息系统的当前状态保持更新和一致。当然,对于信息安全与保密管理工作来讲,没有最好,只有更好,不断改进工作是专业人员职业成长和发展的动力,也是保持公司信息安全状态不断迈向更高成熟度的方法。

回顾上述几条关于员工将个人计算设备用于移动化工作的安全保密管控实践,我们不难发现,要保障公司信息数据的安全,需要将安全政策与技术要求、终端计算设备、人员安全意识等因素有效结合并联动起来,这就需要IT、安全、保密团队密切合作,并加强与员工(用户)们的安全沟通。昆明亭长朗然科技有限公司专注于帮助各类型组织机构提升员工们的信息安全意识,我们帮助客户策划和制定安全意识培训及沟通计划,并提供各种安全意识课程内容资源,以及安全宣教教育活动的支持。欢迎有兴趣和有需要的客户,以及合作伙伴联系我们,洽谈业务合作。

  • 电话:0871-67122372
  • 微信:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898

携带个人设备时代的数据安全

cook-ipad-mini2
后PC时代,消费电子流行,携带个人设备 Bring Your Own Devvice (BYOD) 来势汹汹,不少员工开始使用自己的智能手机或平板电脑用于工作场所,当然在办公室之外更是如此。

设备是员工们的私人资产,却传输、处理和存储了公司(本文定义包含其它非商业的组织机构)的重要信息数据,这的确带来一些信息安全方面的挑战。不少大型组织机构的信息安全管理负责人已经开始严肃对待这件事情,至少我们可以有两方面着手行动:一、从政策和管理层面加强监管,传统的设备及应用的登记、批准、审核等一套标准化的作业流程逐渐被开发、发布以及落实。二、从技术控管方面层面评估、开发或采用适当的移动设备管理 MDM 解决方案。

其实,除了上面两招之外,我们要弄清楚的一个事实和趋势是:借用于云计算的威力,移动计算时代的信息安全威胁已经不能依靠传统的中央控管和边界安全了。这是怎么回事呢?我们已经无法像十年前那样,将信息数据、计算设备和终端用户固定在办公室或大院内。

聪明的信息安全管理团队开始从业务信息安全方面着手,在保障IT基础架构安全之外,紧紧抓住海量的终端数据、智能设备及移动用户,这虽然算不上什么创新,但无疑是一个大的关注角度和焦点的变换。

终端本身即包含设备、信息,也包含使用以及操控它们的最终用户,既然这些终端能逃出中央控管和边界保护,那为什么不让最终用户担负起终端最基本的信息安全保护职责呢?也正是这些最终用户,才和业务成功息息相关。

搞信息安全管理的,在后台埋头苦干,让基础架构固若金汤,也难让业务方面的经理和总监大佬们理解和认可。昆明亭长朗然科技有限公司移动安全观察员James Dong提议:要让信息安全真正体现出价值,要让信息安全与业务战略、目标及需求保持一致,要转换思路和方法,一方面从关注信息系统的安全转换到关注业务信息的保障,特别是业务流程所严重依赖的信息流的安全,除了在信息系统后台的那些不为非IT人士所理解的数据库存储、中间件应用之外,最多的就是用户终端。

想在业务信息安全方面有所作为,被负责业务的总监经理们理解和认可,焦点应该转向用户终端的信息数据安全。终端安全显然不再是个人电脑的杀毒以及安装个人防火墙这么单纯——这些毕竟还是很简单的技术活,要从最终用户所知晓和处理的业务流程和数据入手。

还有一个重要的是我们还需要适当的“秀”,我们谈论的“秀”不是贬义词,而是在展示信息安全对业务成功的价值,当然目的还是获得高管们对信息安全工作的理解和支持。高管们了解员工们的工作与信息安全的关系,信息安全需要高层的支持,所以也需要高层参与进来“秀”给全公司、客户甚至供应链,以表公司高层对信息安全工作的重视和承诺。

回到BYOD,信息安全管理团队最应该做的,是拉上高层赞助者来向全体员工“秀”一“秀”移动信息安全的重要性、最终用户应该注意的安全事项、并且展示出保护移动信息安全的一些最佳实践。这样,高层领导即在移动设备信息安全方面做了表率,又显示了工作方面的尽职尽责,还让信息安全沟通工作变得更加顺滑,真是一举多得!

在技术控管方案上面即使花费大量资源,也很难赶上移动设备更新换代的速度,手机厂商使用浑身解数来增加新功能,可穿戴式计算设备蓄势待发,AI设备蜂拥而至……此外,在安全控管技术上追随的步伐也难赶上破解者的速度,而从最终用户的移动设备信息安全意识爬起,则能以不变应万变。

携带个人设备时代,我们可以有多种应对方案,最有效、最轻松、也最能彰显成绩的,无非强化对最终用户进行信息安全意识教育。昆明亭长朗然科技有限公司设计和制作了简单易用的移动设备安全使用培训课程和动画视频,可供有需要的客户参考、借鉴和购买使用。除了移动计算安全之外,我们亦有数百部其它安全意识动画视频和交互式游戏培训课件,欢迎有需要的安全宣教负责人员和我们联系,也欢迎有兴趣有渠道的合作伙伴加入我们。

昆明亭长朗然科技有限公司

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:[email protected]

QQ:1767022898