當員工帶自己的裝置上班後,行動裝置的最終控制權已從企業轉至個人用戶手中。企業必須考慮和採取行動,以因應改採BYOD(自攜裝置)政策所遭遇的衝擊。
當公司改變政策,同意讓員工使用自己的裝置而非公司所提供的行動裝置後,公司對行動裝置安全方面的想法和因應措施將有重大改變。因應行動裝置的政策和工具等都須有所調整,原本提供一般消費等級的安全防護軟體也需相對改變,因為當員工帶自己的裝置上班後,行動裝置的最終控制權已從企業轉至個人用戶手中。
企業必須考慮和採取行動,以因應改採BYOD(自攜裝置)政策所遭遇的三大衝擊:
衝擊一:使用個人裝置功能,可能增加企業資料外洩或安全漏洞的風險。
在工作場所外,員工可自行安裝應用程式和瀏覽各網站。當企業允許員工在個人裝置上讀取企業資料時,企業資訊外洩風險將隨之升高,不僅是因手機惡意軟體越來越多,不慎使用合法但不符安全規定的應用程式亦將為企業帶來資訊流出的威脅。
使用行動裝置管理(MDM)軟體是強化行動裝置政策的方式。員工應在個人裝置上安裝MDM後,方能取得企業資訊,或採用網址過濾工具,以保護和強化企業網路流量管理政策。企業可考慮採用應用程式黑、白名單篩選機制,和集裝箱化(Containerization)等方式,建立企業網路商店、開發符合安全標準的應用程式,並建立符合安全標準的應用程式型錄。
衝擊二:在員工自選裝置,裝置暴增,且安全防護不足時,企業資料難以妥善被保護,並追蹤安全漏洞和更新資料。
從安全的角度來看,企業應有基本的安全限制,加強密碼控制、於非使用時將企業資料上鎖、密碼錯誤次數到達限制自動上鎖機制、資料加密、遙控上鎖和刪除資料。
對配合行動安全政策,網路讀取控制政策也應被使用。採取預防性措施以禁用不合安全規定的裝置,或透過MDM軟體發出警訊。而隨著裝置多樣化,企業也應同時兼顧裝置管理和安全性。
衝擊三:員工自有裝置與資料的所有權,增加隱私疑慮,亦阻礙企業對危其安全裝置採取的修正措施。
大多數員工將存放在個人裝置上的資料視為個人財產,並反對企業在未取得同意前便任意變更儲存資料。當企業從要求員工使用企業提供的裝置改為員工自攜裝置上班後,就將「遙控刪除」功能納入企業行動安全政策中。企業應對此議題予以重視,以避免反彈。另外,「選擇性刪除」即確認裝置是否刪除所有企業資料,或僅刪除部分資料,在實際操作上具相當的困難度。
企業可諮詢法務部門以取得建議,因為刪除裝置內容可能涉及法律問題。若員工拒絕讓企業遙控刪除資訊,恐引發問題。執行遙控刪除任務以及要求員工刪除內容,必須注意時間的緊迫性,因為一旦發現BYOD危及企業安全,而必須刪除裝置內容時,任何訊息交換的延遲都可能對企業構成傷害。因此建議企業要取得BYOD員工書面同意書,顯示在危及企業安全或裝置遺失或遭竊的情況下,其同意讓公司刪除掉自己裝置上的資料。
(本文作者現任Gartner首席分析師)