在智慧型手機、平板電腦出貨量持續攀高的帶動下,企業開放BYOD(Bring Your Own Device)的風潮也日盛。根據Gartner公布的調查報告顯示,至2016年時,將有38%企業不再配發裝置給員工,而是允許員工在公司使用自行攜帶的設備,包含智慧型手機、平板電腦,乃至於筆記型電腦等,但公司是否會補助裝置費用,則尚無明顯趨向。
企業採行BYOD的最大好處,在於只需與員工協商補助資訊設備的制度,無須投入大筆預算及採購維護,即可讓公司運作快速邁向行動化,建構競爭對手難以超越的障礙。不過,全球各國對BYOD看法仍存有極大差異,如歐洲對此創新做法保持疑慮,關鍵在於擔心可能會侵害到員工生活權益,而美國企業對BYOD的接納度則是歐洲兩倍,至於印度、中國及巴西等地的企業,多半同意員工可在工作上使用智慧型手機。
Gartnet認為BYOD的普及率愈高,代表資訊長已願意接受一項長久存在的事實,即員工在某種程度上會將公司設備用於私人用途,但在處理公務時,亦會使用個人慣用的資訊設備。
面對此一趨勢,資訊部門應該明白制訂出可支援的平台種類、行動裝置型號,以及員工可獲得的支援服務等級。尤其在提供員工選購工作用設備的建議清單之餘,也應該告知一旦發生資料外洩事件,員工必須承擔的責任和風險。
BYOD有利有弊 安全與效率須兼顧
一般而言,企業引進BYOD的優點,大致上有提高員工工作效率、降低設備購買成本、提高工作滿意度、增加員工向心力、有利招聘新員
工等。而在Forrester
公布的研究報告中,便顯示在企業中使用智慧型手機的員工,未來12個月的工作效率可望提升58%。
|
▲微軟推出的MDM解決方案,是少見的雲端應用服務,只要以租賃方式即可享有行動設備管理功能。 |
然而引進BYOD也是一種利弊互見的政策,有著提高企業競爭力的優點,自然也有不可忽視的缺點,如公司資訊被意外揭露,員工或顧客的隱私安全與個資遭竊問題,以及增加了資安防禦難度和監控風險等。而根據資安公司統計發現,目前針對Android平台設計的惡意程式數量,已經高達200萬支以上,但一般用戶卻普遍缺乏安全機制,顯見行動設備面臨的資安威脅遠大於個人電腦。
然而多數企業卻仍抱持鴕鳥心態,儘管會擔憂發生資料外洩事件,但卻又未曾制訂一套完善的BYOD政策。資安業者CheckPoint的調查就發現,此種消極面對的作法,反而會讓企業蒙受極大的經濟損失,雖然有93%的企業已支援BYOD環境,但其中就有79%曾遭遇與行動裝置相關的安全事件,損失金額大於10萬美元的比例更超過70%,甚至有20%損失金額高達50萬美元以上,而且企業規模大小與損失金額多寡成正比。
儘管BYOD帶來的風險不低,但有建立管理措施的企業卻不多,有高達63%並未針對個人行動裝置上可存取的公司資訊進行控管,尤其營運規模越小的企業,制訂管理措施的比例越低,在CheckPoint的調查中,員工1,000人以下的公司即有高達83%沒有制訂任何行動裝置管理措施。
行動裝置資安漏洞多 靠資安工具協助管理
儘管BYOD是因智慧行動裝置普及之後所引發的新趨勢,但絕非企業第一次遇到員工想攜帶慣用設備到公司使用的問題。早在幾年前無線網路環境開始普及,以及筆記型電腦價格快速滑落的時代,資訊人員便曾經遭遇過類似的挑戰。只不過當時筆記型電腦的作業系統多半與桌上型電腦相同,因此基本上只要員工願意遵守公司政策,並願意納入資安防護架構管理即可。
相較之下,現今行動裝置引發的資安問題便顯得極為複雜,首先是行動設備使用的平台,如iOS、Android等等,都與企業內部常見的Windows完全不同,根本不可能套用現有資安防護機制,以致於很容易成為駭客入侵的管道。
例如目前已有許多惡意App,假借改善網頁瀏覽速度等名義,卻在使用者安裝之後,偷偷蒐集操作行為作為廣告用途,更可在員工登入公司內部網路後,收集各種應用伺服器中的資料,經由合法管道將商業資料回送到駭客組織手上。
落實網路存取管理 可快速降低資安風險
在BYOD時代來臨之際,企業應該從資料重新定義分類、建構網路存取機制、架設行動裝置管理方案、打造DLP防護措施等步驟著手,才能真正做到保護資料安全。資訊人員應以資訊生命週期管理的概念,重新定義不同資料可被存取規範,畢竟行動裝置與筆記型電腦的特性不同,沒有必要對智慧型手機開放所有功能,例如不妨先從僅允許員工透過行動裝置,在公司外讀取機密等級較低的資料著手,其餘則均一律只能在企業內部中存取,即可兼顧工作效率與安全性的雙重目的。
|
▲Fortinet認為一套完善的網路存取控制平台,應該要涵蓋遠端存取、有線網路存取、無線網路存取等三大面向。 |
其次,當企業建構網路存取控制平台後,即可確保員工能在安全無虞的網路環境中,利用手邊行動裝置存取應用伺服器上的資源。而一套完善的解決方案,應該涵蓋可辨識裝置種類、網路使用者身份的管理工具,以及辨識網路連線方式例如4G網路或Wi-Fi網路等,並依照不同連線方式給予最佳的安全防護機制。
當前兩步驟都完成之後,接下來才是引進MDM(行動裝置管理)解決方案,先在行動設備中安裝代理程式,再透過管理平台掌控設備運作狀況。一旦遺失或被竊取,則可立即透過遠端管理工具刪除資料,彌補消費性產品先天安全性不足的問題。至於最後一項工作,則是藉由導入DLP解決方案,減少商業機密外洩機率,避免大量個資遭到濫用,即使不幸發生資料外洩事件,也可追溯源頭進而究責求償。
當然,所有的措施不見得必須一步到位。眾至資訊產品經理王建忠指出,引進MDM等工具的成本較高,對IT預算有限的中小企業而言,不妨先著重在建構網路存取控制平台上,便能夠大幅提高商業機密的安全性。