起草BYOD安全策略时需要考虑的7个要点

带上您自己的设备(BYOD)的做法正在增加; 据Gartner称,到2017年,一半的企业员工将提供自己的设备。

推出BYOD计划并不容易,安全风险非常真实,但制定安全政策意味着从长远来看可能会降低成本并提高生产力。在起草BYOD安全策略时,您需要考虑以下七项事项。

合适的团队

在为工作场所制定BYOD的任何种类规则之前,您需要合适的团队来起草政策。

“我所看到的是来自人力资源部门的人员将起草政策,但他们不了解技术要求,因此该政策并未反映公司的业务,”佛罗里达州律师塔蒂亚娜梅尔尼克说道,他专注于数据隐私和安全。

该政策应该反映企业的实践,具有技术背景的人需要领导起草,而法律和人力资源的代表可以提供建议和意见。

“公司应考虑是否需要在政策中增加额外的条款和指导,例如,使用Wi-Fi并允许家人和朋友使用手机,”Melnik说。“有些公司选择限制可以安装的应用程序类型,如果他们将员工的设备注册到移动设备管理程序中,他们就会列出这些要求。”

加密和沙盒

任何BYOD安全策略的第一个重要内容是加密和沙箱化数据。加密并将数据转换为代码将保护设备及其通信。通过使用移动设备管理程序,您的企业可以将设备数据分为两个不同的方面,即业务和个人,并防止它们混合,富士通美国最终用户服务高级主管Nicholas Lee解释说,他负责领导BYOD政策富士通。

“你可以把它想象成一个容器,”他说。“您可以阻止复制粘贴并将数据从该容器传输到设备,因此您拥有的所有企业都将保留在该单个容器中。”

这对于删除已离开公司的员工的网络访问权限特别有用。

限制访问

作为一家企业,您可能需要问自己,员工在特定时间需要多少信息。允许访问电子邮件和日历可能很有效,但是每个人都需要访问财务信息吗?你必须考虑你需要走多远。

“在某些时候,你可能会决定,对于某些员工,我们不会允许他们在网络上使用他们自己的设备,”Melnik说。“因此,例如,[如果]你有一个可以访问所有公司财务数据的执行团队,你可以决定对于某些角色的人来说,他们不适合使用他们自己的设备,因为它太难控制它并且风险太高,这样就可以了。“

这一切都取决于IT的价值。

播放设备

您不能只打开任何和所有设备的闸门。列出您的BYOD政策和IT团队将支持的设备清单。这可能意味着将员工限制在某个操作系统或满足您安全问题的设备上。考虑向您的员工询问他们是否对BYOD感兴趣以及他们将使用哪些设备。

FocusYou的William D. Pitney在他的财务规划公司中只有两名员工,他们都已迁移到iPhone,之前曾使用过Android,iOS和Blackberry。

“在迁移到iOS之前,它更具挑战性。由于每个人都选择迁移到Apple,因此管理安全性变得更加容易,”他说。“此外,每月一次,我们讨论iOS更新,安装应用程序和其他安全协议。”

远程擦除

2014年5月,加利福尼亚州参议院批准立法制定“杀人开关” - 以及禁用被盗手机的能力 - 在该州销售的所有手机上都是强制性的。BYOD策略应该遵循,但您的IT团队需要具备这样做的能力。

“如果你需要找到你的iPhone ......它几乎可以立即使用GPS级象限,你可以在丢失设备的情况下远程擦除设备。同样的事情适用于企业设备。你基本上可以从公司容器中取出设备,“李说。

这项特定政策面临的挑战是,所有者有责任在设备丢失时进行报告。这将我们带到下一点......

安全与文化

BYOD的主要好处之一是员工正在使用他们熟悉的设备。但是,员工可能会陷入不良习惯,最终可能会因未及时披露问题而隐瞒安全信息。

企业不能从袖口跳到BYOD。潜在的节省资金很有吸引力,但可能的安全灾难更加严重。如果您的企业对使用BYOD感兴趣,那么推出一个试点计划比首先进行潜水更好。

就像FocusYou的月度会议一样,公司应该定期检查哪些有效,哪些无效,特别是因为任何数据泄漏是企业的责任,而不是员工的责任。“一般来说,这将是公司的责任,”梅尔尼克说,即使它是一个有问题的个人设备。

公司可能拥有的唯一防御是“流氓员工辩护”,员工明显在其角色范围之外行事。“再说一次,如果你的政策不在政策范围内,那么你就必须制定政策,”梅尔尼克说。“如果没有政策,也没有关于该政策的培训,也没有迹象表明该员工了解该政策,那将无济于事。”

这就是公司应该有数据泄露保险政策的原因。梅尔尼克补充说:“违规行为一直在发生,对于没有制定政策的公司来说风险很大。”

编纂政策

Iynky Maheswaran是澳大利亚麦格理电信的移动业务负责人,也是一份名为“如何制定BYOD政策”的报告的作者,鼓励从法律角度和技术角度进行预先规划。这让我们回到了拥有合适的团队。

Melnik重申需要签署雇主/雇员协议以确保遵守政策。她说,必须“清楚地表明他们的设备必须在诉讼时被翻转,他们将要使设备可用,他们将根据政策使用设备,所有这些因素都在签署的文件中得到承认。“

这样的协议将支持您的政策,并给予他们更多的重视和保护。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。