与智能手机相关的自带设备存在哪些问题?

信息安全 移动的 风险管理 商业风险 手机
2021-09-03 10:44:02

与智能手机相关的自带设备存在哪些问题?

公司越来越多地看到这一点,人们希望在公司网络上使用他们的个人设备,甚至使用它们来工作。因为这些是个人设备,管理员不能像使用公司拥有的设备那样轻松地强制限制。

BYOD 的风险是什么?如果我们陷入这种情况,我们可以采取哪些措施来确保安全?

3个回答

这是一个非常广泛的问题,没有单一的答案。一些类别的挑战和风险包括:

  • 减少控制。 公司必须采取员工选择的任何设备,并且失去对它们的控制。该公司还可能降低了控制这些设备上软件的杠杆作用。

  • 依赖。 公司变得依赖于其员工设备的安全性和可用性。公司管理这些设备变得更加困难。

  • 异质性。 公司不能再对单一设备进行标准化,而是必须准备好支持广泛的设备。例如,如果公司通过 Web 服务提供内部服务,它不能只针对 IE:它已确保该站点可以与所有员工的设备一起使用。

可以考虑的一些潜在保护包括:

  • 服务器端安全。 架构师服务,因此它们对用户设备的安全性的依赖程度较低。例如,将数据存储在服务器(或云中)而不是最终用户设备上。

  • 与员工一起工作。 使您的员工能够保护自己设备上的数据。为他们提供这样做的资源和动力。教育他们了解需求并帮助减少安全障碍。

  • 基于网络的服务。 通过 Web 和 HTML5 提供内部服务,而不是作为原生应用程序。(诚​​然,这已经是一种常见的做法。)如今,网络是最不常见的。

  • 具体技术。 正在开发一些产品和特定技术来应对这一挑战。例如,一种是最终用户设备上的全盘加密或软件加密。另一种是使用虚拟机或其他机制在设备的工作和个人使用之间提供强有力的分离,以便个人使用不会危及工作数据的安全性 - 反之亦然,以便员工的个人活动保持私密(因为它们是不关他老板的事)。如果员工的设备丢失,还有一些产品可以促进远程擦除和远程禁用。但是,需要远程擦除功能的雇主应该竭尽全力让员工轻松备份他们的设备——否则,远程擦除可能会给员工带来重大损失。

  • 建立界限。 公司可以帮助建立明确的界限。始终连接的设备(智能手机等)的广泛增长已经改变了人们的工作方式,以至于许多人在工作中有效地感到“随叫随到”,而十年前情况并非如此。您会看到许多人在工作时间之外查看工作电子邮件并感受到由此产生的压力。这可能感觉更有效率,但有一些理由相信,从长远来看,它会损害员工的效率——因此,公司可以通过建立一种鼓励公司设定界限并在工作之外拥有个人生活的健康文化来提供帮助。

  • 拥抱潮流。 看积极的一面;BYOD 正在普及,因为它带来了重大好处,例如降低公司的技术成本、提高员工生产力、提高员工士气以及提高灵活工作时间的灵活性。所以,不要过多地陷入风险——当然,必须管理风险,但安全人员的主要工作应该是说“是”,而不是说“不”。IT 安全部门可以将此视为获得推动者声誉的绝佳机会,而不是进步的障碍。

BYOD 的一个风险是它降低了系统管理员和帮助台成本的想法。这是一个神话,但它会极大地损害生产力。使用 BYOD,用户自己负责库存和更换故障部件。但是他们仍然需要连接到内部网络并在企业应用程序(即内部网网站)方面得到帮助,并且由于 BYOD 可以使硬件和操作系统发生很大变化,因此这些任务的管理成本往往会增加很多。所以不要让 BYOD 成为成本杀手;它行不通。BYOD 的存在是为了让员工感到更快乐和更有责任感。

BYOD 的另一个问题是合规性。如果公司开发与安全相关的软件并通过某种认证(如 EAL 2+ 级别),那么开发环境就会被考虑在内,并且该环境中不受控制的机器的存在可能会影响认证过程。简单地说,当开发人员的机器超出任何安全策略的范围时,很难保证没有后门被插入到应用程序的代码中。

第三个风险是关于边界的。@DW 的出色回答指出,用户应该在工作和个人生活之间划清界限,因为工作侵入个人生活会损害后者,进而损害员工的整体生产力。它也在另一个方向起作用:将个人生活侵入工作区也会破坏生产力。众所周知,工作中的一些非工作的事情可以帮助人们度过一天的工作(这就是喝咖啡的意义,真的);众所周知,这可能有些过头了。如果员工有自己的设备,那么他们可以带来自己的休闲。BYOD 的理论是员工感到被授权和负责,这使他们比如果他们的环境不那么开放,他们会沉迷于更少的懈怠。实践,一如既往,完全符合理论......在理论上。

我在哪里,感知到的问题是:

  • 支持成本 - 公司将承担实际上不是问题的负担(您好帮助台,我如何配置我的 Whizzbang 3728-T 以访问 VPN?)

  • 不受管理的用户设备成为恶意软件进入受控环境的渠道

  • 此设备上的数据没有得到充分保护,并且设备更容易受到物理丢失

  • 并因数据丢失而受到损害

  • 数据泄露 - 用户故意在公司控制之外存储公司数据 - 例如使用基于云的应用程序来维护地址簿

就个人而言,我不同意网络内部和外部在安全性方面应该有很大不同的想法(是的,防火墙策略应该不同 - 但只是为了减少噪音)。但我不得不承认,并不是每个在这里工作的人都有技能/时间将自己的设备维护到合理的标准。

管理员不能像使用公司拥有的设备那样轻松地强制限制

这是一个棘手的问题。

首先,您的断言不一定是正确的。您应该有足够的控制措施,仅将设备带入您的工作场所并不能提供对您可能认为受限的服务的访问权限。

一旦出现这种情况,作为管理员,您可以对该访问实施某些限制。现在有很多工具可以提供远程擦除和远程访问——但是您需要解决如何将公司数据与用户数据分开的问题。您是否应该要求您的用户放弃他们的隐私?您是否应该花钱购买安全软件以安装在非公司设备上?

限制对网络的访问(没有电子邮件的下载功能)和/或远程屏幕对解决问题大有帮助。(我最近发现了一个纯 HTML5/javascript VNC 客户端——太棒了!)

其它你可能感兴趣的问题
上一篇监控某人互联网流量的方法 下一篇帮助确定应用程序/协议服务特定端口的工具/方法