Skip Navigation Links首頁 > 產業觀察

產業觀察

企業的BYOD(Bring Your Own Devices) 安全策略

作者/杜俊霖

[發表日期:2013/2/5]
前言

隨著iPhone、Ipad、Android等智慧型手機和平板電腦的流行,加上虛擬化技術和雲端服務的發展,手機與平板已變成人們生活的一部分。越來越多員工會使用行動裝置上網。員工攜帶自己的行動裝置 BYOD (Bring Your Own Devices) 回到工作場所,希望用移動性高的行動裝置來執行日常工作,如:收發公司郵件、簽核文件等。在繁忙的會議中,員工可以不需要回到自己的座位,切換成不同設備,也能執行日常工作。行動裝置提供了更多的工作彈性與效率,因此要求開放BYOD的呼聲愈來愈大。

然而,經常持有行動裝置的員工往往是管理階層,因此也給資訊部門帶來安全問題上莫大的壓力。雖然開放可能帶來一些安全問題與風險,但BYOD卻能提升資訊部門的服務滿意度與員工效率。 所以企業是否支持員工攜帶自己的設備上班,以及制定適當的 BYOD 安全策略,已成為最近熱門話題。

企業的BYOD(Bring Your Own Devices) 安全策略

根據Gartner 或國內外的研究報告顯示, 員工利用自己的行動裝置連接公司網絡的現象越來越普遍。為了因應BYOD 需求,企業可根據本身的資料安全等級與最小權限存取的原則, 提供Online 或 Offline資料存取的政策。 在許多機敏單位, 可能只開放終端伺服器(RDP)或VDI虛擬桌面, 讓相關人員可以存取所需要的資料, 但資料不落地,員工只能看得到所需的資訊, 卻帶不走資料, 確實執行人員與資料分離的政策。 但並不是所有應用系統都適合透過桌面虛擬化來存取,桌面虛擬化會耗掉較多的運算資源,而某些應用並不屬於企業高機密等級,如一般 Web Mail或企業入口網站存取,這時搭配行動裝置管理政策,結合網路存取控制與認證功能的管理平台, 也能提供基本安全需求給一般員工的行動需求。

由於智慧型裝置或平板為企業和員工均帶來不少好處,很多企業已開始考慮, 甚至鼓勵員工攜帶個人裝置工作,這不僅能讓員工獲得工作滿足感和提高工作效率,更有助於公司節省採買和維護設備的費用和營運開支, 但需注意企業控管員工所屬的行動設備,可能引發侵犯個人隱私權的問題。建議企業可以與員工事先簽訂同意書,保障彼此權益。

企業除了部署行動裝置的解決方案外,也須從安全政策與員工訓練著手,才能確保關鍵資料的安全與防止資料外洩。底下從這三方面,介紹企業如何採取有效的安全策略。

一、採用合適的解決方案

企業可以同時納入有線、無線及VPN管理, 識別外部有什麼設備可連上企業內網,確保公司資產的安全存取及管理行動裝置上網。目前企業開放員工使用自己的行動裝置存取的範圍,主要是以電子郵件、入口網站和協同作業等系統,還沒到達完全開放行動裝置可存取所有系統的地步。對於高安全性的機敏資料或系統,可以搭配虛擬桌面, 執行資料不落地政策。另外,也可透過行動裝置管理(MDM)方案、整合協同作業(UC)、集中控管安全存取政策等,建置全面性的解決方案。當企業在選擇合適的解決方案時,必需考慮自身實際需求,建議可以根據不同的職務範圍與資料安全等級,提供有限或加密的資料給被授權的員工,為員工帶來便捷的工作環境。

二、制定安全政策

單憑技術解決方案並不能解決所有問題, 面對不同的行動裝置、以及多種應用程式接入企業內網,企業應及早制定適當的安全政策。安全政策絕對不只是資訊部門的責任,必須邀請法務和人事部門的人一起思考,從技術面與管理面著手。此外, 企業訂定安全政策,一定要得到公司高層的大力背書,否則很容易因其他單位的抗議或抵制,而流於形式,無法執行。實務上,有些科學園區的高科技公司會透過警衛系統, 檢查進出人員與裝置,確實執行資安政策,防止任何不符合安全政策的行動裝置進入公司內網。一但有違反規定的員工或廠商被發現, 會受到懲處或強制參加教育訓練,這都是有效落實安全政策的方法。

三、強化員工安全教育

無論公司採取任何防範措施,資訊安全最終都需要每一位員工來維護。許多資料洩漏、病毒感染的事件並非由駭客或惡意破壞造成,而是因為員工個人疏忽或安全意識薄弱。因此,公司除了投放大量時間和資源,建置各種防護的解決方案外,更應提高員工的安全教育。公司可邀請資安專家與員工分享資安觀念與處理原則,有助員工在企業內安全使用行動裝置。

結語

面對全球吹起讓員工攜帶自己的設備上班的風潮,如何控管這些不屬於企業且移動性高的裝置,將會是一個全新的挑戰。企業可能採取強勢的管理態度,禁止員工將行動裝置帶進公司,但同時阻斷了新技術帶來的好處。 相對地,有些企業會補助員工的行動裝置設備,以換取較多的控制管理權限。不同處理問題的方式,將影響企業的競爭力。面對新的潮流,如何擁抱新科技與新的商業模式,提升效能與善盡保護的責任,將是企業要面對的重要課題。

 

回上層