David Chuang の觀網 兆益數位莊盛祺的部落格
對於大多數的組織來說,「自行攜帶行動裝置」(BYOD,Bring Your Own Device)是一種生活的形態或不久將是,人們希望使用同一個行動設備在工作上和私人生活方面,並且想要有選擇他們想要使用行動設備的自由,組織在招聘及留住優秀的員工中面臨更多的挑戰,企業必須要更能夠容許員工使用某些行動裝置(BYOD),若是這樣,將可以增加員工生產力以及溝通效率,因為他們好像一直都在連線中。
然而,BYOD也產生一些值得注意的安全性挑戰,大多數的挑戰源自於儲存在行動裝置的敏感性資料,國際電腦稽核協會(ISACA)有發佈一套可以協助保護行動裝置的執行指引,組織可以要求BYOD使用者遵循該指引以確保安全。此外,BYOD使用者會經常連線到雲端存取與工作相關的電子郵件和共用檔案,這也會帶來了一些特殊挑戰。
例如,考慮到自行攜帶行動裝置(BYOD)以及為商業目的使用Dropbox或相類似雲端檔案分享服務,大多數組織使用Dropbox是便於在使用者間分享檔案資料,即使那個是敏感性檔案資料,這些儲存在Dropbox上的文件均有使用256-bit AES加密演算法(不論是否在進行傳輸),這種等級的加密對於大多數企業是足夠的,一般來說,這些文件會自動與行動裝置進行同步,所進行同步的行動裝置皆為組織或公司所擁有,可能不會有安全上的問題,但是若是自行攜帶行動裝置(BYOD),員工等於是同步了敏感檔案的副本到自己的行動裝置中。如果該裝置被偷竊或意外遺失,這些敏感性資料可能會被洩漏,資料也可能被破壞。
如果這是企業所關注的問題,企業可以透過制訂政策來規範BYOD使用者只能存取特定的共用文件且禁止使用者儲存副本。這對於使用Dropbox的用戶來說是非常簡單就能達成的,相似的政策也能應用在使用「雲端平台」(cloud-based)的電子郵件服務(例如:Gmail)。舉例來說,企業可制定使用者僅能透過瀏覽器,或者是特定應用程式(App)來讀取電子郵件的政策,而不是允許將郵件中的內文及附件儲存在裝置中。
如果潛在敏感性檔案和電子郵件允許儲存在本機,也有可以採取額外的預防措施,本機數據加密,特別是在筆記型電腦上,是一種選擇,智慧型手機、平板電腦及其他軟體,即使筆記型電腦通常具有遠程擦除能力,假如這項裝置遺失了,將可被啟動觸發,理想情況下,遠程擦除功能應該不僅是使用者的BYOD而且他們的IT部門可以在設備上觸發啟動。此外,PINs,密碼,兩步驗證或生物特徵辨識,必須被用來保護對設備的存取。如果他的行動裝置沒有這樣的身份辨識功能,應該禁止對公司網路或雲端進行資料取的作業。
當然,資訊安全政策應強制規範個人工作檔案分享要保持隔離,以使用Dropbox的情形為例,對每一個裝置使用單獨的Dropbox帳戶。否則,員工想要去共享敏感資訊,可能在不經意間分享給朋友和家人。
由於BYOD是生活的事實,很可能正在與雲端中的工作結合使用,組織需要審查和更新他們的安全策略和安全意識教育訓練,以確保敏感性資料的安全。
Rob Clyde, CISM
CEO of Adaptive Computing
ISACA International Vice President
