| 摘要:如今,随着BYOD(自携设备)政策的到位,在企业环境中采用个人设备运行业务越来越成为一种趋势。然而,企业几乎每天都会遭到安全漏洞和恶意软件的侵扰,企业正在寻求一切可能的方式限制或锁定员工在公司拥有的系统或允许用于商业目的的个人设备。现在的口号是:“只访问需要做的工作”。 |
这正在成为影响企业生存的一个问题,但还是不可避免地发生,至少是以增加猜疑和降低士气的形式出现。近日,在一家金融公司工作的IT人员最近差点被解雇。他所犯的错误是什么?就是使用Dropbox软件存储他的工作数据,并没有意识到最近推出的个人云存储服务被禁止的安全规则。
当其公司的安全团队确定他已经将一些包含有关主机数据的电子表格以及当前的漏洞存储到Dropbox时,这个问题变得沸沸扬扬。他并没有故意实施这种错误行为的动机,但事实上,他被要求删除电子表格,卸载Dropbox并签署一份宣誓书,证明他已经采取这两个措施。而企业不想为此冒任何风险。在他保存这些电子表格之前,就已经犯了第一个错误。
采用清晰的电子通信政策可以通过为员工制定准则来防止这种情况,但一些警惕性更高的组织根据其要求进一步提升安全水平。这个趋势只会扩大。
其关键要素是数据以及移动的方式或位置。为了保护企业信息,诸如个人电子邮件,云计算存储帐户,社交媒体以及任何允许传送数据或将其存储在其他地方的元素都要受到限制和监控。这可能不是某个公司的情况,但它将在某个时候将会推广实施。
为了减少这样的错误,建议所有的企业员工遵循以下建议:
•阅读并遵循所有公司政策。
•所有访问和通信都由公司监控。
•所有机密数据都被跟踪,不要误用,不要将其复制到未经授权的位置或与未经授权的人员分享。
•不要使用公司的邮件系统进行个人通信(这应该是一个没有意义的事情,因为免费的基于网络的电子邮件服务已经存在了几十年)。
•监测娱乐互联网站接入,并可能在某个时候完全减少或阻断。这甚至可能包括员工所依赖的在线应用程序来完成工作,比如在GoogleKeep记笔记。
•如果允许,使用个人设备可能会在将来受到限制或禁止。
•不要试图规避安全控制,或者擅自访问系统。
•不要访问任何有争议的内容(无论是内部的还是外部的),如果已经犯了错误,需要向管理人员汇报。
•不参加非工作相关的新闻组/讨论论坛或下载与工作无关的资料。
•不要发出或共享密码或使用公司所有的系统。
•不得访问或共享盗版或版权信息,或窃取公司的软件。
•无论是为了内部还是外部访问,不要将公司的设备和设施用于任何目的。
•如果不遵守政策可能会导致终止合同或遭到法律诉讼。
简而言之,就好像安全人员站在旁边看着人们工作一样,至少在虚拟的意义上。
在此,专家建议不要以任何个人原因使用公司系统或网络,反之亦然。个人的工作电脑是专门用于工作,甚至需要使用单独的浏览器。例如,Firefox浏览器用于专业操作(包括所有书签),而个人采用Chrome浏览器。工作电脑上没有任何与工作无关的东西,家用电脑也没有与工作有关的东西。不在家里访问任何与工作相关的网站。手机包含公司电子邮件和VPN客户机,但没有与任何业务相关的数据。
除了上述最终用户意见外,以下是对企业管理人员和负责企业安全的工作人员的一些建议:
•明确宣布并向员工提供所有新的或更新的政策。
•让员工签署政策以确认已阅读并遵守。
•根据需要进行培训,以教育用户群体。
•以调查或测验的形式获得用户对策略和内容的反馈。
•考虑使用可视措施(如海报或贴纸)来帮助改善政策遵从性。
•使用监控来检测不当的访问或应用程序。
•准备适当的处罚违反政策的违规行为。
•在可能的情况下进行妥协,如允许使用少量娱乐网络,允许个人设备使用或外部公共访客无线网络进行互联网接入(只要这些需要适当使用并且不影响工作)。
最后一个建议可以为所有人带来福音,因为这可以通过智能手机,平板电脑或笔记本电脑为员工或客人提供无风险的互联网访问。这样的安排意味着内部系统受到保护,用户可以在没有影响移动数据计划的情况下上网。或者,在与工作相关的说明中,如果他们使用的基于云计算的网站被公司系统阻止,他们可以通过个人设备访问它们(只要适用的政策/安全部门允许)。
此外要注意的是,员工应该意识到后果,甚至意外的安全违规。无论员工工作多么努力,对公司的忠诚度如何,不要因为无知的错误而将组织置于危险之中。如果安全团队认为某个员工犯了一个不可原谅的错误,那么即使是一个人才,也会照章办事。
编辑:Harris
评论表单加载中...
