网络安全 频道

BYOD革命挑战企业IT安全

        【IT168 评论】我想大部份的人都知道,”员工自带设备”(BYOD)的职场革命已经对于企业内部负责维护数据库安全的IT人员投出了一记变化球。由于能够为企业带来降低成本的好处,企业财务部门十分推崇这种新趋势;不过,也不是在BYOD世界中的各方面都是一片光明美好的。这是因为随着许多员工将越来越多的智能型装置带到办公室环境,并连接到企业网络中,使得企业资料外流的潜在风险开始呈指数级增加。再加上目前平板计算机革命以及移动/远端雇员的趋势,更增加危及资料外流与遭受破坏的潜在危机。

  根据一项由格拉斯哥大学(University of Glasgow)进行的调查,经由 eBay 或其它网络店家以及在二手商店购买的二手智能型装置中,约有63%的装置中仍留有原本的资料。这些资料包括个人信息以及敏感的商业信息。这项研究并未包括平板计算机。因此,随着大家所配备的装置越来越创新且先进,我想敏感性资料外流的情形也会变得越来越严重。

  事实上,我们过去也曾经历过类似的处境。回想五年多以前,一项针对从废弃PC与笔记型计算机所取得的硬盘(HDD)与企业信息外流的相关研究发现,企业的机密信息仍留在弃置的计算机硬盘中。因此,在排行 Fortune 500大的几家企业相继发生高度机密档案资料外泄的情况后,电子资产处置(EAD)服务业务也开始起飞。EAD供应商存在的关键价值定位就在于针对企业资料的处置过程──对于企业不再需要的电子资产以有效破坏的方式销毁敏感的资料,并智慧化回收非敏感的资料,从而提供了一个稳定可靠的监管链。

  那么,到了BYOD的世界时有什么不同呢?不管是智能型设备或平板计算机最后不也都在相同的地方吗?没错,但问题是在这个BYOD世界中并没未建立起一个有效的监管链。想想看,如果企业能掌握您的手机、PC或笔记型计算机时,他们就能有效控制内部问题,包括你如何使用、装置上可使用什么软件,以及开机时间与资料销毁方式等等。因此,如果能建立起一个稳定的电子资产内部追踪,并搭配可靠的EAD供应商,那么在大多数情况下,企业是十分安全的。

  然而,在实际的BYOD职场革命下,企业无法掌握个人的IT设备。个人的智慧装置可连接到企业的IT环境。个人与专业设备以及资料的结合无处不在(例如Facebook与LinkdeIn),再加上应用程序(app)革命,因此,你的企业资料早就混杂着连结到网络、云端等各种安全与不安全的接取点了,更别提那些设备每天还能自在地在你的办公室中来来去去,但你却无法加以控制。

  遗憾的是,解决这个问题的答案并不简单。我已经看到企业采用一些企业级(如Blancco或BlackBerry)或移动装置级的软件解决方案(如Apple Find My Device等),或者从人力资源与法规方面采取一些策略与步骤来禁止用户使用企业信息,以期能解决这个问题。但事实是,如果缺乏能与这些解决方案结合使用的有效监管链模式,一旦企业资料被取得或下载了,一切就太迟了。

  我认为,企业界要赶上我所提出的”半私人化的信息革命”(semi-private information revolution)以前,还需要一段时间。这种”半私人化信息革命”就象是云端、Facebook或社交媒体一样。在此之前,一切就有赖于你的EAD供应商协助你发展出与公司信息共享方针一致的政策与程序了。企业信息只有在此前提下才是安全的。

0
相关文章