Bảo mật BYOD: Rủi ro là gì và làm thế nào để giảm thiểu?

Cọc thiết bị BYOD
Bất chấp những lo ngại về rủi ro bảo mật Mang theo thiết bị của riêng bạn (BYOD), nhân viên trong những năm qua đã được hưởng nhiều lợi ích của BYOD. Các nhà tuyển dụng cũng vậy, những người khó có thể ngăn nhân viên mang thiết bị của họ đi làm hoặc sử dụng chúng từ xa cho mục đích công việc. Thách thức vẫn là xác định các rủi ro bảo mật liên quan đến BYOD và tìm giải pháp phù hợp nhất để giảm thiểu những rủi ro này. 

Bắt đầu – Ai, cái gì, khi nào và ở đâu?

Mỗi tổ chức có cách tiếp cận riêng với BYOD và sẽ cần triển khai bảo vệ tùy chỉnh theo dòng. BYOD được thực hành tại nơi làm việc của bạn như thế nào? Những thiết bị nào đang được sử dụng, bởi ai, khi nào và ở đâu?

Thay đổi những cân nhắc này – Ai, cái gì, khi nào và ở đâu – là bước đầu tiên trong việc xây dựng các quy tắc có thể giúp cân bằng các rủi ro của BYOD so với lợi ích cho cả tổ chức và nhân viên của bạn. Những lợi ích là đáng kể. Chúng bao gồm các nhân viên hài lòng hơn, chi phí phần cứng thấp hơn, tăng tính di động và năng suất cho nhân viên từ xa. Vào thời hoàng kim, BYOD là người thông minh, thực tế, tiết kiệm chi phí, hợp thời trang và siêu thân thiện với nhân viên. Bộ phận CNTT đã tiết kiệm tiền. Nhân viên thích làm việc với các công cụ mà họ biết mà không cần phải quản lý cuộc sống số. Nó không phải là các bánh xe sau đó rơi ra, nhưng khi các cuộc tấn công mạng ngày càng tạo ra tin tức hàng đầu, một sự tò mò tò mò đối với BYOD được đặt ra vẫn còn tiếp diễn cho đến ngày hôm nay. Các tổ chức nhận ra rằng họ phải bắt đầu cân nhắc chi phí bảo mật so với giá trị mà BYOD mang lại cho công ty..

Quan tâm đến việc triển khai BYOD – xem hướng dẫn cuối cùng của chúng tôi về BYOD

Rủi ro của BYOD là gì?

Bên cạnh những thách thức kỹ thuật, bảo mật và quyền riêng tư là những rủi ro BYOD chính. Các thách thức kỹ thuật bao gồm kết nối với wifi, truy cập tài nguyên mạng như các tệp hoặc máy in được chia sẻ và giải quyết các vấn đề tương thích thiết bị.

Bảo mật và quyền riêng tư là những rủi ro mà cả tổ chức và nhân viên phải đối mặt theo những cách khác nhau. Các tổ chức có xu hướng quan tâm nhiều hơn đến tính bảo mật của dữ liệu doanh nghiệp (và cách hành vi của người dùng đe dọa nó). Nhân viên quan tâm nhiều hơn đến quyền riêng tư và bảo mật dữ liệu cá nhân của họ (và quyền lợi của chủ nhân của họ là gì để truy cập nó).

Rủi ro bảo mật

  • Tiếp xúc tại địa phương – Mất quyền kiểm soát và khả năng hiển thị của dữ liệu doanh nghiệp đang được truyền, lưu trữ và xử lý trên thiết bị cá nhân. Một trong những nhược điểm cố hữu của BYOD.
  • Rò rỉ dữ liệu – Rò rỉ dữ liệu tiềm ẩn hoặc tiết lộ dữ liệu doanh nghiệp từ một thiết bị không bảo mật
  • Mất dữ liệu – Mất vật lý hoặc mất cắp thiết bị (và do đó mất hoặc thỏa hiệp dữ liệu nhạy cảm)
  • Tiếp xúc với công chúng – Dễ bị tấn công giữa chừng và nghe lén tại các điểm truy cập wifi công cộng thường được sử dụng bởi những người làm việc từ xa. Kết nối với mạng khu vực cá nhân, ví dụ: sử dụng Bluetooth, đặt ra những rủi ro bảo mật tương tự.
  • Sử dụng không an toàn – Việc bên thứ ba không thể chấp nhận sử dụng BYOD, ví dụ: bạn bè hoặc gia đình ở nhà
  • Ứng dụng độc hại – Thiết bị có tính toàn vẹn bị xâm phạm. Một ví dụ là các ứng dụng có mức độ tin cậy khác nhau được cài đặt trên cùng một thiết bị. Chẳng hạn, cho phép thông báo đẩy hoặc cho phép các dịch vụ dựa trên vị trí. Một ứng dụng độc hại có thể đánh hơi, sửa đổi hoặc đánh cắp các tin nhắn liên ứng dụng do đó làm tổn hại đến các ứng dụng đáng tin cậy trên thiết bị. Ngoài ra, ngay cả các ứng dụng từ các cửa hàng ứng dụng chính thức cũng có thể bị xâm phạm. Năm 2015, Wired đã báo cáo rằng Apple đã gỡ bỏ hơn 300 phần mềm khỏi cửa hàng ứng dụng. Điều này sau khi phần mềm độc hại nhắm mục tiêu các bộ công cụ của nhà phát triển đã quản lý để tạo các ứng dụng iOS bị nhiễm.
  • Ứng dụng Rogue – Bằng cách giành quyền truy cập root vào các thiết bị di động, có một rủi ro là người dùng (hay còn gọi là nhân viên lừa đảo của Google) có thể vượt qua các hạn chế bảo mật. Trong một số trường hợp, họ có thể cài đặt ứng dụng giả mạo.
  • Lây nhiễm chéo – Chỉ là một trong (nhiều) rủi ro khi có thông tin cá nhân và doanh nghiệp được lưu trữ trên cùng một thiết bị. Dữ liệu công ty có thể bị xóa nhầm.
  • Tùy biến bảo mật dành riêng cho hệ điều hành – Jailbreaking, và root root, và một số thủ tục phổ biến mà người dùng có thể thực hiện trên các thiết bị cá nhân để loại bỏ các hạn chế cấu hình của nhà cung cấp. Điều này làm cho chúng dễ bị tổn thương hơn đối với các ứng dụng không an toàn. Họ có thể truy cập các cảm biến của thiết bị (ví dụ: micrô, máy ảnh) hoặc dữ liệu nhạy cảm được lưu trữ trên thiết bị mà không bị hạn chế.  
  • Tấn công nội bộ – Dễ bị tấn công nội gián khó ngăn chặn do chúng xảy ra trong mạng cục bộ (LAN) của một tổ chức sử dụng hồ sơ người dùng hợp lệ

Vấn đề riêng tư

Vì BYODs truy cập máy chủ và mạng của công ty, các công ty có thể truy cập chúng một cách hợp pháp. Ban đầu, những lo ngại của nhân viên xung quanh quyền riêng tư là những người thuộc nhóm Big Brother. Những mối quan tâm này bao gồm liệu các công ty sẽ có khả năng, và đúng, để rình mò thư tín riêng tư và hạn chế cách họ sử dụng internet một cách riêng tư, ví dụ: truy cập các trang truyền thông xã hội. Nhưng các chuyên gia khá đồng ý, các nhà tuyển dụng không có hứng thú với những gì nhân viên đang làm trong thời gian rảnh rỗi. Họ quan tâm nhiều hơn đến việc những gì họ đang làm có thể làm tổn hại đến an ninh của công ty. Nó khá rõ ràng rằng có một dòng tốt khi nói đến việc các tổ chức có thể, nên và cần đi sâu vào dữ liệu cá nhân sâu sắc như thế nào. Sự thật là:

  • Kiện tụng – Nhân viên thiết bị di động có thể phải chịu yêu cầu khám phá trong bối cảnh kiện tụng liên quan đến một tổ chức
  • Mất dữ liệu cá nhân – Một công ty bảo mật BY BY BYOD có thể dựa vào phần mềm không phân biệt dữ liệu cá nhân và doanh nghiệp. Vì vậy, nếu có một vi phạm bảo mật nhận thức, mọi thứ trên thiết bị – cá nhân và doanh nghiệp – có thể tự động bị xóa (được gọi là xóa từ xa). Đây là một chút khó khăn nếu bạn đã không sao lưu các video về sự ra đời của đứa con đầu lòng của bạn.
  • Anh cả – Mặc dù không cố ý làm như vậy với trường hợp chống anh hùng Orwell, một bộ phận CNTT của công ty chắc chắn sẽ có thể theo dõi vị trí vật lý của nhân viên mọi lúc và nhận thức được hoạt động trực tuyến của họ.

Cổ phần bảo mật và bảo mật dữ liệu được cho là cao nhất trong ngành chăm sóc sức khỏe. Đó là vì dữ liệu bệnh nhân là một mục tiêu sinh lợi đặc biệt cho tội phạm mạng. Rủi ro là lịch sử y tế, bảo hiểm và dữ liệu tài chính và thông tin nhận dạng.

Công nghệ bảo mật BYOD

Đây là những gì bạn cần biết về một số vũ khí tiềm năng trong kho vũ khí của bạn.

Quản lý thiết bị di động (MDM)

MDM thường là cổng gọi đầu tiên cho bảo mật BYOD. Nhưng, hãy nhớ rằng BYOD là một mô hình sở hữu. MDM – và Quản lý ứng dụng di động (MAM) – là các loại công ty phần mềm có thể mua và sử dụng để giúp bảo mật BYOD. Các tổ chức có thể dễ dàng thực hiện hệ thống MDM của bên thứ 3. Nó làm những việc như xóa từ xa tất cả dữ liệu khỏi điện thoại và xác định vị trí điện thoại nếu nó bị mất. MDM cũng tuyệt vời trong việc phân tách dữ liệu. Chia sẻ công việc và liên hệ cá nhân trong cùng một sổ địa chỉ, ví dụ, tạo ra nguy cơ rò rỉ dữ liệu cao. Thật dễ dàng để chọn không chính xác một liên hệ cá nhân là người nhận và vô tình đăng thông tin công ty nhạy cảm. Hãy nhớ rằng MDM hoạt động tốt nhất khi kết hợp với phần mềm Kiểm soát truy cập mạng (NAC) (xem Kiểm soát truy cập mạng thế hệ tiếp theo (NAC) phía dưới.)

Quản lý di động doanh nghiệp (EMM)

EMM tương tự như MDM. Sự khác biệt chính là MDM quản lý tất cả các tính năng của thiết bị trong khi EMM quản lý toàn bộ thiết bị.

BYOD 1

Các hệ thống MDM được quản lý các thiết bị trong kỷ nguyên BYOD 1. Theo thời gian, các chuyên gia CNTT đã xác định vấn đề thực sự với BYOD và thay đổi chiến lược của họ. Vấn đề là rủi ro khác nhau đặt ra cho nhân viên và tổ chức bằng cách có dữ liệu cá nhân và doanh nghiệp trên cùng một điện thoại. Nhân viên chùn bước trước mối đe dọa đối với quyền riêng tư của họ và các tổ chức lo lắng về việc vi phạm an ninh dữ liệu của công ty.

BYOD 2

Nhập BYOD 2 và Quản lý ứng dụng di động (MAM). MAM quản lý các ứng dụng hơn là toàn bộ thiết bị. Nhân viên có thể cảm thấy dữ liệu cá nhân của họ là riêng tư và họ có quyền kiểm soát thiết bị của họ các ứng dụng, thay vì nội dung cá nhân.

Quản lý ứng dụng di động (MAM)

Nhưng MAM có hoạt động không? Một vấn đề là MAM khó quản lý ứng dụng từ các cửa hàng ứng dụng chính thức. Để giải quyết vấn đề này, các nhà cung cấp MAM đã cố gắng để gói các ứng dụng ngoài luồng thường xuyên với lớp bảo mật, mã hóa và kiểm soát của riêng họ. Vấn đề là để một bộ phận CNTT có thể quấn một ứng dụng iOS hoặc Android, họ phải lấy các tập tin gói ban đầu của ứng dụng từ bất cứ ai viết ứng dụng. Nhưng hầu hết các nhà phát triển ứng dụng thực sự không muốn tặng những tập tin này. Ngoài ra, các nhà cung cấp MAM đã viết các phiên bản bảo mật của ứng dụng mà người dùng muốn tải xuống. Điều này đã đánh bại đối tượng phần nào. Rốt cuộc, một trong những lợi ích của BYOD là quyền tự do sử dụng một thiết bị trên đường theo cách người ta đã quen với việc sử dụng nó. Đây là một trong những động lực thúc đẩy xu hướng BYOD. Các công ty như IBM đã phát hành Blackberry miễn phí sớm nhận ra rằng nhân viên ưa thích và thoải mái hơn với các thiết bị iOS và Android cá nhân của họ.

Container hóa máy tính để bàn ảo (VHD)

VHD tạo ra một hình ảnh máy tính để bàn hoàn chỉnh bao gồm hệ điều hành, tất cả các ứng dụng và cài đặt. Bất kỳ máy nào cũng có thể truy cập máy tính để bàn, với việc xử lý và lưu trữ diễn ra trên một máy chủ trung tâm. Một ví dụ là Office 365. Đối với nhân viên từ xa, vấn đề chính với mô hình này là ít hơn hiệu suất lý tưởng. Nó chỉ hoạt động cho các ứng dụng văn phòng cơ bản như xử lý văn bản, bảng tính và nhắn tin cơ bản. Container container VHD đặt các ứng dụng gốc bên trong vùng an toàn trên thiết bị. Nó có hiệu quả cách ly và bảo vệ chúng khỏi các chức năng nhất định, chẳng hạn như kết nối mạng không dây, cổng USB hoặc máy ảnh thiết bị. Vấn đề chính với việc đóng gói VHD là các vấn đề bảo mật vốn có trong lưu trữ phía máy khách.

Kiểm soát truy cập mạng thế hệ tiếp theo (NAC)

Ngày xưa, các máy chủ Windows dễ dàng kiểm soát các máy người dùng tĩnh và rất hạn chế. Ngày nay, việc kiểm soát truy cập mạng phức tạp hơn do phải xử lý các BYOD không dây sử dụng các hệ điều hành khác nhau.

Phần mềm NAC hiện đại – được gọi là Next Gen NAC – xác thực người dùng, triển khai các ứng dụng bảo mật (ví dụ: tường lửa và phần mềm chống vi-rút) và hạn chế tính khả dụng của tài nguyên mạng đối với các thiết bị đầu cuối tuân thủ chính sách bảo mật đã xác định, dành riêng cho thiết bị di động. NAC là một nhân tố thực sự cho các quy tắc và có thể thực hiện các đánh giá rủi ro dựa trên các thuộc tính Ai, Cái gì, Khi nào và Ở đâu của cả người dùng và thiết bị. Quản trị viên có thể tạo và tự động thực thi các chính sách truy cập chi tiết nghiêm ngặt. Chẳng hạn, sự kết hợp giữa người dùng / thiết bị hoàn toàn hợp pháp trong giờ làm việc thông thường có thể không tự động nhận quyền truy cập vào các bộ phận của hệ thống sau nhiều giờ. Ngẫu nhiên, trong ngành công nghiệp, nó thường được gọi là Kiểm soát truy cập dựa trên vai trò (RBAC). Gen NAC tiếp theo yêu cầu mạng nhận ra danh tính của người dùng. Nó chỉ cho phép họ truy cập vào các tài nguyên cần thiết bằng cách áp dụng các quy tắc vai trò người dùng nghiêm ngặt.

Nói tóm lại, NAC kiểm soát người dùng truy cập một số loại dữ liệu nhất định. Nó hoạt động tốt nhất khi phối hợp với MDM, cho phép các tổ chức giám sát, quản lý, bảo mật và áp dụng các chính sách bảo mật trên các thiết bị của nhân viên.

Ngăn ngừa mất dữ liệu (DLP)

DLP là một chiến lược để đảm bảo rằng người dùng cuối không gửi thông tin nhạy cảm hoặc quan trọng bên ngoài mạng công ty. Khi thông tin được tạo, các công cụ DLP có thể áp dụng chính sách sử dụng cho nó, cho dù đó là tệp, email hoặc ứng dụng. Chẳng hạn, nó có thể xác định nội dung chứa số an sinh xã hội hoặc thông tin thẻ tín dụng. Giống như Next Gen NAC, DLP là một yếu tố quyết định. Về cơ bản, đầu tiên nó tát một hình mờ kỹ thuật số vào dữ liệu nhạy cảm. Sau đó, nó sẽ theo dõi cách thức, thời gian và thông tin mà dữ liệu này được truy cập và / hoặc truyền tải. Các công ty khác nhau có các loại dữ liệu nhạy cảm khác nhau. Có các gói giải pháp chung nhắm mục tiêu thông tin thường được coi là bí mật, ví dụ: việc sử dụng từ mật mã bí mật trong một email. Phần mềm DLP có thể phát hiện việc sử dụng từ mật mã bí mật và thực hiện một số hành động, ví dụ: kiểm dịch email. Nhược điểm chính của DLP là các quy tắc được triển khai kém có thể ảnh hưởng tiêu cực đến trải nghiệm người dùng. Chẳng hạn, khi một vai trò hỗ trợ có thể, thì có thể truy cập các ứng dụng hoặc dữ liệu nhất định ngoài giờ làm việc.

Danh sách kiểm tra giải pháp BOYD

Có một số biện pháp mà các tổ chức có thể thực hiện để giảm thiểu rủi ro BYOD:

  • Một chiến lược toàn diện là cách tiếp cận tốt nhất, mặc dù nhận thức về tổ chức của bạn Từ ai, Cái gì, Khi nào và Ở đâu sử dụng BYOD. Toàn diện nên bao gồm các giải pháp ghép nối hoạt động tốt nhất khi được triển khai song song, như MDM và NAC.
  • Ngoài ra, các giải pháp nên bao gồm quy tắc thực tế mà aren xâm nhập hoặc nhỏ mọn. Chẳng hạn, nếu công cụ DLP của bạn xác định một email gửi đi có chứa từ bí mật, thì nó có thể là quá mức cần thiết để xóa hoàn toàn tin nhắn của người dùng. Thay vào đó, đánh dấu nó để điều tra tiếp theo. (Xem Loại bỏ từ xa phía dưới.)

Loại bỏ từ xa

Xóa từ xa là phương tiện để xóa dữ liệu từ xa khỏi thiết bị. Điều này bao gồm ghi đè dữ liệu được lưu trữ để ngăn phục hồi pháp y và đưa thiết bị trở về cài đặt gốc của nhà máy để mọi dữ liệu trên đó không thể truy cập được cho bất kỳ ai.

Được báo cáo rộng rãi trên internet vào thời điểm đó với một số trò giải trí là một sự cố liên quan đến con gái của Giám đốc điều hành Mimecast Peter Bauer. Trong khi chơi với điện thoại thông minh cha cha cô trong kỳ nghỉ của họ, cô đã nhập một số mật khẩu không chính xác. Điều này dẫn đến tính năng xóa từ xa trên điện thoại, kích hoạt, xóa tất cả các ảnh anh ta đã chụp trong chuyến đi. Mặc dù tính năng xóa từ xa là một biện pháp bảo mật hữu ích để bảo vệ dữ liệu trên thiết bị bị mất hoặc bị đánh cắp, nhưng việc sử dụng nó có thể khiến dữ liệu của nhân viên bị xóa một cách không cần thiết. Giải pháp: các tổ chức cần tạo sự cân bằng bảo mật giữa việc sử dụng cá nhân và công việc của các thiết bị BYOD. Khi được cảnh báo về vi phạm bảo mật tiềm ẩn, thay vì tự động xóa dữ liệu trên thiết bị, các quản trị viên bảo mật có thể xác nhận thực tế nó đã bị mất hoặc bị đánh cắp. Tất cả chỉ cần một cuộc gọi điện thoại.

Hồ sơ rủi ro

Các tổ chức cần phải hiểu các yêu cầu riêng của họ để bảo vệ dữ liệu. Điều này đặc biệt đúng trong các môi trường quy định nơi có thể có các yêu cầu tuân thủ và biên soạn hồ sơ rủi ro. Ví dụ, các yêu cầu tuân thủ và triển khai quốc tế là hai tình huống trong đó mức độ rủi ro BYOD đặc biệt cao.

Luôn cập nhật

Cập nhật hệ điều hành, trình duyệt và các ứng dụng khác thường xuyên với các bản vá bảo mật mới nhất. Các chuyên gia bảo mật, là một trong những vụ rò rỉ dữ liệu lớn nhất trong lịch sử, gây ra bởi các lỗ hổng trong phần mềm lỗi thời.

Một khía cạnh khác của việc luôn cập nhật là đảm bảo rằng các thiết bị của nhân viên rời khỏi công ty được xóa sạch phù hợp với dữ liệu của công ty. Nếu họ phát sinh, nguy cơ bất kỳ dữ liệu nào bị vi phạm có thể tiếp tục tốt trong tương lai. Điều gì xảy ra, ví dụ, nếu một nhân viên cũ bán thiết bị của họ? Và chúng tôi đã đề cập đến những nhân viên bất mãn có thể gây ra với quyền truy cập vào bí mật công ty và sở hữu trí tuệ? Dữ liệu công ty nhạy cảm lấy giá cao trên Dark Web.

Dữ liệu cô lập

Đó là một ý tưởng tốt để hạn chế quyền truy cập vào dữ liệu doanh nghiệp theo tính chất của vai trò công việc của nhân viên. Đây là nơi Next Gen NAC xuất hiện. Cung cấp dữ liệu thông minh hơn đảm bảo quyền truy cập tối thiểu cần thiết vào dữ liệu nhạy cảm. Ngoài ra, cách ly và VPN có thể ngăn dữ liệu nhạy cảm bị rò rỉ thông qua các điểm truy cập không dây công cộng tinh ranh sau nhiều giờ.

Truy tìm thiết bị

Don Tiết đánh giá thấp giá trị của chiến lược bảo mật khóa và khóa lỗi thời. Coca-Cola đã bị vi phạm dữ liệu khi một nhân viên lấy trộm nhiều máy tính xách tay trong suốt vài năm dẫn đến một số vi phạm dữ liệu. Coca-cola didn thậm chí còn nhận thấy máy tính xách tay đã bị đánh cắp. Giải pháp là cho các công ty thực hiện chính sách theo dõi thiết bị nghiêm ngặt. Bằng cách này, họ luôn biết nơi ở của tất cả các thiết bị của công ty cho dù đang sử dụng hay không. Một thực tiễn tốt khác là triển khai một hệ thống giám sát có thể giám sát tất cả các thiết bị vào và ra khỏi cơ sở của công ty. Bao gồm khách truy cập các thiết bị trong hệ thống giám sát.

Cắt giảm nhân viên lừa đảo

Nhân viên lừa đảo là một sinh vật độc đáo trong khu rừng đô thị. Hoặc ít nhất là anh ấy / họ tin rằng họ là. Đây là người không bắt buộc phải tuân theo các quy tắc của xã hội như phần còn lại của chúng ta. Chẳng hạn, người này có thể tin rằng họ lái xe tốt hơn khi chịu ảnh hưởng của rượu. Tại nơi làm việc, người lái xe lừa đảo có sự coi thường tương tự đối với các chính sách và quy tắc.

TechRepublic trở lại năm 2013 đã báo cáo rằng 41% người dùng doanh nghiệp di động ở Mỹ đã sử dụng các dịch vụ không được cung cấp để chia sẻ hoặc đồng bộ hóa các tệp. 87 phần trăm thừa nhận họ biết rằng công ty của họ có chính sách chia sẻ tài liệu cấm hành vi này.  

Vi phạm dữ liệu ở mức thấp nhất là do lỗi của con người. Một trong những giải pháp là đào tạo bảo mật thường xuyên, chuyên sâu cho tất cả các vai trò, từ CEO đến nhà sản xuất trà. Điều này đưa chúng ta đến nhận thức bảo mật.

Đào tạo nâng cao nhận thức về an ninh

Cũng được báo cáo bởi TechRepublic là câu chuyện về nhóm bảo mật tại một tổ chức phi lợi nhuận đã phát hiện ra một số nhóm sử dụng Dropbox mà không có ủy quyền CNTT gần đây đã bị hack. Nhóm, rất hợp lý, đã liên hệ với DropBox. Họ nói với CSR qua điện thoại rằng họ muốn biết thêm về cách tổ chức của họ đã sử dụng nền tảng này. Đại diện điện thoại tình nguyện cung cấp nhiều dữ liệu hơn họ mong đợi, nói với họ: Triệu Chúng tôi có một danh sách 1600 tên người dùng và địa chỉ email của họ. Bạn có muốn danh sách đó không? Nhà cung cấp lưu trữ đám mây rõ ràng quan tâm nhất đến việc bán cho họ phiên bản doanh nghiệp và sẵn sàng chia sẻ danh sách khách hàng mà không cần xác thực người đã gọi. Đại diện đã được ghi danh vào một khóa đào tạo nâng cao nhận thức an ninh sau sự cố này, chúng tôi hy vọng.

Nếu nó không được viết ra, thì nó không tồn tại

Theo khảo sát của AMANET, 45% nhà tuyển dụng theo dõi nội dung, tổ hợp phím và thời gian sử dụng bàn phím. Tuy nhiên, để đưa điều này vào viễn cảnh, 83 phần trăm các tổ chức thông báo cho công nhân rằng công ty đang theo dõi nội dung, tổ hợp phím và thời gian sử dụng bàn phím. 84 phần trăm cho nhân viên biết công ty xem xét hoạt động của máy tính. 71 phần trăm cảnh báo nhân viên để theo dõi e-mail.

Khi nói đến BYOD, các công ty cần phát triển các chính sách và quy trình sử dụng có thể chấp nhận, truyền đạt rõ ràng ranh giới. Họ nên mô tả rõ ràng hậu quả của vi phạm chính sách. BYOD yêu cầu sự tin tưởng lẫn nhau giữa một tổ chức và nhân viên của mình – bảo mật dữ liệu một mặt và bảo vệ thông tin cá nhân. Nhưng điều này ít có hậu quả khi vi phạm dữ liệu dẫn đến kiện tụng.

Doanh nghiệp phải lập quy trình đăng ký và cung cấp chính thức cho các thiết bị thuộc sở hữu của nhân viên trước khi cho phép truy cập vào bất kỳ tài nguyên doanh nghiệp nào. Nhân viên cần phải thừa nhận họ hiểu luật chơi.

Những gì cần được bao gồm:

  • Sử dụng được chấp nhận, bao gồm cả truy cập phương tiện truyền thông xã hội  
  • Quy trình bảo mật (như cập nhật mật khẩu và mã hóa) và hướng dẫn xử lý sự cố
  • Điều khoản sử dụng tài chính (hoàn trả, nếu có)
  • Quy tắc bao gồm mất thiết bị và dữ liệu
  • Giám sát nào có thể diễn ra
  • Những thiết bị nào được phép hay không được phép

Điều gì ngăn chặn việc áp dụng BYOD – bảo mật hoặc xung quanh?

BYOD thực sự thịnh hành như thế nào?

Khi BYOD lần đầu tiên trở nên phổ biến vào năm 2009, 67 phần trăm mọi người đã sử dụng thiết bị cá nhân tại nơi làm việc. Chỉ có 53 phần trăm các tổ chức báo cáo có chính sách tại chỗ cho phép rõ ràng cho phép hoạt động đó, theo khảo sát năm 2012 của Microsoft. Xuống dòng, mọi thứ thiên đường thay đổi nhiều. BYOD vẫn xuất hiện trong tình trạng thay đổi liên tục. Hãy cùng xem các con số.

Một cuộc khảo sát toàn cầu về CIO của Gartner, Inc. Các chương trình điều hành cho thấy 38% các công ty dự kiến ​​sẽ ngừng cung cấp thiết bị cho công nhân vào năm 2016. Người khổng lồ nghiên cứu đã dự đoán rằng vào năm 2023, một nửa số nhà tuyển dụng sẽ yêu cầu nhân viên tự cung cấp thiết bị cho mục đích công việc. Có rất ít, nếu có, những dấu hiệu cho thấy thực tế đã xảy ra.

Một cuộc khảo sát năm 2015 của CompTIA (paywall) – Tổ chức kỹ thuật số xây dựng trực tuyến – cho thấy 53% các công ty tư nhân đã cấm BYOD. Bảy phần trăm những người được khảo sát cho biết họ cho phép chính sách BYOD đầy đủ. Một chính sách đầy đủ có nghĩa là công ty không chịu trách nhiệm cho các thiết bị. 40 phần trăm cho phép một chính sách BYOD một phần. Với chính sách một phần, một công ty cung cấp một số thiết bị nhưng cho phép một số thiết bị cá nhân truy cập vào hệ thống của công ty.

Một nghiên cứu năm 2016 của Blancco (paywall) – BY BYOD và Mobile Security, – đã khảo sát hơn 800 chuyên gia an ninh mạng là một phần của Cộng đồng Bảo mật Thông tin trên LinkedIn. Nghiên cứu cho thấy 25 phần trăm các tổ chức được khảo sát không có kế hoạch hỗ trợ BYOD, không cung cấp BYOD hoặc đã thử BYOD nhưng đã từ bỏ nó. Nghiên cứu cho thấy bảo mật (39 phần trăm) là chất ức chế lớn nhất của việc áp dụng BYOD. Mối quan tâm riêng tư của nhân viên (12 phần trăm) là chất ức chế lớn thứ hai.

Điểm mấu chốt: những người chống đối có thể được tha thứ vì đã xem xét BYOD, ở một mức độ nhất định, sự cường điệu.

BYOD là một thị trường sinh lợi, nhưng dành cho ai?

Một khảo sát về Thị trường và Thị trường (paywall) chỉ ra rằng quy mô thị trường di động của BYOD và doanh nghiệp sẽ tăng từ 35,10 tỷ USD năm 2016 lên 73,30 tỷ USD vào năm 2023. Dường như có nhiều cơ hội để các nhà cung cấp sản xuất các ứng dụng giảm thiểu rủi ro tài chính và phần mềm quản lý BYOD.

Nghiên cứu của Blancco cũng cho thấy các mối đe dọa bảo mật đối với BYOD được coi là áp đặt gánh nặng tài chính nặng nề lên các tổ chức Tài nguyên CNTT (35%) và khối lượng công việc bàn (27%). Nhưng 47 phần trăm số người được hỏi cho biết chi phí giảm là một lợi ích của BYOD. Bất chấp những lợi ích và lo ngại về rủi ro bảo mật của BYOD, chỉ 30% số người được hỏi cho biết họ sẽ tăng ngân sách BYOD trong 12 tháng tới. Những con số này dường như cho thấy nó không chỉ có rủi ro bảo mật đang ngăn cản các tổ chức hết lòng chấp nhận BYOD.

BYOD thay thế

Chọn thiết bị của riêng bạn (CYOD)

CYOD là một lựa chọn ngày càng phổ biến với các tổ chức lớn hơn. Không giống như BYOD nơi người dùng có thể sử dụng bất kỳ thiết bị nào, các tổ chức phải phê duyệt việc sử dụng CYOD. Các thiết bị được cấu hình sẵn sẽ cung cấp tất cả các ứng dụng cần thiết cho năng suất của nhân viên. Bằng cách quyết định những thiết bị nào nhân viên của mình có thể chọn, một công ty biết chính xác từng điều khoản bảo mật của các thiết bị. Công ty cũng biết phiên bản phần mềm nào mà mỗi thiết bị đang chạy. Có thể chắc chắn rằng tất cả các ứng dụng và phần mềm của riêng nó đều tương thích và nhất quán trong toàn công ty.

Thuộc sở hữu chung, kích hoạt cá nhân (COPE)

Với mô hình COPE, các công ty trả tiền cho nhân viên của họ điện thoại thông minh. Doanh nghiệp vẫn giữ quyền sở hữu các thiết bị. Cũng giống như trên thiết bị cá nhân, nhân viên có thể gửi email cá nhân và truy cập phương tiện truyền thông xã hội, v.v … Nhược điểm là các điều khiển có thể ngăn dữ liệu của công ty có sẵn trên điện thoại ngoài các thông số đã đặt. Điều này có thể đánh bại đối tượng cho công nhân từ xa.

Làm thế nào để các ông lớn làm điều đó?

Đối với nhiều công ty nhỏ hơn, BYOD dường như là con voi trong phòng. Những gì các ông lớn có điểm chung là một kế hoạch, và để mắt đến điểm mấu chốt.

Một vài công ty Fortune 500 – Gannett, NCR Corporation, Western Union Company và Western Digital – đã chia sẻ các chính sách BYOD của họ với Thế giới mạng. Họ nói rằng họ đảm bảo đặt các quy trình truy cập an toàn tại chỗ trước khi cho phép các thiết bị di động vào mạng LAN của họ. Các thực hành bảo mật BYOD hàng đầu của họ là:

  • Người dùng BYOD phải cài đặt phần mềm chống vi-rút được công ty phê duyệt
  • Quản trị viên CNTT cũng phải có thể truy cập BYOD của nhân viên vì lý do bảo mật. Các lý do bao gồm tiến hành lau từ xa (được gọi là công nghệ thuốc độc của người dùng) của các thiết bị bị mất hoặc stoen hoặc để quét các mối đe dọa bảo mật.
  • Một số công ty yêu cầu nhân viên sử dụng khóa PIN trên thiết bị của họ
  • Hầu hết các công ty yêu cầu người dùng tải ứng dụng quản lý thiết bị di động (MDM) của họ lên điện thoại, máy tính bảng và phablets
  • Một số công ty, như NCR, cấm sử dụng tài khoản email cá nhân cho mục đích kinh doanh
  • NCR cũng cấm lưu trữ tài liệu kinh doanh hoặc thông tin trên internet hoặc các trang web đám mây trừ khi được ủy quyền rõ ràng

Google

Google có cách tiếp cận truy cập theo cấp độ, bao gồm các yếu tố về trạng thái thiết bị, thuộc tính thiết bị, quyền của nhóm và mức độ tin cậy cần thiết cho vai trò nhân viên cụ thể. Có bốn tầng:

  • Không tin cậy – Không có dữ liệu Google hoặc dịch vụ công ty (nói chung)
  • Truy cập cơ bản – Các dịch vụ tiếp xúc với dữ liệu Bí mật và Cần biết hạn chế (ví dụ: bản đồ trong khuôn viên trường và lịch trình xe buýt) và dữ liệu nhân sự cho người dùng yêu cầu
  • Quyền truy cập đặc quyền – Dịch vụ có dữ liệu Bí mật nhưng không cần biết (ví dụ: theo dõi lỗi) và dữ liệu nhân sự có quyền truy cập cấp quản lý
  • Truy cập đặc quyền cao – Truy cập vào tất cả các dịch vụ của công ty, bao gồm cả những dịch vụ có chứa dữ liệu Bí mật hoặc Cần biết

Cách tiếp cận này, giải thích cho Google, thách thức các giả định bảo mật truyền thống rằng các địa chỉ IP nội bộ của riêng tư hoặc trên mạng đại diện cho một thiết bị có độ tin cậy cao hơn so với những người đến từ internet. Nó cho phép truy cập được thực thi chi tiết và đưa ra một cách chính xác để thể hiện các ngưỡng rủi ro. Người dùng có thể linh hoạt sử dụng một loạt thiết bị và chọn cấu hình kém an toàn hơn để thuận tiện (như thời gian mở khóa màn hình dài hơn hoặc xóa hoàn toàn mã PIN). Họ cũng có thể chọn tham gia vào các cấp quản lý doanh nghiệp khác nhau. Mức độ truy cập của người dùng vào các dịch vụ doanh nghiệp sẽ phụ thuộc vào thiết bị, trạng thái và cấu hình hiện tại của thiết bị và xác thực người dùng của họ.  

IBM

Tại IBM, các hướng dẫn sử dụng phù hợp loại trừ vô số dịch vụ mà nhân viên thường sử dụng trên các thiết bị của riêng họ, nhưng cung cấp các lựa chọn thay thế được phát triển nội bộ. Các dịch vụ thông thường bao gồm DropBox, chuyển tiếp email, trợ lý cá nhân được kích hoạt bằng giọng nói Siri và các chương trình chuyển tệp công khai như Apple Apple iCloud. Vấn đề là, nếu IBM (hoặc bất kỳ công ty nào khác) sẽ loại bỏ các thiết bị này trong số những thứ thu hút người dùng bắt đầu, thì rất có thể, những thiết bị đó sẽ ngừng sử dụng cho công việc.

Colgate

Khi Colgate thiết lập chương trình BYOD, công ty ước tính sẽ tiết kiệm được 1 triệu đô la mỗi năm. Đó là chi phí phí ​​bản quyền mà nó phải trả cho nhà sản xuất BlackBerry Research in Motion nếu các thiết bị thuộc quyền sở hữu của công ty.

Điểm mấu chốt – Ai, cái gì, khi nào và ở đâu?

Bí quyết để đối phó với các mối đe dọa vốn có khi làm việc từ xa và BYOD là có một mạng lưới nhận thức theo ngữ cảnh. Mạng nhận biết ngữ cảnh là mạng có thể xác định nguồn và bản chất của lưu lượng – theo vị trí, loại thiết bị và hành vi, ví dụ: cho dù đó là bình thường hay nghi ngờ. Bằng cách xác định các mối đe dọa tiềm tàng, hệ thống có thể đưa ra quyết định thông minh về cách ứng phó. Ví dụ: nó có thể không cho phép truy cập vào một thiết bị không ở cùng vị trí địa lý với một thiết bị khác thuộc cùng một người dùng. Hoặc, nó có thể cho phép truy cập hạn chế đối với người dùng đăng nhập qua Wi-Fi công cộng. Nó cũng có thể hạn chế quyền truy cập vào một số tệp hoặc các phần của mạng.

Một số điều cần lưu ý:

  • Nó khó khăn trong việc thu hồi các đặc quyền BYOD tại nơi làm việc
  • Nó không tốt khi ném em bé ra ngoài bằng nước tắm bằng cách hạn chế BYOD trong phạm vi nó không còn giá trị dự định
  • BYOD thực sự là một trong số ít các mối đe dọa mà các tổ chức phải đối mặt với tội phạm mạng. Một báo cáo của FBI – Báo cáo về Tội phạm Internet 2016, 2016 – ước tính thiệt hại của nạn nhân đối với tội phạm mạng năm 2016 ở mức 1,33 tỷ đô la.

Bài học: đặt BYOD vào viễn cảnh về giá trị so với rủi ro bảo mật và nếu bạn quyết định nó có giá trị, hãy cấu hình các quy tắc thực tế để làm cho nó hoạt động.

Cọc thiết bị xếp chồng bởi Jeremy Keith được cấp phép theo CC BY 2.0