在過去BYOD 和 Telework(遠距辦公) 是完全不同考量,然而面臨未來疫情發展,遠距工作成為維持營運必要。而在短時間內為了Telework ,一次補足所有設備給員工,也會是沉重的負擔。不但如此,仔細分析以往的IT 投資,都是在公司的基礎建設、資訊設備上面;而且大部分的業務內容,適合在公司內完成;完全以在公司內工作為考量,並不會兼顧居家上班的需要。除了像是人身壽險業,設備資產所有權多為業務從業人員所有。
BYOD 是將非公司所擁有的設備裝置,帶到工作場所使用,存取公司的資料,圖的是方便快速。在不擔心員工攜來的個人設備的情況下,在企業中管理電子資產就已經非常困難。但是,隨著許多公司對自帶設備(BYOD)的期望出現,這已成為一個普遍的問題。當然,有的期望是來自於員工推動的,但有的是由雇主自己推動的。為因應遠距工作,在不能滿足所有編制數量下,勢必得允許一定數量的員工使用自己的設備在家工作。
雖然迫於危害威脅而採取遠距工作,但是卻也有下列好處:
- 環保節省能源
- 節省直接成本
- 時間較為彈性
- 場所地點較不受限
- 對自我較舒適的環境
當然,也存在十分明顯的缺點與需要特別注意的安全議題
- 網路需求翻倍以上
- 存取安全的管理
- 設備遺失問題
- 資料保存、傳遞、抹除問題
- 遠距溝通不易傳達情感、情緒,而造成溝通不良
- 設備管理責任劃分問題
從安全角度來看,如果裝置的財產權歸屬員工自己,行政管理權就很難對該裝置落實。不但如此,使用BYOD技術的員工,第三方承包商、合作夥伴等操作的行為,比技術本身更令人擔憂。由於推行Telework ,比平常耗用更多網路資源;為了營運順利,IT管理人員更傾向以高可用性為主,而安全性為次要條件。這可能會導致從個人設備頻繁存取公司資料,而缺乏可靠的稽核軌跡資訊,以致於資料可能完全不受公司控制。
IT部門不得不在快速技術部署與健全且安全的監督機制之間取得平衡,這在過去幾年中絕非易事。但不可否認的是,破壞性技術的擴散正在加速,並影響著比往常都更大的組織和行業,而IT員工的任務是確保這些的趨勢,不會對營運持續性或安全性產生負面影響。必須在部署之前,考慮其IT服務管理和資產管理機制。在計劃階段不得不注意細節,避免產生對公司具破壞性和危險的活動。
資訊資產存取計畫
與任何安全計劃相同,製定策略的最佳方法,永遠是從確認企業的總體運營和安全目標開始。先自我評量幾個問題,包含BYOD及遠距工作 :
- 優先考量維護設備及系統的合規性,與稽核軌跡
- 限制個人設備攜入公司的場所設施;限制特定的使用者使用個人設備,其他人則不允許
- 使用個人設備限制存取公司某些服務,並限制特定使用者
- 使用者用自己的設備,通過VPN直接進行內部連線存取,並考慮到可連接網絡的所有端點設備
- 由公司提供的端點設備進行連線,這些端點設備只能透過指定的安全平台,從而使遠端用戶連接到特定服務
- 檔案進行管制,增加身分認證與指定存取的裝置
- 遺失裝置管理與資料銷毀
由於IT資產管理現已發展到,不僅要考慮公司擁有的IT資產,無論裝置是否由公司公發或由員工所擁有,要確保在進入和退出工作環境的所有移動設備上,實現並顧及到相當的安全性(包括實體管制和網絡存取安全性)。由於在公司,具備實體設施,門禁,人員出入管制等,可以視為具備較高安全、可信的區域。而Telework 所在地,可能是家裡客廳、咖啡廳等場所。其通訊環境(如Wifi)、場所安全等條件,自然資料損失風險相對高。每個人都可能曾經丟了手機或在餐廳、計程車上忘了手機。即使員工取回設備,有關設備的資訊也可能洩露。此外,許多員工通過密碼管理應用程式、自動通過設置或在筆記應用程式中將密碼存儲在手機上。如果遺失設備,即使未曾將該設備連接到公司網路,也會造成網路安全風險。
當員工離職或裝置遺失時,註銷裝置使其再也不能被使用。由於遠距工作之故,實體裝置其並未在管理人員的掌握之中。換句話說,即便是屬於公司的裝置,能不能完璧歸趙還是未定之天,更不用說期待在其上的資料,會被妥善的銷毀。若無法達到銷毀的目的,僅允許下載較非機敏的資料;限制資料存放位置(如放在伺服器上,僅可遠端連入使用);進而使用文件控管系統,確保機敏資料受到有效管理。
考量評選的方案之中,不論使用BYOD或公司裝置,連入的架構上必須具備 VPN 專屬通道,限制只能連入跳板平台。該平台的所有活動必須受到嚴密控管與監視;而存取的資料最好限制唯讀或加密方案。
詳細參考X-FORT 控管方案:https://www.fineart-tech.com/download/catalogue/X-FORT-Telework.pdf