一聲招呼也沒打,安全負責人就匆忙離開了會議室。她的身體語言透露出那是一個重要的電話。當她返回到會議室,所有人的目光都不自覺地提出了疑問,想知道發生了什么。無需更多提示,安全負責人直接說到:“CEO想知道為什么她不能在她的iPad上面觀看YouTube視頻。雖然這違反公司規定,但我們必須允許讓她能看。同時,她還希望能夠用她的iPhone訪問她的電子郵件和日程安排。”以上是發生在一家大型金融機構內的真實事件。
員工自帶設備辦公(BYOD)已成趨勢,將以加速發展的步伐變得清晰起來,并且必然與云緊密相連。在考慮這一趨勢的含義時是有多條軌跡的。證據是顯而易見的,因為大多數的智能電話利用云為消費者提供服務。術語“shadow IT”已經存在有一段時間了,但在今天尤其切題。歷史上從沒有任何時候像今天這樣在一個公司的網絡上能輕松繞過IT部門消費云服務,并使用非標準設備。像上面提到的例子那樣,CEO跑到IT部門為業務需要要求獲得某項云中的服務,這種情況經常發生。
在最近于舊金山召開的RSA大會云安全小組討論會上,來自eBay, Sallie Mae, Humana 和 Bank of America的首席信息安全官們都一致認同:安全部門需要對這些需求做出預判,并在面臨這些問題之前就做好準備。換句話說就是,信息安全部門的操作方式需要進行根本性的模式轉變。在面對可能增加風險的申請時不是繼續說“no”,而是需要說“yes”,并創造性地設計出解決方案同時降低風險。
在公司中,下一代員工似乎對社交媒體之前的世界一無所知,他們會要求能夠使用他們自己的設備。在很多案例中,他們都提到這會提高生產力和效率。另外,他們可能將此作為加盟一家單位的一項必要條件。在招募人員時允許使用自己的設備可能成為一項激勵措施,或者與另一家不允許這樣做的公司對著干的措施。
這樣還有益處可享。隨著用戶趨向在自己的設備上研究和解決自己的問題,支持成本會隨之降低。這還可能成為一家公司朝著設備無關、面向服務的結構邁進的不可拒絕的理由;從長期看為開發、操作和維護帶來成本的節約。
允許員工使用他們自己的設備會帶來許多風險,但這些風險很少是有經驗的安全專業人員沒見過的。這些設備需要作為部分可信的端點來對待,或者在大多極端情況下作為完全不可信的端點來對待。主要的考慮是BYOD會使風險提高。非標準設備可能比傳統的、由公司發放的使用非常嚴格的措施鎖住的設備更容易地被攻擊者損害。
應對由BYOD帶來的風險增長,可遵循如下一些策略:
· 倡導鼓勵安全文化。安全觀念應成為企業有機整體的一部分。這需要進行文化轉變。安全觀念必須成為一個能動器并嵌入到企業的各個方面。不能將安全意識看作企業創造精神的障礙。
· 教育、測試、重復。單位和終端用戶必須共同承擔責任。在最近召開的RSA大會上,著名安全名人(先前的黑客)Kevin Mitnick反復強調,社會工程仍是最容易的讓安全意識滲透一家公司的方式。實際上,許多高級持久威脅(APT)都涉及使用Spear Phishing網絡釣魚方式,捕獲安全意識缺乏的員工,來損害網絡。因此,不要停止對員工進行教育。必須定期在員工最沒有想到的時候對員工進行測試(并讓他們意識到缺失),加強正確行為方式的建立。
· 建立易于理解的BYOD規定。不要依靠用戶破譯“安全語言”。例如“要確保你的設備安裝有我們公司強制安裝的軟件。你可按如此步驟從這個地點下載并安裝。”
· 執行訪問控制策略。應依靠身份、背景和規定對資源(例如數據和應用)進行保護。如果系統不能確定用戶的身份,如果不符合合規標準(例如屏幕解鎖口令/PIN未激活)或者沒有安裝必裝的軟件(如防病毒軟件),就不能允許設備訪問資源。根據所處地點和連接是否加密等因素通過對訪問進行限制來應用背景。
· 使補救過程自動化。通過將大多數補救過程自動化盡可能簡單地使用戶能確保設備合規。不要依靠用戶能自覺了解他們需要下載和安裝一系列軟件。這可利用身份分配和配置管理技術來實現。
· 利用安全信息和事件管理工具進行監控。利用可提供身份綁定的審計和控告智能的安全信息和事件管理(SIEM)解決方案對所有在公司網絡上訪問資源的設備進行監控。在一個充滿部分可信、潛在受損設備的環境下,具備洞察力是首要的,而事件響應時間則是關鍵性的。
· 使用具有擔保層級的身份聯盟。通過跨分區將用戶身份進行聯盟并依靠信任級別執行訪問控制,在具有許多身份來源的環境中以一種安全的、基于標準的方式降低操作成本。作為一個例子,我們來考慮員工內部身份和他們的在線身份之間有重疊的問題。使用自己設備的用戶通常已經登錄到他們的在線帳戶中(如微博),為保證易于使用和透明的一次登錄,安全策略可以實施為支持多個擔保層級。如果某員工已經登錄到微博,內部應用可利用那個身份,但給他較低的信任級別。這樣,員工就可使用其微博資格訪問內聯網非敏感部分。但如果想訪問公司的電子郵件,他就需要提供員工資格從而執行更高一級的擔保,即該員工是他所聲稱的這個人。
· 提供安全設備。為員工提供他們所選擇的設備并確保這些設備裝載了要求的軟件和控制。這為單位和個人提供了一個雙贏局面。員工使用自己選擇的設備無需付錢,并可以安全和合規的方式訪問公司環境。
· 控制從設備的訪問。當通過非標準設備進行檢索時要確保對敏感數據的訪問得到控制。例如,可通過提供遠程會話允許員工利用該信息,但永遠不物理地將數據存儲到非標準設備上。
· 對敏感數據加密。對任何放在被認為是公司財產的非標準設備上的數據進行加密處理。這可包括員工的公司電子郵件。
應對BYOD風險不存在一個一勞永逸的方法。上面所列各點是為思考過程提供起始點。它們可相互獨立使用,或針對具體需要以不同的組合使用。
現在我們應該清楚地明白,制定BYOD政策并不是授權員工可攜帶自己的設備同時讓公司免去提供設備。它實際上是關于制定一項策略,管理設備,以一種安全的方式訪問公司數據。它是關于如何處理IT消費化的問題和如何對待員工正開始在設備上講他們的個人生活和工作混合在一起這一事實,不管設備是由單位提供的還是他們自己購買的。
BYOD已成為指定術語用于描述這種企業IT的消費化。這種趨勢將會繼續加速發展。它將比人們預想的來得更快,并由多個因素推動。如果一家單位沒有做好應對BYOD帶來的風險的準備,就將會被拋在后面。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
相關文章
