移动安全 安全管理 应用案例 网络威胁 系统安全 应用安全数据安全 云安全
当前位置: 主页 > 信息安全 > 数据安全 >

如何克服BYOD时代下数据安全问题?

时间:2014-07-25 13:24来源:TuZhiJiaMi企业信息安全专家 点击:
据统计,2015年可连接无线设备的数量将会翻3番。早在2000年代末,智能手机获得发展动力时,大部分组织尚不清楚BYOD的构成,也不知道它对数据治理和安全会产生什么影响。而今BYOD作为一种现
Tags数据安全(840)BYOD(125)  

  据统计,2015年可连接无线设备的数量将会翻3番。早在2000年代末,智能手机获得发展动力时,大部分组织尚不清楚BYOD的构成,也不知道它对数据治理和安全会产生什么影响。而今BYOD作为一种现代企业的工作方式,提升了企业员工移动能力的同时,还能提升企业的综合效益。不过跟其他趋势一样,这种好处必须与实实在在的坏处放到一起权衡。BYOD会带来独一无二的数据安全威胁,同样也会给IT员工带来负担。

  不论好坏,BYOD已经成为现实。这也不仅仅是发生在私营企业当中的趋势。政府机构显然有许多数据治理和安全方面的问题要对付,但这并没有阻止他们搀和进BYOD之争。

  在面临这些数据治理与安全担忧时,CTO能做是什么?他们可以引领潮流、可以跟随脚步,也可以避而远之。在实施BYOD政策的同时,维护数据隐私和安全并不简单,在企业范围内有效部署移动化方面还有许多需要考虑的事情。

  了解业务环境

  欧洲政府长期以来一直在推动重视数据隐私的重要性,欧盟的《数据保护指令(DPD)》溯源起来要回到1980年代,代表了执行数据隐私和安全标准的早期努力。未来几年之内,DPD将让位于一般数据保护规程(General Data Protection Regulation,GDPR)。在欧洲开展运营的企业在制定一定战略时必须考虑这些规程,以确保监控个人设备活动时没有侵犯隐私。

  与欧盟相比,迄今为止,美国政府尚未通过一项统一的数据保护法律,而且这件事情看起来似乎也不会很快发生。相反,美国采取的是根据行业针对性的办法来进行数据保护立法,每个行业必须制定并执行自己的规程。

  在实施BYOD计划时,这些规程必须是首要的,但因为美国不同行业规程的差异,在合规性方面无法做到一体适用。比方说,在将近20年的时间里,健康保健组织都得跟1996年的《健康保险可携性和可归责性法》打交道。该法案要求健康保健组织保护病人数据免受非法应用、恶意软件及信息威胁的侵犯。另一方面,在金融行业,其监管又是另一番不同的光景。尽管萨班斯法案并没有提及数据保护,但在组织应该如何描述数据安全责任方面已经有了很多的分支。

  要知道一个行业中的组织不应任意地将自己的BYOD政策构建在对另一个不相关行业有效的规程基础之上。组织必须仔细检查适用的行业相关规则,然后形成移动相关的数据流程来确保存放在个人设备上的公司信息能按照这些监管措施正确存储、维护并最终处理好。

  了解员工

  在此,部署BYOD政策时,组织需要考虑:公司员工是以千禧一代为主还是以婴儿潮一代为主?统计数据表明,前者更有可能把最新潮的设备带到公司来。

  考虑两家员工规模相当的公司:公司A有一个稳定、成熟的员工队伍,平均任期达12年。公司B有一只流动率高的员工队伍,以千禧一代为主,其平均任期是3个月。我的看法是A公司对正式BYOD政策的需求要比B公司高得多。A公司成熟的员工队伍意味着他不需要严厉的规则与规定。

  另一个需要考虑的重要的问题是:企业IT控制应该聚焦于设备上还是用户上。这是一个有趣的问题。Google Glass普及也许有待几年的时间,但可穿戴技术已经扎根,会显著影响到工作场合的移动技术。FitBit和Pebble Watch只是这个明显趋势的另外两个例子:许多员工也许很快就会表现出自己不仅携带多种设备(其中很多都能连上互联网),而且甚至还把它们穿上。随着需要应付的设备越来越多,数据隐私、安全和治理影响不能忽视。

  其实在今年早些时候,安全公司开始重新思考其数据安全模式,有些公司也已经发布了BYOD相关的最终用户保护计划。这些计划的前提与保护个体设备关系不大,更多的是保护个体用户及其所有设备,这一全面的方案是合理的、明智的。预期许多安全公司会跟进,公司在制定BYOD政策时应该考虑这些解决方案,以及相应的数据安全流程。

  而组织必须仔细考虑BYOD对数据安全、治理及合规性的影响,计划实施时保持灵活性至关重要。新技术总会层出不穷,员工总想把这些新玩意儿带到工作当中。确保他们这么做时不会让敏感的公司信息泄露。

  转自:http://www.leagsoft.com/news/p/1200

------分隔线----------------------------

推荐内容