我们谈到了概念带上自己的设备或byod,在博客上之前。Byod是一项流行的政策,员工可以带来个人拥有的设备,例如笔记本电脑,平板电脑或智能手机,以便访问数据和应用程序。它有助于降低成本并提高生产力,但它带来了许多安全问题和含义。

与BYOD的理论相似是BYOS,或带来自己的安全。此方法允许员工选择他们希望在其设备上运行的安全解决方案。这个理论是BYOD的自然演变还是它会带来更多疑虑?是否担心重复将在公司网络中淹没的设备安装了自己的安全软件?

陪伴伴随的担忧

在企业系统和BYOS设备上运行的安全软件的差异可以为您的IT部门提供头痛 - 特别是如果所述设备可以访问与共享驱动器等公司资源。是否存在任何冲突设备上的软件在企业环境中运行的安全解决方案还是这肯定是可能的。

这些设备的安全程序和公司系统之间可能存在漏洞,攻击者可以利用这些漏洞。事实上,向现有设置中添加安全软件并不总是能够增强安全性,特别是当它们属于同一类型时,例如两个大型防病毒套件或两个免费修复工具。更糟糕的是,你可能会比以前更虚弱。

此外,误解可能导致设备所有者产生错误的安全感。例如,一些人可能认为,一旦他们连接到公司的Wi-Fi,甚至一进门,他们就在公司防火墙后面受到保护。但这是真的吗?

让我们看一些涉及BYOD和BYOS,他们的专业人员和缺点的一些情景,以及每个场景带来的安全含义。

情景

为了开始进入以下场景,让我们首先介绍BYOS策略实现的四种可能方式,无论设备是个人拥有的还是由组织发布的。它们包括:

  • 员工拥有该设备并安装了自己的安全软件。
  • 员工已发出一家公司设备,她也可以用于个人目的。她可以选择并安装她希望的任何安全软件。
  • 员工拥有该设备,但要允许为公司的事项使用它,她必须安装公司的安全软件。
  • 该公司发行了一款随其选择的安全软件一起安装的设备。

在我们通过一个接一个地谈论这些场景之前,让我们首先建立一件事:运行他没有选择的安全软件,也不熟悉,可能是一个坏主意。除非是一个基于云计算的产品可以从中央位置管理,员工应该了解有关如何最佳地使用该解决方案的培训。工作场所没有比用户意识更强大的安全性。事实上,我们会 -- 无论方案是什么,无论如何都是这样的。

场景1:全部在用户身上

在第一场景中,员工使用他自己的设备和安全软件,您可能会说公司留下来避开并信任其用户。但是,在专有数据的安全问题方面,让它在风中吹来的绝对是一个好主意。

很容易说,如果他的设备上的数据发生任何变化,这将是员工的问题,但这对公司有什么好处呢?信息已经存在,数据、端点、生产率和声誉的损失将比一份工资付出更大的代价。

至于员工:如果公司首先没有控制他的设备,他甚至会泄露泄漏?可能不是。公司可能能够将感染追溯到他的设备上,但经过多久?信息窃取恶意软件在网络中传播多长时间?它会揭示那些愿意在黑市支付高额美元的人揭露什么秘密?

这种情况将是一个最糟糕的拜访,如果它不适合......

场景2:一个罕见的情景

在这种情况下,组织向员工发放设备,但希望员工选择自己的安全程序。

这是一个罕见的情景,有充分的理由。也许公司自己的IT部门可能拥有员工的员工不同的供应商。也许用户只在她的设备上打电话或输入文件,并且不需要互联网来完成她的工作。但是,在任何其他情况下,您必须拥有一个信任组织和一个非常安全的劳动力。

否则,如果员工需要自己花钱或使用免费、有限的版本,他们可能会选择最便宜的选择。或者,如果给公司开账单,他们可能只知道一个名字,而不去调查它是否适合设备或用户。唯一的另一种解释是,该公司对其设备和网络的安全性漠不关心,以至于他们愿意在这些设备和网络上乱花钱。

场景3:大多数是专业人士,有点骗局

这种情况要求员工选择设备,而是公司规定安全设置。

在这里,员工将购买或报销她喜欢的设备,以便她必须安装符合企业指南的安全软件。这主要是一个双赢的场景,因为员工可以使用她更喜欢的设备,但可以放心该设备在企业环境中使用安全安全安全。在理想情况下,该设备甚至可以由公司监控暹粒或者云控制台。

在此方案的一个注释:虽然它是对补充设备或远程员工的理想设置,但它可能无法对用户的主要机器最有意义。这是因为管理不同操作系统的不同设备的船队可能会对IT团队进行乏味,即使是相同的安全协议。

云管理

场景4:公司的选择

第四种情况是公司决定设备和安全软件,这是公司最简单的解决方案,但肯定不是BYOD或BYOS。这听起来更像是总部员工在就业第一天从IT部门得到的。

虽然最简单的控制,但它也很高的 - 公司是否提供单一的笔记本电脑或补充智能手机。在这种情况下,企业应该准备抵御员工遇到合法工作或偶尔使用该设备以获得个人原因的威胁,例如在线购物或社交媒体。公司应该基本上或多或少地对待与员工偶尔将公司笔记本电脑送回工作做一些工作。

在公司计算机上安装安全软件

完全不同的场景是没有外部设备发挥作用的场景。相反,员工将自己的安全性带入工作场所环境中。这有时会发生 - 人们在他们自己主动的工作计算机上安装他们的首选安全软件。例如,我们的遥测告诉我们,我们的免费消费者修复产品在许多公司机器上下载并运行,用于清除通过工作场所官方安全设置的裂缝滑动的恶意软件。

我们在遥测中看不到的是,这是否由用户自己或来自IT团队的人作为处理感染的即兴方法完成。虽然在商业环境中使用免费消费产品在技术上是针对规则的,但它不会提出直接的安全风险。它确实为公司的IT部门提出了一个问题,但是,谁可能想知道通过他们的网络和如何蠕动的威胁。

不管怎样,员工只为清理目的安装免费补救工具与那些在网络安全之上安装付费主动保护的员工是有区别的。在后一种情况下,活动端点安全性与控制公司环境的活动网络软件冲突。就像两只狗为了一根骨头打架,没有人赢,因为骨头(恶意软件)逃走了。

重要的考虑因素

对公司和员工来说,实现工作场所安全的最安全、最有效的方法是想出一个公司政策. 在决定BYOD安全策略时,至少应考虑以下几点。这些措施包括:

  • 哪个操作系统你允许吗?不是每个软件都可以涵盖所有的操作系​​统,如果您想去统一或中央管理,这是一个重要问题。
  • 您将允许使用哪种软件?如果你打算使用限制,你会使用黑名单还是白名单?
  • 您希望您的安全策略有多详细?你是要给你的员工一个大概的提纲,还是真的要深入了解密码的最低要求或如何识别网络钓鱼电子邮件等细节?
  • 您希望能够监控从中央管理控制台(Central Management Console)下落的设备?这是否需要设备满足某些规范?
  • 当员工离开公司时,设备会发生什么?还是更好,但信息,软件和设备上的其他公司相关数据会发生什么?

最佳实践

最佳实践列表将您自己的安全设置转换为成功和安全的努力,看起来很像列表任何安全指南,但我们还是要重复以下建议:

  • 培训您的员工在基本计算机卫生,如避免技术支持诈骗,转向对未知来源的链接,从未从可疑电子邮件中打开附件。此外,确保他们意识到该做什么以及在发生违规事件时不做什么。
  • 制定一个明确传达的公平政策,使员工了解什么是可以接受的,以及如果他们不遵守,可能会产生什么后果。
  • 加密文件存储和通信,以减少重要信息或数据落入坏人手中的机会。
  • 确保所有用户都能及时更新软件。当有一些设备漫游时,系统管理员匆忙地检查、验证和安装更新有什么用,而这些设备后面有一些补丁。
  • 使用VPN进行场外通信,以排除窃听和中间人攻击。

对于大多数BYOS和BYOD情景有利弊 - 但是,如果编写了公司的IT团队和劳动力,这些情况中的许多情况都有机会以所有参与者的最佳利益锻炼。

意识到可能的影响始终是一个良好的起点。警惕是安全的另一半。