愈來愈多的企業允許員工攜帶自有的行動裝置(BYOD)上班,並且使用在日常工作之中,一旦這些行動裝置離開了企業環境,企業要如何管控行動裝置上所儲存的大量商業資料,實施有效的安全管理,同時也要避免侵害員工的隱私?
文章出處:網管人 / 專題報導
發表時間:2014-05-26
隨著Apple iOS、Android及Windows手機與平板電腦的銷售如雨後春筍般成長,其中有一項行銷的策略在於廠商讓消費者明白了,購買這些行動裝置不只可以作為生活中的娛樂之用,更可以同時使用於工作之中,創造了使用者在購買時一次滿足的強烈欲望。
企業願意讓員工BYOD並成為工作中的一項工具,主要就是希望透過這些行動裝置的協助,能夠增加更多的工作效率,並且有機會拓展更多業務,而藉由員工自備行動裝置,也可以讓企業降低硬體採購與更新的成本。
另外,使用行動裝置的好處是,員工即使離開了工作場所,還是可以在往返公司的途中來存取工作資料,或是在出差時利用它來收發個人電子郵件或瀏覽網頁之用,同時兼顧並保有生活與工作上的多重用途。
行動裝置的安全與隱私風險
但是,無論是由公司添購或是私人擁有的行動裝置,只要是會將它連接至公司網路,就必須依照公司的資安政策,進行身分驗證,然後賦予適當的權限,以便降低資訊安全的風險。
一般而言,行動裝置可能造成資料外洩的原因,包括遺失裝置、感染惡意程式、未經授權的不當洩露等。
目前在企業內可使用的行動裝置,大致有以下兩種情況,第一種是由公司所配發的設備,所以公司有權可以主動進行適當的管控。另一種則是個人擁有的行動裝置,對使用者而言,這些行動裝置是自己購買的,在使用時不必受到公司資訊部門的管轄,也可以拒絕受到不必要的安全管控。
目前,大多數企業只站在安全管理的角度來進行控管,而忽略了可能會有侵犯個人隱私的情況,舉例來說,如果發生疑似資料外洩的事件,企業可能會要求員工必須交出其使用的行動裝置,以便檢查其中所存取的公司文件、瀏覽記錄與所儲存的資料等,撇開由私人所購買的裝置不看,即便行動裝置是由企業所提供,但是大多數的使用者,仍可能會將它使用在私人用途上,像是瀏覽網站、使用Facebook等社群媒體、下載音樂、影片、應用程式和遊戲等,這些仍是與個人隱私有關的資訊。
BYOD可能造成的隱私問題
根據美國的一項調查指出,採行BYOD的使用者有80%對於企業雇主存取其私有設備上的個人資料感到疑慮,擔心他們自己所在的位置、使用的App、網頁瀏覽記錄和下載的資訊受到不當揭露。
站在企業資訊安全的角度而言,進行安全管控以降低風險當然有其必要性,但卻不能以此就作為犧性員工個人隱私的充分理由。而員工興高采烈地帶著自己的行動裝置,在加入公司的BYOD行列之前,也要想想可能會對自己造成什麼影響。
根據雲端安全聯盟(CSA)所提出的行動裝置安全指南,提到員工在使用公司所提供的BYOD方案時,應該要先了解以下幾個問題:
- 公司是否會讀取行動裝置上我的個人資料?
- 若需要進行法律相關調查時,對我的行動裝置會造成什麼影響?
- 如果我的行動裝置遺失了,將會發生什麼事?
- 在遺失行動裝置時,是否可以要求進行完整的資料清除?
- 當我採取了BYOD方案,但是在離開公司之後,將會發生什麼事?
至於針對企業在建立BYOD的政策時,也需要考慮以下的事項:
- 在什麼情況下,企業需要取得行動裝置的所有權?
- 在什麼情況下,行動裝置的資料會被清除?這需要考量當地的法律和法規。
- ‧監控員工的資料與行為,應該合乎員工所面臨風險的比例原則,尤其特別需要考量所儲存的位置資訊。
- 可授權進行監控員工的管理人員,應該要被清楚地識別出來並了解其責任。
- 所有的監控在實施時,應盡可能地將侵犯行為控制在最小的範圍,並且只獲取最小量的員工資料。
- 了解在某些案例中可能也會牽涉到非企業的員工,例如員工的家屬可能也會使用員工的行動裝置。
- 行動裝置的資料清除,應只限於公司的資料。
保障行動裝置安全與隱私的做法
為了因應BYOD的需求,同時兼顧企業資訊安全的管理,由廠商所提出的第一代行動裝置管理方案MDM(Mobile Device Management),很快地就受到企業的歡迎。MDM方案主要是針對行動裝置本身的安全管理,提供了裝置監控、遠端鎖定、網頁過濾、禁用相機等功能,但相對地也比較難以區隔在使用方面的個人隱私要求。
為了要同時兼顧工作與個人使用方面的需求,後續推出的應用程式管理MAM(Mobile Application Management)方案,讓存取企業資料的環境與個人在手機上所使用的行為能有所區隔。
MAM透過建立虛擬的企業工作區域,讓使用者自帶的行動裝置可以達成公私兩用的彈性做法,對企業來說,獨立的工作區域也可降低資料外洩的風險,但是在隱私方面,雖然可以做到應用程式上的資料區隔,卻也仍然無法避免企業仍可保有追蹤使用者的位置資訊。
對企業來說,能夠保障個人隱私的作法有哪些?以下是有關實施時的參考建議。
1. 避免不當的位置追蹤:企業導入行動設備管理方案 的好處,就是可以即時追蹤行動裝置的所在位置,以便可以隨時啟動遠端鎖定、遠端警示和資料刪除等功能,除了GPS之外,當使用者處於建築物內部時,也可以透過所接入的無線網路或3G網路來偵測出所在的地點,換句話說,企業的資訊部門有能力隨時掌握使用者的行蹤,因此企業需要明訂在什麼情況之下,基於何種理由和目的,公司可以啟動追蹤功能,並且是否要預先獲得使用者的同意。
2. 避免個人資料的遺失:一旦企業需要啟用遠端變更 密碼、強制鎖定和刪除時,請先確認會由誰來負責進行授權,並且將會如何進行。如果設定了自動刪除功能,那麼是否僅僅會刪除企業相關的資料和應用程式?是否也提供了復原裝置資料的功能?
3. 妥善管理連線資訊:除了所在的地點和位置資訊之 外,一旦使用私有的行動裝置連結了企業網路,相關的網路活動也有可能受到企業的過濾與監控,在使用者離職之後,這些涉及個人活動有關的資料,請確認是否還會繼續保留?
4.避免不當的隱私審查:如果涉及相關的法律事 件,企業是否需要審查使用者自帶的行動裝置,內容將會包括了這台裝置上的網頁瀏覽紀錄、下載資料、歌曲、影片、電子郵件內容、聯絡人、社群媒體的活動、通話紀錄,甚至是所存放與家人有關的資訊,這些都有可能會被揭露,請評估可能的衝擊與結果。
5. 釐清應用程式的安裝限制:針對行動裝置的惡意 程式愈來愈多,企業為了降低安全風險,可能會限制員工在行動裝置上任意安裝App,但若是員工私有的行動裝置,員工仍然保有權力可以自己安裝軟體,因此這一部分就需要企業事先與使用者進行溝通,明訂應用程式的安裝要求。
6. 制定使用政策並實施教育訓練:透過政策明訂的內 容,向員工說明以便取得其同意來實施某些安全做法。例如啟用遠端刪除功能、資料加密等,會是比較容易獲得員工尊重與信賴的做法。
最後,建議企業在行動裝置的安全管理方面,盡量以勸導、訓練和警示,代替全面監控員工的做法,換句話說,請千萬不要假安全之名而行侵犯隱私之實,因為在行動裝置中的個人資料,同樣也受到個人資訊保護法的保障,若企業因此而違法的話,到最後肯定得不償失。
<本文作者:花俊傑曾任IT雜誌主編、資安顧問,擁有CISSP、CISA、CISM、CEH、CCSK、CIPP/IT、CIPM等國際認證,自詡為資安傳教士,樂於分享資安心得>
原文引用連結:https://reurl.cc/A2AnX3
