自携设备(BYOD)在现代工作场所极为常见。随着混合办公成为标准,员工期望能从个人笔记本电脑、手机和平板电脑访问企业系统。

然而,虽然BYOD作为标准正在成熟,但围绕其安全实施的政策仍然滞后,这通常不是由于安全设计不佳。员工只是没有遵循要求的指导方针,而网络安全团队则被蒙在鼓里。

那么,组织如何设计一个BYOD政策,让员工真正遵循,同时又不影响安全性呢?

让安全措施隐形(或至少接近隐形)

要使BYOD政策在实践中发挥作用,安全措施需要自然地融入员工现有的工作方式。它越是打断日常工作流程,用户就越有可能寻找绕过它的方法。

登录摩擦是最大的采用障碍之一。要求重复登录、复杂的身份验证步骤或持续的重新验证会迅速导致挫败感。但这并非必然。

借助单点登录(SSO)和简单的多因素认证方法(如推送通知或生物识别)等技术,组织可以在不减慢用户速度的情况下保持强大的安全性。

允许更长的会话持久性也是减少挫败感的一种方法,且对安全性的影响很小。目标是避免强迫用户为基本任务采取额外步骤。如果访问电子邮件、文档或内部工具变得困难,员工自然会寻找捷径。

围绕用户行为设计BYOD政策

BYOD政策应该反映员工实际的工作方式,而不是组织认为他们应该如何工作。实际上,员工全天在设备之间切换、从不同位置连接并在网络之间移动。忽视这一点的政策自然会导致不合规。

与其为理想场景设计,不如围绕实际行为制定政策。例如,要求用户每次尝试从新设备登录时进行多个身份验证步骤是一个好做法。

然而,每次登录都要求相同级别的身份验证会让人感到沮丧。

灵活性在BYOD环境中是必须的。因此,政策应主要关注保护数据和访问权限,而不是控制每个设备或位置。

还值得考虑摆脱一刀切的规则。开发人员、销售代表和财务员工以不同的方式与系统交互,并且可能使用完全不同的工具。根据角色、访问级别和所涉及数据的敏感性调整规则的严格程度,将带来更好的采用率。

直接解决隐私问题

员工对BYOD政策感到怀疑是很自然的,即使这些政策很宽松,仅仅因为它们意味着雇主对他们所拥有的设备有一定程度的访问或控制。

这就是为什么组织应该严格专注于控制对公司数据和系统的访问,并向员工解释这一点,让他们确信他们在设备上做的其他一切都保持私密。

明确的分离是关键。组织不需要查看个人应用程序、文件或活动来有效管理BYOD风险。所有企业数据应该存储在云应用程序和托管工作区中,而不是设备本身。这样安全控制就可以存在而不会延伸到用户的个人环境中。

雇主也从这种方法中受益。如果设备丢失、被入侵或员工离开公司,组织可以删除访问权限或清除企业数据,而不会影响个人内容。

提供实用的持续培训

如果员工理解BYOD政策存在的原因,他们更有可能遵循它。当安全感觉抽象或无关紧要时,很容易被忽视。但当用户意识到钓鱼、账户接管或不安全的公共Wi-Fi等真实风险时,他们更有可能认真对待政策。

培训应该切合实际,并与员工实际使用设备的方式相关。不要进行泛泛的意识培训,而是关注他们每天遇到的现实场景。对于BYOD环境,这包括识别钓鱼尝试、避免可疑链接、了解公共网络的风险,以及了解如何从个人设备安全访问企业系统。

同样重要的是不要将培训视为一次性活动。威胁不断演变,员工意识也应如此。简短、定期的更新或提醒远比不频繁的、很快被遗忘的长时间培训更有效。

目标不是将员工变成安全专家,而是给他们足够的意识,以便在日常情况下做出更好的决策。

结论

BYOD是现代工作完成方式的现实。在大多数情况下,挑战不在于是否允许它,而在于如何实施员工实际会遵循的BYOD政策。最有效的政策不是最严格的政策,而是让员工易于遵循且不会引入不必要风险的政策。

最终,最大化BYOD政策采用归结为在安全性和可用性之间找到平衡。正确掌握这种平衡的组织不仅会提高安全性,还会创造更顺畅、更高效的工作环境。