如何应对BYOD五大风险?

2020-06-03

移动设备管理(MDM)之外,企‰业也可借助其它方法来实现BYOD风险最小化。面对BδYOD, 一Ψ些企业选择选择接受,一些选择畏缩。无论哪种方式,BYOD策略仍会得以普及。通常,企业支持BYOD无非两个主要原因,一是可提高生产力,二是可节约企业成本。企业普遍认为员工若使用自选设备,或者自⿺选应用时,工作效率会更高。此外,企业也认为若由员工自带设备(员工升级自带设∞备的速度也快于企业╟在企业范围内实现设备升⿲级的速度),可节省企业成本κ。

但是将企业数据与信息置于员工自有设备(多为移动设备),无疑会产生风险。一些风险可通过日▼益普及的MDM来管理,这种集中式软件可对企业或员工所β有的设备进行约束与管理。就个人设备得到允许访问企业网络而言,除了员工可能浪费一整天时间Ⅸ玩《愤怒的小鸟》外,另有五大常见问题不容忽视。

1. 用户安装未经审查的应用

当企●业员工自带移动设|︴()〔〕备含有商业数据,或仅仅是含访问商业数据的认证信息时,员工所安装的应用可能会带来风险。

就Andriφod设备而言,安装应用带来恶意软件的风险有所增加。若用户是从非官方网站下载相对容易运行于大多数Andriod设备上的软件时,风险会高得多。

而iOS用户通常是从App Store上下载应用,但是即便是App官网上的合法应用也会泄露企≤业可能想要保护的信⿶息 ,如:地۞址。未经审查的应用,如未认证的邮件应用,若用来╱╲访问企业资源,则会增加风险,因为用户将提交登录认证信息,而该信息可能会存储在应用提供商的服务器上,而服◎务器本身可能具备未知的安全问题。

大多数MDM平台可使企业向设备发布受认证的应用列表,限制用户任意安装应用。那引发的问题是?可能会激怒一些员工,他们会认为如此严格的控管会降低BYOD的吸引力。

2. “先点击后烦恼“的草率用户

仅凭一の个简单的 Web浏览器,用户便可在不经意间泄露敏感信息。比├如:网络钓鱼可引诱“先点击后发问”的用户将商业认证信息送入恶意网站。

当然,许多·MDM▽平台支持白名单过滤受认证网站或者执行更先进的反钓鱼过滤功能。在一些情况下,企业或许并Σ不需要一整套MDM方案。例如,若移动设备必须连接至企业VPN,企业网络安全方案(如 Web 应用防火墙)便可完成过滤工作。

3. 员工私人采购,企业买单

谁来为BYOD买单⿷?若员工是移动设备与合同买单◈者, 则可能因为付费应用或使用应用加购/程序内购买(in-app purchase)功能而累积大量额外账单; 若企业是买单者,那÷∞么由员工产生的费用可能会让财务↓人员头痛。

MDM产品具备禁止应用加购功能,但自己买单的员工可能不想受到购买限制。即使企业使用MDM来限制员工使用移动设备进行采购,也要当心一些漏洞。例如:一些产品只限制部分采购类型(如:应用加购),而对另一些采购类型(如:电子书或报刊杂志)则无法限制。

4℉. 用户丢失设备

天啊!当用户意识到智能手机或平板电脑丢失时,⊿企业的反应可能会“不太得体”而不适合用≯铅字来呈现。无论™是丢失或是遭窃的移动设备都会引发严重的安全风险。MDM方案的一大吸引力是可以实现▌全球远程锁定或清除丢失设备上的数据。

但要解除ψ丢失设备的危险性,企业不需要MDM也可以做到。Apple iOS可对在Apple iCloud上注册的iPhone及iPad进行远程数据锁定与清除。而Andriod用户则没有统一的的解决方案,但一些免费的应用如Avast Mobile 及Android Lost也可实♥现数据远程锁定与清除。而无MDM方案的企业,要求BYOD用户安装远程数据清除方案是必要的做法。

5. 用户分享设备

有些用户对∪待移动๑设备的态度会有一些散漫。其平板电脑很容易成为家人或者朋友的玩伴。除非生物识别安全功能植入移动硬件中,则根本不可能有完美的防御方案。但是一些智能网۞۞络设计可降低风险。

要保障企业资源安全应避免猜测联网用户ρ身份——这意味着在一段合理⌒时间段后或发现设备没有动态后,应要求用户重新输入认证信息否则之前的信息应失效。除此之外,也Б应避免仅基于MAC地址等识别元素来自动授权设备,设备用户必须出示一定的认证信息才能访问敏感数据。

未来☉有望实Ⅻ现一机└多重身份同存

未来的移动虚拟化技术或许可在几∪年内便消除上述所有或许多BYOⅡD风险。在未来,移动虚拟技术植入移动设备后,用户将轻松实现一机多重身份的独立操作。在此愿景之下,企业可使用MDM来Д管理自带设备上的企业身份,而同时,用户也可使用个人身份在自带设备上任意操作。当然,前提是同样的移动虚拟化技术被企业采纳。

转载请注明:来自移动化那些事

移动信息化交流QQ群:一号群:211029692 二号群:34∮4692795 CIO交流群:316076815(需┘认证)