Mang theo thiết bị của riêng bạn (BYOD) đã nổi lên như một bánh răng quan trọng trong sự phát triển của doanh nghiệp hiện đại. Có một số lợi thế kinh doanh cụ thể mà một doanh nghiệp có thể đạt được thông qua việc triển khai BYOD, nâng cao năng suất của nhân viên do sự hài lòng cao hơn, cũng như giảm đáng kể chi phí so với cung cấp và bảo trì phần cứng, chẳng hạn như một số. Ngày càng có nhiều doanh nghiệp cho phép lực lượng lao động của họ sử dụng thiết bị di động cá nhân và cấp cho họ quyền truy cập vào các ứng dụng doanh nghiệp trong những năm tới để nâng cao sự nhanh nhạy trong kinh doanh. Một báo cáo gần đây của công ty nghiên cứu IDC đã chốt mức tăng trưởng ước tính của thị trường BYOD ở Châu Á Thái Bình Dương (trừ Nhật Bản) là 40.4% trong năm 2014.
Điều đó nói lên rằng, hậu quả của BYOD đối với bảo mật doanh nghiệp đang được coi là một thách thức lớn bởi các bộ phận CNTT trước đây đã thực hiện quyền kiểm soát liền mạch đối với toàn bộ mạng CNTT của doanh nghiệp. Khi nhân viên truy cập vào mạng công ty thông qua một loạt các thiết bị từ smartphones đối với máy tính bảng và máy tính xách tay, vi phạm bảo mật dữ liệu đã trở nên phổ biến.
Nhiều tổ chức đang vật lộn để xác định đầy đủ tác động của BYOD đối với tình hình an ninh của họ, đồng thời thiết lập các thủ tục có thể chấp nhận được và các mô hình hỗ trợ cân bằng cả nhu cầu của nhân viên và mối quan tâm về an ninh của họ. Điều quan trọng là phải có chính sách BYOD không chỉ bảo vệ dữ liệu của công ty mà còn tuân theo luật pháp khu vực để tôn trọng quyền riêng tư của nhân viên. Mã hóa, thực thi mã PIN, cài đặt bảo vệ chống phần mềm độc hại và chống vi-rút trên thiết bị và các công cụ quản lý thiết bị di động (MDM) đều có khả năng vi phạm quyền riêng tư của người dùng. Ở hầu hết các quốc gia, các tổ chức không thể thực hiện bất kỳ điều này một cách hợp pháp nếu không có sự đồng ý của nhân viên.
Chính sách BYOD – Minh bạch với nhân viên
Trong khi phát triển chính sách BYOD để thực thi bảo mật trong tổ chức, điều quan trọng là phải minh bạch với nhân viên của mình về trách nhiệm của họ theo quy định của chính sách BYOD. Nhân viên không chỉ phải ký tên về việc bảo vệ dữ liệu của công ty, họ còn phải hiểu đầy đủ về những gì họ đang ký và phải giữ cho tổ chức tin tưởng về các tác động của chính sách.
Nói cách khác, bằng cách đồng ý với chính sách BYOD, nhân viên từ bỏ một số quyền kiểm soát thiết bị của họ và sẽ mất quyền riêng tư cá nhân. Họ cần hiểu rằng, với quyền truy cập vào thiết bị cá nhân của họ, CNTT có thể khóa, vô hiệu hóa và xóa dữ liệu khỏi thiết bị (hoặc xóa tất cả dữ liệu trên điện thoại), xem lịch sử duyệt web, email cá nhân, lịch sử trò chuyện và nhắn tin, hình ảnh, video và các phương tiện khác. Ngoài việc biết CNTT có thể làm gì, người dùng phải hiểu chính xác điều gì sẽ xảy ra nếu thiết bị bị mất hoặc bị đánh cắp hoặc nếu họ rời khỏi tổ chức.
Các chính sách một kích thước phù hợp với tất cả BYOD – Triển vọng toàn cầu
Vì luật bảo mật khác nhau giữa các quốc gia, các tổ chức toàn cầu có thể thấy khó khăn đặc biệt khi thực hiện một chính sách BYOD chung, phù hợp với tất cả các doanh nghiệp. Ở Ấn Độ, các quy định về quyền riêng tư của người dùng không đủ toàn diện. Dự luật Quyền Riêng tư được đề xuất đang chờ chính phủ phê duyệt. Báo cáo của Ovum, “Đánh giá pháp luật về quyền riêng tư dữ liệu quốc tế: Hướng dẫn về chính sách BYOD” đã thảo luận về sự khác biệt của luật bảo mật dữ liệu ở bảy quốc gia (Hoa Kỳ, Anh, Đức, Trung Quốc, Úc, Pháp và Tây Ban Nha), nhưng, hai điểm chính là phù hợp với tất cả:
1. Các tổ chức phải thực hiện các biện pháp thích hợp để đảm bảo rằng thông tin khách hàng hoặc bệnh nhân, hoặc bất kỳ dữ liệu cá nhân nào khác mà họ xử lý, được an toàn.
2. Nhân viên phải đồng ý cho phép một tổ chức truy cập và xử lý dữ liệu cá nhân của họ.
Các tổ chức đã phải vật lộn với việc giới thiệu cho người dùng cuối một “thỏa thuận” bảo vệ cả quyền riêng tư của người dùng và tổ chức – về mặt pháp lý và kỹ thuật. Vì nhiều người dùng đang làm việc từ xa, thủ tục giấy tờ hoặc xác nhận các thỏa thuận pháp lý có thể là một việc tốn kém. May mắn thay, có những cách giúp các tổ chức cấp hoặc từ chối quyền truy cập bằng cách trình bày cho người dùng cuối một thỏa thuận sử dụng quyền truy cập từ xa động. Từ một vị trí hoàn toàn xa có quyền truy cập vào mạng, các tổ chức có thể trình bày các thỏa thuận cụ thể theo vùng thông qua kết nối VPN, có thể cụ thể theo vùng và được cập nhật khi cần thiết.
Một giải pháp thực sự và toàn diện cho vấn đề không chỉ giới hạn ở mô hình pháp lý, mà nó còn cần phải phù hợp về mặt kỹ thuật. Các công ty cần sử dụng BYOD theo cách đảm bảo về mặt kỹ thuật bảo vệ dữ liệu của họ khi dữ liệu được truy cập bằng thiết bị cá nhân. Quan trọng nhất, trong khi thực hiện tất cả những điều này, các tổ chức cần đảm bảo rằng họ cũng vẫn tiết kiệm chi phí. May mắn thay, các giải pháp truy cập di động an toàn hiện có thể hỗ trợ một khả năng được gọi là VPN cho mỗi ứng dụng, cũng như kiểm soát điểm cuối. Các tính năng kỹ thuật này cho phép kết nối VPN được yêu cầu chỉ cho phép dữ liệu truyền từ một mạng xác định đến một ứng dụng cụ thể trên thiết bị di động (VPN cho mỗi ứng dụng) và cũng cho phép thiết bị từ xa thực thi sự hiện diện và vắng mặt của các ứng dụng cụ thể.
Điểm mấu chốt là một công ty không chỉ cần có được tất cả các thỏa thuận pháp lý giữa chính họ và người dùng mà không có các tương tác hoặc sự chậm trễ tốn kém, mà còn phải đảm bảo rằng dữ liệu chỉ đến được các ứng dụng được nhắm mục tiêu – cho dù chúng là ứng dụng thông thường hay ứng dụng của khách hàng, hoặc Giải pháp MDM. Nếu điều này có thể đạt được mà không yêu cầu gói ứng dụng đặc biệt, các thách thức ứng dụng sẽ được đơn giản hóa hoàn toàn.
Tránh xa việc tuân thủ và vi phạm quy định
Trong trường hợp không có mẫu một kích thước phù hợp với tất cả các chính sách BYOD, việc có khả năng cần thiết để đối xử khác nhau với từng người dùng là rất quan trọng. Nếu một tổ chức có thể tùy chỉnh các phương tiện để có được sự đồng ý của những người dùng khác nhau ở các khu vực địa lý khác nhau, thì doanh nghiệp có thể theo dõi việc người dùng chấp nhận các điều khoản. Nếu nó là một phần tự động của quy trình làm việc, nó cũng sẽ bảo vệ tổ chức bằng cách đảm bảo có một dấu vết đánh giá.
Việc tuân thủ luật bảo mật của khu vực là điều mà mọi tổ chức kinh doanh trên toàn cầu nên thực hiện nghiêm túc. Bối cảnh rủi ro của việc triển khai BYOD phải được đánh giá cẩn thận. Bảo vệ dữ liệu trong trung tâm dữ liệu của công ty, cũng như dữ liệu trong chuyến bay và được lưu trữ trên thiết bị, nằm trong danh sách ưu tiên của CIO. Nó cũng bắt buộc phải bảo vệ mạng công ty khỏi phần mềm độc hại có thể tấn công thông qua truy cập di động. Nhưng trong khi đảm bảo an ninh dữ liệu, một tổ chức phải tự bảo vệ mình trước bất kỳ rủi ro tài chính nào có thể phát sinh do không có quyền cần thiết từ người dùng cuối để giám sát thiết bị cá nhân của họ – các hình phạt nếu không làm như vậy có thể là một điểm khó khăn cho doanh nghiệp. Tuy nhiên, trong bối cảnh của Ấn Độ, cần phải lập biểu đồ theo khuôn khổ cụ thể về quyền riêng tư của người dùng apropos, trước khi chính sách BYOD có cấu trúc phản ánh đặc tính của người Ấn Độ xuất hiện.
Được chia sẻ bởi Murli Mohan, Tổng Giám đốc, Dell Software.
Các quan điểm và ý kiến được trình bày trong bài viết này là của các tác giả và không nhất thiết phản ánh hoặc đại diện cho các quan điểm và ý kiến của DC.
. .
…
