https://twcert2024.informationsecurity.com.tw/

觀點

BYOD解決方案 整合才能有效管控資安風險

2013 / 09 / 30
編輯部
BYOD解決方案  整合才能有效管控資安風險

根據Gartner報告,預計2013年底手機將取代電腦成為全球使用最多的連網裝置,與桌上型電腦或NB相比,人們更願意使用行動裝置上網。而TrackVia調查則指出,53%組織已經接納了BYOD,將近一半的人認為在工作中使用個人裝置是很重要的一件事,預計到了2017年,將有三分之二企業採用BYOD策略。

回到台灣市場來看,有開放BYOD的企業其實不少,精誠資訊企業產品應用部產品經理鄭宗賢指出,目前以金融業中的銀行與保險、製造、醫療、房仲...等產業為主,但是真正有導入解決方案的卻不多,大部份企業還是以最基本的帳號密碼作為管控方式,造成這種現象的原因有兩個,一來是目前與行動裝置有關的資料外洩事件並不多、後果也不是非常嚴重,所以企業雖然知道用行動裝置處理公事的資安風險高,但管理階層投入預算採購產品的決心卻不夠強烈,再者BYOD解決方案選擇非常多,如同前文所提,管控對象從行動裝置本身、網路存取、到應用程式,每個解決方案所切入的角度都不同,又似乎都有其必要性,導致企業不知該如何選擇。

Gartner IT風險與安全副總裁Christian Byrnes曾經指出,企業在規劃BYOD控制措施時,資料存取方式(線上存取、離線閱覽)決定了安全管控強度。假設所有資料只能線上存取,採用基本安全控制措施即可,但若開放資料可以離線閱覽,就需要導入MDM、檔案加密等控制措施。

回歸需求 選擇BYOD解決方案
其實,企業在決定BYOD的管控解決方案前,應該先釐清以下幾個問題的答案,如:哪些業務/資料可以透過行動裝置來處理?哪些人可以使用行動裝置辦公?這些人所使用的行動裝置是什麼類型(智慧型手機或平板電腦)?這些答案形塑出企業M化的應用模式,進而影響到它所應該採用的解決方案。

除了BYOD應用模式外,產業差異會不會有影響?對此,鄭宗賢認為除了醫療業之外,BYOD其實沒有太多的產業差異。醫療業目前BYOD應用模式多半是在院內,且以平板電腦為主要的行動裝置,最常看到的情形是醫生手持平板電腦去巡房,在巡房過程中一邊登入醫療資訊系統(HIS)或醫療影像儲存系統(PACS),查詢病患最新病況、下達醫囑、下載X光片...等,一邊向病患講解病情,很少看到醫生使用行動裝置來收發電子郵件,從這種應用模式來看,醫療業所需要的BYOD解決方案應該以MAM為主,目的是保護行動裝置內的病歷資料。

但是其他產業的BYOD應用卻非如此,其多半從收發電子郵件開始(將近8成企業是以此為主要應用),將現行電腦應用程式/系統轉換成手機APP,並且搬到行動辦公環境的比例並不高,對這些企業來說,MAM雖然功能豐富卻不是CP值最高的選擇,其只需要MAM當中的電子郵件或檔案管控功能,或是其他可以管控電子郵件的解決方案。

因此,鄭宗賢建議企業在導入BYOD應用時,可以先從電子郵件管控開始,之後當允許員工行動裝置可以使用的企業APP變多時,再來導入其他解決方案。對此,Citrix資深技術顧問周伯彥提出逆向思考的觀點,他認為,企業導入BYOD最終目的是提升員工工作效率,為公司創造更多績效,因此行動裝置上所能使用的APP越多,對使用者越方便,自然能提升使用頻率,從而彰顯BYOD價值所在。

規劃BYOD三步驟
所以,企業應該重新調整BYOD的順序,並建立完整應用模式。第一步先從基礎建設開始,將應用程式、資料庫、伺服器、身份認證...等IT資源統合在一起,如:AP瘦身、資料庫整合,尤其有些企業可能同時有LDAP、AD等多種身份認證機制,如果沒有整合,未來每登入一支APP就要重新輸入一次帳號密碼,對使用者來說相當不方便。

第二步則是考慮應用程式的部分,可以選擇進行應用程式虛擬化,讓行動裝置可以使用原先在電腦環境中的應用程式,企業也不必額外投入手機APP的開發成本,然而若企業需要搬上行動環境的應用程式真的不多,也可省略這道程序,開發手機APP是比較符合成本效益的作法。最後,則是導入MAM或MDM解決方案,如果是公司派發的行動裝置便可選擇MDM,但若開放員工使用自己的行動裝置,則建議採用MAM比較不容易有爭議。不過,這不代表企業不能導入MDM來管控員工自有的行動裝置,在《難以拒絕BYOD 應業應先祭出政策》一文中,曾經提出一些降低爭議的作法,如:補助通訊費、限制連網時間、限制可以使用的APP數量...等,可供企業參考。

TechTarget中國的報導曾經指出,對於BYOD管理和安全,並沒有單一的解決方案,從一些已經導入BYOD解決方案的企業來看,他們雖然採用不同的管理工具,但卻有個共同點,那就是將各種工具整合在一起,管理範圍涵蓋行動裝置設備、手機應用程式、及網路。因此,無論企業選擇導入哪一種BYOD解決方案,都必須明白這不是唯一方式,隨著BYOD應用模式改變,如:開放更多員工使用BYOD,企業就得重新檢視現行管控機制是否適合,才不會在還沒享受到開放BYOD的效益前,就先陷入資料外洩的風暴中。