為了成本與便利性考量,許多企業已經漸漸停止提供各類個人電腦設備,轉而以補助或優惠分期等方式讓員工購買自用電腦。而高階主管們甚至會利用平板電腦作為查看內部資訊的工具。這些企業營運上的改變,同時也影響了資安管理策略的模式,從針對設備管理改變成針對應用程式管理。這改變說來簡單,但事實上卻是改變整體資安思維與管理方式,要兼顧資訊安全及工作機動性變成資安人員的一大考驗。
根據Gartner的調查報告中指出,有近半數的受訪企業會在2017年時推動員工自行購買並攜帶電腦設備辦公,而有40%的企業則會讓員工選擇要自行購買或是依然由企業提供,仍有15%的企業堅決認為這些設備需由企業提供而不開放員工攜帶自己的設備。
對員工而言,自己攜帶設備當然有工作上的好處,因為這樣可以依據自己的習慣選擇最適合的產品,同時也可以有效地將工作範圍延伸到企業之外,像是高階主管可以利用輕便的平板電腦,在世界各地存取企業內部的重要資料。但是這也會引發另一種爭議,那就是「如何兼顧安全與機動性」。
資安管理的架構改變引爆新問題
過去的資安管理策略都是以「設備」為基礎,所有的連線或存取管理都是以IP、MAC或是電腦名稱的,一旦允許開放後,該機器幾乎就能存取所有的資訊。雖然這會有部分的安全疑慮,但只要能確保該機器的安全無虞,基本上就能夠解決大多數的資安管理困境。
不過當企業允許員工自行攜帶設備,首先遇到的就是資料外洩問題,特別是當設備移動到外部時,就有可能連帶地將資料也帶走,因此資安管理上需要有新的思維及新的支援設備,才能確保資料安全。
資安管理新思維:以資料及應用為主
新的資安管理策略則是改以資料及應用程式為主要管理標的。畢竟,資料才是我們真正需要保護的項目。特別是在雲端應用服務日漸興盛的狀況下,不再需要單機版的應用程式才能存取資料,在便利性與機動性要求下,許多企業都已經採用瀏覽器為主的雲端服務,因此強化資料保護才是適合現代的資安管理思維。
當企業將資安管理思維轉而以資料為主時,才能夠真正安全地讓員工帶自己的設備上班(Bring Your Own Devices, BYOD),因為我們可以鎖定資料的存取權限、存取方式、存取地點與時間,甚至是存取的設備等。
MAM(Mobile App Manager)是企業在BYOD普級化後需要的新資安管理思維,它並不管理企業員工所使用的設備,而只是監督管理設備上的企業內容與應用程式,著重的是第七層及相關的內容,因此對員工而言,用任何設備都無所謂,只要能夠執行所需的應用程式,存取所想要的內容即可。
對企業管理人員而言,則是有效地提高他們對資料的管理能力。畢竟,過去以設備為主的管理方式,管理者必須針對不同伺服器、不同用戶或是不同電腦設定多重政策,但是現在則僅需要設定簡單的規則,依據不同層級開放可使用的功能與內容。相對而言能夠提供更高的彈性與管理能力。
使用者需體認新工作型態需負之責任
企業為了要兼顧工作效率、便利性與安全性,勢必在管理上需有所妥協,但要如何協助外部使用者保障安全性呢?最好的方式就是利用可偵測並辨別使用者所在位置、設備、連線時間與使用軟體等的邊界設備,利用這些參數指標,構成先進且有效率的管理規範,進一步協助使用者達成安全的目標。
公司內部的應用交付控制器藉由用戶端所安裝的程式加速應用程式派送、資料傳遞並提高安全性外,倘若外部員工並非使用所認可的設備,他也要協助外部員工利用加密網頁或是限制資料存取範圍等方式,提供明確的狀態解釋及提示語,讓外部員工得以了解他目前的使用權限與解決方案,不但能夠快速取得關鍵業務資料,同時也可以更清楚IT治理政策,讓所有外部員工不會在無意間踏上資訊安全的地雷。
企業決策與管理為最終考量
其實要做到BYOD最重要的還是企業整體的管理政策,因為要同時兼顧安全與機動性,就必須要替資料設定最佳的管理策略,這樣才能保障使用時的安全。
導入BYOD初期必須要先了解哪些資料需要特別留意,主要的存取環境,以及安全政策如何制定。同時必須隨時收集使用者的意見,並依據狀況調整最佳策略,如此才能確保安全政策始終在最完備的狀態,同時也能提供充足的機動性。
本文作者為F5 Networks香港及台灣區董事總經理,擁有逾17年的資訊及電訊行業經驗。