https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

開放BYOD 讓 Intel資安風險不升反降

2014 / 05 / 12
張維君
開放BYOD 讓 Intel資安風險不升反降
晶片龍頭廠商英特爾(Intel)早在2010年就開始開放攜帶自己設備上班(BYOD, Bring Your Own Device),別說當時行動裝置管理(MDM)這類BYOD解決方案不夠成熟,就連BYOD這詞都才剛出現,當時Intel的CIO Diane Bryant認為BYOD絕對是未來的趨勢,如果IT不做,業務單位一定會自己做,到時很可能弄得亂七八糟,而IT最後還得來收拾殘局,因此當時就決定由IT來規畫導入,讓大家享受BYOD提升生產力。如今導入4年來,參與BYOD的員工每天平均可節省1小時,員工滿意度高達90%。

HR、法務拉進來 全球同一套BYOD政策
台灣企業BYOD行動化的導入速度比周遭鄰近國家都慢許多,曾有企業說,是因為找不到完美的解決方案因此BYOD計畫遲遲未能執行,而Intel卻是在解決方案才剛出爐的時候就已開始進行BYOD,他們靠的不單是MDM工具來管控安全,而是從Policy、多層次的資料安全機制一起著手,以降低BYOD帶來的風險。「現在的資安風險比沒導入BYOD前還低!」Intel資訊部日本暨北亞區協理邱天意說。
Intel 資訊部日本暨北亞區協理邱天意
目前在全球Intel總計有43,000台行動裝置,其中一半來自BYOD,Intel讓員工自行決定是否要加入此BYOD計畫,若想提升自己的生產力,選擇加入就必須符合公司規範,包括簽署同意書,以及同意安裝MDM管理軟體。邱天意回憶,一開始CIO下令規畫導入BYOD時,是由IT部門約200人開始試行導入計畫,隨著IT同仁的試用,開始陸續有各種問題產生,「我在家收email這樣算不算加班?」、「公司刪除我個人的資料這樣合法嗎?」…等,這些與HR、法務有關的問題一一浮現出來,因此IT找來HR與法務部門加入BYOD專案的規劃,一起制訂BYOD政策,而且這一套policy必須適用全球Intel分公司,因此也需要考量各國的法規,必須以最嚴格的標準來做。

Intel已經是從IT風險管理的角度在做資安,本來也就注重資安教育訓練,所以開放BYOD後,相關規範也已融入資安教育訓練內容中,如果違反IT政策在Intel是非常嚴重的事,不只是自己,連自己的主管也會受牽累。

透過內部論壇互相幫助 減少IT支援人力
對 IT來說,最不希望的就是開放BYOD後要管理的設備變多了,尤其每個人使用的行動裝置作業系統、甚至版本都不同。邱天意指出IT無法全部支援所有行動裝置,一段時間後較舊的或較少人使用的版本,IT就會預告不再支援,以避免管理負擔太大。

此外,Intel也建立了內部的論壇,讓加入BYOD計畫的員工可以在上面發問互相幫助解決問題,這大幅節省IT的人力。邱天意發現,如果是公司PC的問題,員工大都會找IT來協助,但如果是BYOD,由於是自己的設備反而會盡量自己解決而不會找IT技術支援,因為通常只是設定上的問題。除非同時很多人有相同的問題,很可能就是IT後端系統出狀況,這時IT就得趕快解決。Intel在全球有10萬名員工,大家透過內部各種論壇互相幫忙,在討論行動裝置的論壇上也可發現各國員工所擅長的品牌與市佔率有關,例如台灣員工對HTC手機就比較熟。

多層次的安全信賴模型
在BYOD的安全機制方面,以前早期的做法是會先看業界有甚麼攻擊,安全機制必須要能防禦保護,才能使用該款設備,不然就必須要加裝其他軟體才能使用,例如較舊版本的Android,如果員工不想要安裝其它加密軟體,那就只能允許線上閱讀郵件,而不能將郵件或附件下載到手機中,IT透過限縮存取行為來達到保護。

近期則進一步發展出多層次的安全模型,透過幾種指標來計算信賴度,以決定可以看到哪些資料,並決定需要透過哪些技術才能存取,如雙因素認證或加密儲存等。邱天意進一步說明,以前是只看員工的身分,來決定他的存取權限,但現在BYOD後不能只看人的身分,還要看是用甚麼設備,在甚麼地點,以便決定可以看到甚麼等級的資料。Intel的存取層級分為5級,如果是最高機密等級的資料,一定要在公司內網裡才能存取,有時最高機密的文件還只有紙本資料,第4級是與業務部門或供應鏈有關的資料,而第3級是行事曆或郵件可以在BYOD行動裝置上存取,第2級可能是mail或一般文件,萬一不小心洩漏出去不會對公司造成太大衝擊的,第1級則是可對外公開的資料。

例如某A員工在咖啡店使用智慧手機,他的信賴等級是2級,只能存取第2級的資料,同時必須使用動態密碼OTP及PIN碼來做身分認證;又如某B員工在Intel內網使用公司配發的平板電腦,那麼他的信賴等級是5級,他的設備以及個人身分都經過公司認證後,可存取到第5層級的資料。

上述資料的分級是由IT部門先制訂,但必須與資料擁有者,也就是業務單位討論並取得同意。邱天意強調一定要先分級才能作好保護,才能將有限IT資源用來保護最重要的東西,如果所有都設為重要的話,那可能所有都保護不了。

Intel內部網站讓員工可自行決定是否加入BYOD (圖片來源:Intel提供)

工具與管理政策雙管齊下
目前在Intel內部總共已上架57支Apps,mail、行事曆、整合小工具的虛擬助手等,都是員工常愛用的Apps。Intel員工在開發Apps之後必須經過評估,IT主管將從資安、使用直覺、介面、個人化、手勢等面向來評估此App的未來性,獲得5顆星才能夠允許繼續此開發專案並上架,否則就寧可去外購App。

邱天意說,在沒開放BYOD時,員工可能會自己冒險把公司email轉到Gmail上去,或者用Google drive、Dropbox等雲端服務,這樣風險非常高。如今導BYOD,有提供相關安全的App工具讓員工使用,這樣就不會去使用外部服務,因此他認為導入BYOD後風險比開放前還低。至於許多機關面臨員工使用Line來討論公務或傳遞資料等,現行MDM解決方案無法控管的問題,他認為這時需要靠管理手段,這種屬於違反IT policy的行為,在Intel可能會面臨革職的嚴重懲處。

在Intel,不管導入甚麼IT專案都需要計算效益,不能主觀而是要客觀的效益,BYOD計畫也不例外。Intel定期進行內部調查,請同仁填寫BYOD大約為他們節省多少時間,結果發現在等車、等吃飯、睡前都是員工最常使用的時機,平均下來大約節省1小時,滿意度也高達90%。

回顧這4年來,Intel沒有因為MDM工具尚未成熟就不導BYOD,他們透過管理政策、限縮存取行為等方式盡量控制風險,同時透過5顆星的App開發評估機制,讓開發者學習HTML5等新的工具。邱天意認為,隨著平板等行動裝置越來越便宜,未來預估員工BYOD的設備只會越來越多,因此趁早導入及早管理,這條路是走對了!