愈來愈多的企業允許員工攜帶自有的行動裝置(BYOD)上班,並且使用在日常工作之中,一旦這些行動裝置離開了企業環境,企業要如何管控行動裝置上所儲存的大量商業資料,實施有效的安全管理,同時也要避免侵害員工的隱私?
隨著Apple iOS、Android及Windows手機與平板電腦的銷售如雨後春筍般成長,其中有一項行銷的策略在於廠商讓消費者明白了,購買這些行動裝置不只可以作為生活中的娛樂之用,更可以同時使用於工作之中,創造了使用者在購買時一次滿足的強烈欲望。
企業願意讓員工BYOD並成為工作中的一項工具,主要就是希望透過這些行動裝置的協助,能夠增加更多的工作效率,並且有機會拓展更多業務,而藉由員工自備行動裝置,也可以讓企業降低硬體採購與更新的成本。
另外,使用行動裝置的好處是,員工即使離開了工作場所,還是可以在往返公司的途中來存取工作資料,或是在出差時利用它來收發個人電子郵件或瀏覽網頁之用,同時兼顧並保有生活與工作上的多重用途。
行動裝置的安全與隱私風險
但是,無論是由公司添購或是私人擁有的行動裝置,只要是會將它連接至公司網路,就必須依照公司的資安政策,進行身分驗證,然後賦予適當的權限,以便降低資訊安全的風險。
一般而言,行動裝置可能造成資料外洩的原因,包括遺失裝置、感染惡意程式、未經授權的不當洩露等。
目前在企業內可使用的行動裝置,大致有以下兩種情況,第一種是由公司所配發的設備,所以公司有權可以主動進行適當的管控。另一種則是個人擁有的行動裝置,對使用者而言,這些行動裝置是自己購買的,在使用時不必受到公司資訊部門的管轄,也可以拒絕受到不必要的安全管控。
目前,大多數企業只站在安全管理的角度來進行控管,而忽略了可能會有侵犯個人隱私的情況,舉例來說,如果發生疑似資料外洩的事件,企業可能會要求員工必須交出其使用的行動裝置,以便檢查其中所存取的公司文件、瀏覽記錄與所儲存的資料等,撇開由私人所購買的裝置不看,即便行動裝置是由企業所提供,但是大多數的使用者,仍可能會將它使用在私人用途上,像是瀏覽網站、使用Facebook等社群媒體、下載音樂、影片、應用程式和遊戲等,這些仍是與個人隱私有關的資訊。
BYOD可能造成的隱私問題
根據美國的一項調查指出,採行BYOD的使用者有80%對於企業雇主存取其私有設備上的個人資料感到疑慮,擔心他們自己所在的位置、使用的App、網頁瀏覽記錄和下載的資訊受到不當揭露。
站在企業資訊安全的角度而言,進行安全管控以降低風險當然有其必要性,但卻不能以此就作為犧性員工個人隱私的充分理由。而員工興高采烈地帶著自己的行動裝置,在加入公司的BYOD行列之前,也要想想可能會對自己造成什麼影響。
根據雲端安全聯盟(CSA)所提出的行動裝置安全指南,提到員工在使用公司所提供的BYOD方案時,應該要先了解以下幾個問題:
- 公司是否會讀取行動裝置上我的個人資料?
- 若需要進行法律相關調查時,對我的行動裝置會造成什麼影響?
- 如果我的行動裝置遺失了,將會發生什麼事?
- 在遺失行動裝置時,是否可以要求進行完整的資料清除?
- 當我採取了BYOD方案,但是在離開公司之後,將會發生什麼事?
至於針對企業在建立BYOD的政策時,也需要考慮以下的事項:
- 在什麼情況下,企業需要取得行動裝置的所有權?
- 在什麼情況下,行動裝置的資料會被清除?這需要考量當地的法律和法規。
- ‧監控員工的資料與行為,應該合乎員工所面臨風險的比例原則,尤其特別需要考量所儲存的位置資訊。
- 可授權進行監控員工的管理人員,應該要被清楚地識別出來並了解其責任。
- 所有的監控在實施時,應盡可能地將侵犯行為控制在最小的範圍,並且只獲取最小量的員工資料。
- 了解在某些案例中可能也會牽涉到非企業的員工,例如員工的家屬可能也會使用員工的行動裝置。
- 行動裝置的資料清除,應只限於公司的資料。