那麼,在資訊預算有限的非營利組織裡,可以怎麼善用義工和工作人員的行動裝置,所帶來的便利,同時不增加個資或電腦安全的風險呢?一起來看看簡單的維安動作!
原文:How to Stop Worrying and Embrace the Nonprofit BYOD Workplace
作者 MayaItah 發表日期:2013年7月25日
在一個完美的世界裡,你的NPO應該擁有資源,可以讓每一個員工和義工,都配備一台符合組織安全要求的筆記型電台。不幸的,這個世界並不完美——這也是為何NPO總是會出現在那裡——所以你可能得和許多各式各樣的個人裝置打交道。
這並不是一件壞事。許多私人企業也正往那個方向移動,事實上,人們也喜歡可以使用自己裝置工作的自在感。五月時,Gartner 預測,到 2017 年,約有一半的雇主會停止發送行動裝置給雇員(英文原文)。這樣的趨勢稱作:帶自己的行動裝置去上班(簡稱BYOD, Bring Your Own Device.)
但是,奉行BYOD的工作場所,的確比較難以進行安全控管。你的NPO要如何從中獲利又避免投入過多的金錢時間呢?
決定什麼是需要被保護的
簡單來說,如果你的組織充滿外來的行動裝置,駭客比較可能入侵。
把「安全考量」擺在關注清單的最下方,是還沒遇到這類事件人們常有的反應,尤其是工作人員不多的組織。小的組織傾向認為「駭客並不會發現他們」,但組織大小並不是唯一的決定因素,過去我唯一在工作時遇過被駭客攻擊的組織,只有四個全職工作人員。
作為一個NPO組織,優先考量資訊安全,是特別重要的。考慮你所處理的是什麼樣的資料,學生、醫療或其他資料,安全性是工作的關鍵之處,即便你並不這樣覺得。記住,NPO是依賴人們的信任來傳送服務。所以,建立任何面向的信任都是重要的。
既然,當你無從得知優先順序,無法為實施BYOD的工作場所進行安全評估,那麼第一步就是釐清:什麼樣的資料是你非保護不可的。
使用訪客權限來管理
如果你與一大群義工一起工作,那麼要求每個人都對網路使用負責,是不切實際的。但如果設定了訪客權限,將義工與工作人員分開對待,你就不用操心太多。
將義工(或稱作「訪客」)與比較敏感的資料相隔離。此外,不論他們使用了哪一種惡意程式,例如臉書相關的應用程式,也不會使你的網絡受到傷害。某些產品甚至會評估訪客的裝置,來決定他們是否能直接與組織的網絡相連。
訓練工作人員
如同前述,你不可能教育每一個進出從辦公室的義工,相對而言,你的工作團隊卻是值得被慎重對待的,要投資訓練他們達到基本的安全性的要求。
第一件在安全防護上需認真對待的事,應是密碼的設定。但弔詭的是,「設定一個難以破解的密碼」這麼簡單的動作,許多人卻忽略不做,就好像明明知道喝水是預防脫水最重要的動作,卻不喝。
所有的工作人員應該為他們的行動裝置設定密碼,包括:混雜大小寫的英文字母、數字和符號的組合。密碼也應該避免任何容易猜測的字彙,譬如街道名稱或配偶的名字。使用難以記憶的密碼,是否煩人?的確,但它們同樣也難以破解。
PIN(個人識別碼)也需要同樣等級的對待。有一份針對340萬 PIN碼的調查(英文),發現超過十分之一的設定只是 1234 的數字。如果再以 0000 或 1111 來猜測,那麼你會再猜中其他剩餘的百分之二十。
你與同事們可以一起設定強制更換密碼的日期,或三不五時講幾個嚇人的駭客故事,讓大家願意這麼做。
BYOD 的工作場所,有許多彈性之處,然而簡單的預防措施卻可讓路走得順利些。希望最後,你所需要顧慮的,只是用微軟還是蘋果作業系統之間的爭論而已。
(圖片來源:lars_o_matic)
更多關於 BYOD 的報導
- BYOD,帶自己的行動裝置來上班!http://www.managertoday.com.tw/?p=12359
- 【iThome專題系列報導】員工自帶設備上班:BYOD的兩難 http://www.ithome.com.tw/itadm/article.php?c=73699
0 意見:
張貼留言