在COVID期间和之后确保远程工作人员的安全

2021年1月19日
在COVID期间和之后确保远程工作人员的安全 2019冠状病毒病期间有效的IT资产管理|生产力、安全和弹性的基本要素

这是我们讨论COVID-19期间有效IT资产管理的系列文章的第二篇。我们的第一篇博客解释了如何管理远程员工的生产力,而本文概述了在COVID大流行期间和之后应该采取的保护远程员工的步骤。在本系列的最后一篇文章中,我们将介绍一些您应该遵循的最佳实践,以使您的公司具备全球弹性。

COVID-19从根本上改变了我们的经营方式。过去在工作场所绝对禁止的事情现在变得可以接受,几乎是正常的。越来越多的员工开始利用他们公司的自带设备(BYOD)政策,该政策允许他们使用个人设备访问企业数据和系统——从办公室内或世界各地。如果你停下来想一想这一政策的影响,你会感到难以置信。

各种规模的公司都在委托可能对网络安全威胁和缓解策略知之甚少或一无所知的员工寻找并实施最合适的防御措施,以监控和保护自己的个人计算设备。员工现在的任务是安装正确的工具,配置它们以达到最佳的可用性和安全性,并在面对不断变化的漏洞和网络攻击的世界时维护自己的设备。作为一名商业领袖,你可能会问自己:“我能做些什么来减少与BYOD相关的一些风险?”

答案是双重的。从人力资源方面来看,您应该实施亚博ios官网下载安全意识培训,这与您的组织的安全文化相关联。从技术的角度来看,您应该指派一个团队来监视、测试和验证您的BYOD策略是否被遵守,以及您的控制是否在工作。

员工是你抵御网络威胁的第一道防线。在网络安全最佳实践方面对他们进行培训,可以创建问责制文化,并确保您的安全政策保护您的公司免受人为错误和在Microsoft Office和Adobe Flash等商业应用程序中常见的漏洞的影响。事实是,Office 365应用程序带有一些固有的漏洞——特别是当系统管理员没有遵循适当的安全措施,而完全依赖于非Office 365特定的安全解决方案进行保护时。经过适当的培训,你的所有员工都应该能够理解固有漏洞的概念,识别网络钓鱼计划,识别恶意软件可能在何时何地运行,并帮助你的IT团队阻止这些和其他类型的网络攻击。

解决方案的第二部分是实现一个有效的IT资产管理系统,该系统将一些控制包裹在BYOD策略周围。收集每个设备(即资产)的信息的过程对于有效管理组织的网络安全至关重要,这些设备有权连接到您公司的系统并从本地和远程位置访问您的数据。Gartner杰出副总裁分析师Tom Scholtz表示,

“我们的目标是提供一个生态系统,在保护企业的必要性与采用创新的、有风险的新技术方法以保持竞争力的需求之间取得平衡。”[1]

公司越来越不关心他们资产的成本,而更感兴趣的是跟踪每一项资产所包含的信息——以及它给员工的访问权限。ITAM信息不仅对于跟踪公司的资产非常重要,而且对于帮助IT团队执行公司的BYOD规则也非常重要。如果执行正确,接受公司自带设备的政策远远超过潜在的风险。员工在熟悉的设备上工作会感觉更舒适、更高效,BYOD还能降低公司的硬件和软件成本。例如,ChangeGear数据在通过用户门户提供远程用户访问的同时,仍然安全地存储在您的机构防火墙保护之后。以下步骤将帮助您确保远程工作人员的安全,并在未来保护它:

步骤1 -定义可接受的使用指南

可接受的使用策略有助于防止病毒、木马和恶意软件通过不安全的网站和应用程序进入您的系统。至少,您应该与您的IT主管讨论以下问题,以便他们能够定义可接受的使用策略:

  • 允许员工从个人设备上访问哪些应用程序?
  • 当员工的个人设备连接到公司网络时,你们禁止他们访问哪些类型的网站?
  • 员工可以使用个人设备访问哪些公司系统和文件?例如,可能允许使用电子邮件和日历,但可能限制访问机密文件。
  • 还有哪些政策对您的业务很重要?确保清楚地标出你的界限,这样就没有灰色地带。

步骤2 -为所有设备建立安全策略

在给员工在世界任何地方访问公司资源的自由之前,需要建立一些基本规则。亚博ios官网下载用户倾向于抵制复杂的密码和屏幕锁,因为它们不方便。但是不安全的设备会使你的敏感数据暴露于恶意攻击。最起码,您的BYOD策略应该包括以下安全指导方针:

  • 应该在家庭网络中启用数据加密,应该禁止使用公共网络(除非通过VPN访问)。
  • 建立持续的过程改进策略,以审查和实现现代加密技术,如同态加密。欲了解更多信息,请阅读如何操作IBM使加密悖论实用- IEEE频谱
  • 所有的笔记本电脑、智能手机和平板电脑都应该使用强字母数字密码。台式电脑也应该遵循同样的规则,即使它们放在家里员工的办公桌上不太可能被入侵。
  • 决定将公司有价值的数据存储在哪里。在BYOD的本地硬盘、云存储、USB驱动器或其他地方?允许在本地存储什么类型的文件(如果有的话)?
  • 不活动超时控制应该到位,这样设备在闲置一段时间后就会自动锁定。
  • 如今,运行反病毒安全应用程序是必须的。您是要求员工安装您的特定安全应用程序,还是允许他们选择并实现自己的解决方案,只要它符合您的标准?

您的安全策略应该围绕您的行业和业务规模的指导方针和遵从性需求构建。例如,常规存储敏感数据的成熟医疗保健或金融公司将比小型初创公司受到更多限制。

第三步-向所有员工和承包商传达你的BYOD政策

让员工接受BYOD政策的关键是通过诚实和详细的沟通建立信任关系。让你的员工确切地知道什么是可以接受的,什么是不能接受的。记住,平衡很重要。设置太多的限制会让你的员工觉得你侵犯了他们的个人自由,而一个薄弱的BYOD政策会让你的公司处于危险之中。

BYOD政策只有在使用它们的人理解并遵守规则的情况下才会成功。一个成功的BYOD培训项目可能意味着培养一支高效的劳动力队伍和你不得不向董事会解释数据泄露的区别。避免后一种情况的最好方法是通过正在进行的员工安全培训清楚地传达您的政策。

确保你的所有员工都签署了一份协议,承认他们已经阅读并理解了你的BYOD政策。这将保护您和您的公司免受与使用BYOD设备从事非法或不适当行为的员工有关的责任。

步骤4 -利用IT资产管理(ITAM)的力量

你的公司突然需要大量的员工在家工作,这给你的IT部门带来了各种各样的压力:

  • 进程被抛到一边。它们要么根本不被遵守,要么被松散地遵守,这样员工就可以尽可能快地“完成工作”。作为一个商业领袖,这是关于风险管理的。如果您给您的组织施加了太多的压力,要求其快速发展,您应该知道过程的坚持将会受到影响。但是传统流程并不总是支持计划外的更改,而且可能无论如何都需要刷新。
  • 放弃过程的一个直接结果是软件许可不足。让人们快速访问软件并“稍后”整理许可证是IT团队在危机期间最常见的方法(错误)之一。不幸的是,“后来”很少出现,非法使用软件的问题永远不会自己解决。
  • 公司还经历了过度授权的问题,因为在危机时期对专门软件应用程序的需求会激增。远程工作人员突然需要立即访问Zoom、WebEx和Microsoft Teams等程序,这迫使公司在没有足够时间评估实际长期需求的情况下购买更多许可证。
  • 由于上面列出的问题,IT部门几乎总是陷入“许可陷阱”。Citrix和/或远程桌面服务(RDS)是快速让每个人访问软件的最简单方法,但它也是与许多软件供应商不兼容的最简单方法。公司最终会为他们实际上不需要/不使用的许可证支付额外的钱,或者因为不正确使用托管在集中服务器上的软件而支付巨额账单。托管在思杰服务器上的Microsoft Office只是“许可陷阱”的一个例子,但其他知名供应商也有类似的规则和惩罚措施。

SunView Software的ChangeGear资产管理模块旨在帮助公司中的每个人在他们的生命周期中获得对组织的有形和无形资产的更深入的理解。它的先进功能可用于管理有价值的公司资产,如计算机硬件、车辆、发电机、艺术品,以及公司拥有的几乎任何其他东西。重要属性包括资产价值、折旧、保修、合同状态、软件即服务(SaaS)订阅信息,以及更多的都是实时监控的,使您的整个组织能够及时了解您的员工感兴趣的资产的状态。

ChangeGear的资产管理模块包括内置的自动发现、依赖映射和配置审计,允许组织轻松地管理他们的整个虚拟和物理基础设施。您的IT部门可以快速部署和利用ChangeGear的资源发现专家(RDE)来映射和管理关键资源,如业务服务、硬件、软件、亚博ios官网下载许可证、用户、文档和配置信息在一个联邦数据库中——在这个系统中,多个数据库似乎作为一个单独的实体发挥作用。

步骤5 -制定员工离职计划

在某种程度上,设备连接到你的BYOD网络的员工最终会离开你的公司。如果不能删除他们对公司网络和数据的访问,可能会导致重大的安全问题。把BYOD离职清单作为离职面谈的一部分。你们的IT部门:

  • 禁止前员工访问公司电子邮件帐户和所有其他公司系统?
  • 更改前员工公司范围内无法禁用的账户密码?
  • 清除前雇员被禁用账户中存储的所有数据(除非这些数据需要出于法律目的而保留)?
  • 对前员工的公司设备进行适当的清洁和消毒,以清除灰尘、碎片、霉菌、细菌、COVID-19和其他污染物?

随着新冠肺炎疫情的发生,BYOD已经成为您的企业继续运营不可避免的必需品。一个编写良好、沟通良好、涵盖所有基础的BYOD政策可以使您的员工工作更有成效,在完成分配的工作时感到更有成就感,并防止代价高昂的数据泄露和恶意攻击破坏您的组织。

[1] Gartner(2020)。重新思考安全和风险策略.从https://www.gartner.com/en/publications/rethink-security-risk-strategy-ebook-pd.html获取

发表在:

相关的帖子