اگر سازمانی به کارکنان اجازه میدهد تا دستگاههای دیجیتالی خود نظیر موبايل، تبلت یا لپتاپ را به محل کار بیاورند، به یک سیاست امنیتی BYOD نیاز دارند. در گذشته، کارکنان در محل کار فقط از تجهیزات سازمان استفاده میکردند. امروزه، کارمندان تمايل دارند دستگاههای دیجیتالی سيار و شخصی خود را در محل کارشان داشته باشند و از آنها برای دسترسی به منابع سازمان مانند ايميل، فايل سرور و پايگاه دادهها استفاده کنند. در این حالت هر کارمند، خطرات امنیتی را برای سازمان به صورت بالقوه به همراه دارد.
معمولاً فرض بر این است که BYOD یا “دستگاه خود را بیاورید” (Bring Your Own Device) عمدتاً توسط مشاغل کوچک تا متوسط برای صرفهجویی در هزینهها مورد استفاده قرار میگیرد. البته این فرض تا حدودی منطقی است، زیرا همه شرکتها نمیتوانند هزینه قابل توجهی را برای تهیه آخرین دستگاههای دیجیتالی و تجهیزات برای هر کارمند اختصاص دهند. با این حال، مهم است که توجه داشته باشید که BYOD همچنین به طور قابل توجهی بر سازمانهای بزرگتر نیز تأثیر میگذارد. به عنوان مثال، در سال 2010، شرکت بزرگ اینتل (Intel)، گزارش داد که بیش از 30 هزار دستگاه تلفن همراه متعلق به کارکنان آن از سیاست Bring Your Own Device پیروی میکنند.
چند مورد از مزایای اجرای سیاست BYOD ساختاریافته در سازمان عبارتند از افزایش بهرهوری، وقوع حداقل رویدادهای امنیتی و کنترل بیشتر بر حجم کاری کارکنان. بنابراین بدیهی است که BYOD برای مشاغل در هر اندازه و مقیاسی – نه صرفاً برای مشاغل کوچک تا متوسط – مزایای بیشماری را به همراه دارد.
قبل از بیان برخی نگرانیها و چالشهای امنیتی مربوط به BYOD، اجازه دهید ابتدا بررسی کنیم BYOD چیست و چرا اهمیت دارد.
BYOD چیست؟
BYOD یا Bring Your Own Device روندی است که در آن کارکنان از دستگاههای شخصی خود مانند تلفنهای هوشمند، تبلتها، کامپیوترهای شخصی یا دستگاههای USB برای اتصال به شبکههای سازمانی و دسترسی به سیستمهای مرتبط با سازمان بدون به خطر انداختن اطلاعات و شبکههای سازمان استفاده میکنند.
با توجه به رواج دورکاری کارکنان و بکارگیری روزافزون BYOD، تیمهای امنیت فناوری اطلاعات باید سیاستهایی را جهت خطرات امنیتی مرتبط با BYOD ایجاد نموده و آنها را اعمال کنند. به عنوان مثال، این سیاستها میتواند ضمن تعیین نوع دستگاههای شخصی مجاز جهت استفاده توسط کارمندان در سازمان، مالک دادههای موجود در این دستگاهها را نیز تعیین کنند.
علاوه بر این، در برخی موارد، تیمهای فناوری اطلاعات ممکن است از کارمندان بخواهند نرمافزارهای امنیتی خاصی را بر روی دستگاههای شخصی خود نصب کنند تا از امنیت دادههای حساس و محرمانه اطمینان حاصل شود.
اهمیت اعمال سیاستهای BYOD
رضایت کارکنان
سیاستهای BYOD که به کارمندان اجازه میدهد از دستگاههای خود بهجای دستگاههای منتخب بخش IT استفاده کنند و محدود به دستگاههای سازمان نباشند، میتواند رضایت کارکنان را افزایش دهد؛ خرسندی کارکنان برای حفظ نیروی کار بسیار ضروری است.
صرفهجویی در هزینه
برای اکثر سازمانها، کاهش هزینه عامل بسیار مهمی است که باید در نظر گرفته شود. با اجرای سیاست BYOD، بار مالی از کارفرمایان به کارمندان منتقل شده که این امر منجر به صرفهجویی در هزینهها میشود.
بهرهوری بیشتر
سطح راحتی یک کارمند با دستگاههایشان تأثیر مثبتی بر بهرهوری و کارایی آنها دارد. کارکنان در بکارگیری دستگاههای خود، راحتتر هستند و مهارت بیشتری دارند. علاوه بر این، دستگاههای شخصی معمولاً دارای آخرین فناوریها هستند که میتواند برای شرکت سودمند باشد. علاوه بر این، کارمندان به احتمال زیاد دستگاههای دیجیتالی خود را مرتباً ارتقا میدهند و در نتیجه سختافزار قویتری در اختیار دارند.
تهدیدات، نگرانیها و چالشهای امنیتی BYOD
معرفی دستگاههای شخصی
فرآیند ورود دستگاههای جدید در زیرساخت فناوری اطلاعات میتواند مستعد خطا، زمانبر و ناکارآمد باشد.
مدیریت سیستمهای عامل متنوع
BYOD از انواع دستگاهها و سیستمعاملهای متعددی مانند Android یا iOS تشکیل شدهاند که اغلب با راهکارهای امنیتی قدیمی در سازمان تضاد دارند و این امر مدیریت آنها را پیچیدهتر میکند.
بدافزار
کارمندان به طور مکرر فایلها و برنامههای کاربردی را روی دستگاههای خود دانلود میکنند و احتمال حملات بدافزاری را افزایش میدهند. در نتیجه هنگامی که کارمند از دستگاه آلوده وارد سیستم میشود، بدافزارها میتوانند در شبکه سازمانی منتشر شوند.
سرقت اطلاعات
اگر سیاستهای امنیتی BYOD وجود نداشته باشد، برخی از برنامهها و نرمافزارهای کاربردی که کارکنان استفاده میکنند ممکن است الزامات امنیتی سختگیرانه سازمان را برآورده نکنند. یک حساب کاربری آلوده میتواند دادههای محرمانه سازمان را افشا کند. در این حالت BYOD راهکارهای امنیتی "اعتماد صفر" موسوم به Zero Trust را میطلبد.
وسایل مفقود یا سرقت شده
فرض کنید دستگاه یک کارمند مفقود شده و یا به سرقت رفته است. در این صورت، ضمن ایجاد آزردگی کاربر، هکر میتواند از دستگاه برای هک حسابهای کاربری و دادههای شرکت نیز استفاده کند.
عدم مدیریت دستگاه
بدون راهکار موثر در جهت مدیریت هویت افراد، کارمندان می توانند حتی پس از ترک سازمان از دستگاههای خود به برنامههای کاربردی تجاری دسترسی داشته باشند. علاوه بر این، کارکنان ناراضی میتوانند از این شکاف امنیتی برای نفوذ به شبکه سازمان سوءاستفاده کنند.