隐私和自带设备(BYOD)
BYOD如何与数据保护要求相协调?
当员工使用智能手机或笔记本电脑等个人设备作为工作工具时,对雇主来说就变得很复杂。一方面,员工希望在自己熟悉的设备上工作,但另一方面,管理层又有义务遵守数据保护。然而,这种实用性与合规性之间的两难局面是可以解决的。
Index
自带设备还是自带德赛斯特?
那么,员工的个人设备上有公司数据有什么关键呢?很简单,雇主失去了对自己公司数据的控制。虽然乍一看,允许员工使用个人设备似乎是个好主意,但仔细一想,很遗憾,并非如此。有了BYOD,私人数据和公司数据就会混在一起。此外,数据丢失的风险也会增加,因为这些设备在私人领域的使用更多(例如:聚会、旅行、朋友的私人访问、休闲活动)。
由于雇主也有责任遵守数据保护要求,他必须采取适当的数据安全措施。这意味着他必须保护公司数据不丢失或破坏。在这方面,如果员工能访问自己的电子邮件账户,并能将附件(客户和员工的数据、业务伙伴的数据)下载到私人设备上就可以了。但与此同时,员工对自己设备上的私人数据也有保密权。用人单位不能为了保证数据安全,对不属于自己的智能手机进行简单的长期 “屏蔽”。最后,必须要有使用的游戏规则和技术方案,这样才不会让BYOD成为灾难。
移动设备的数据保护
各种基本的数据保护法规(如 “GDPR”)对于BYOD策略并没有太大变化。然而,有必要考虑对现有的条例进行一些修改。数据应保持在雇主的控制范围内,如果建立虚拟专用网络(VPN)连接,就可以确保这一点。这将允许员工在移动设备上查看数据,但不能将其存储在设备上。这种方法的好处是,如果设备丢失或毁坏,公司数据不会受到影响。但是,它也有一个缺点:无法在离线模式下进行编辑。特别是对于国际团队或外地工作人员来说,不受地点限制的工作是很重要的,这通常包括在 “路上 “工作,几乎没有稳定的网络连接的机会。如果这样做太过拖累生产力,就应该考虑其他的技术解决方案。
另一种选择是设备本身的加密存储区域。这样就可以将公司数据和私人数据分开,防止混为一谈。如果这时公司自己的应用也在这个受保护的存储区域内运行,这就是所谓的 “沙盒 “原理。同样,受保护的环境和沙盒外没有互动。 如果将公司的操作系统和公司的应用系统与私有区域分开运行,这些解决方案被称为 “虚拟化”。这也使公司能够影响操作系统的最新性,并确保其保持安全。如果在设备上同时运行两个系统,势必会对硬件资源和性能产生影响(关键词:电池性能)。
在这种情况下,必须制定规章制度,确保员工的操作系统适应自己公司的安全。尤其是禁止对操作系统进行修改,如对iOS设备进行 “越狱 “或对Android设备进行 “root”。另外,还要考虑允许员工登录安全区域的安全要求。指纹等生物识别传感器不应列入等式,因为它们不够可靠。设备的物理安全可以通过策略进行更详细的定义。作为一种补充和辅助措施,对员工进行意识培训是有用的,因为他们最终要面对限制使用其私人设备的问题。
实施BYOD战略
员工越是知道自己在某些情况下应该怎么做,使用BYOD就越安全。 那么,现在应该对哪些点进行监管呢?
- 购置或损坏设备时的费用保障,但也包括使用SIM卡打电话的费用。
- 核准的设备型号、操作软件系统和应用程序的版本(黑/白名单)。
- 安全保管规定(如将笔记本电脑留在车内、儿童玩手机等)。
- 协助设备维护(设置、更新
- 访问权限和控制(在被盗时远程删除)。
- 报告损失的义务–注意根据GDPR的规定,数据泄露的报告时间为72小时!
- 密码的安全要求
- 违反使用政策的后果(如改用公司设备)
- 离开公司或休假时归还数据 限制访问授权
- 参加培训课程以提高安全意识
- 关于数据保密的信息,用于遵守商业和公司秘密的规定
- 在处理活动登记簿中补充BYOD战略。
- 开展数据保护影响评估
结论
很明显,最简单的方案就是指私人和专业用的两种设备,但实际情况却不一样。 在很多情况下,BYOD战略的实施会耗费大量的成本,也很复杂,但如果能有效实施,就会成为员工和公司的 “双赢 “局面。一方面,用户可以使用自己熟悉的设备进行工作,另一方面,可以通过安全理念来降低现有的风险。
Comments are closed.