Bring Your Own Device (BYOD) เป็นเรื่องปกติในสถานที่ทำงานสมัยใหม่ เมื่อการทำงานแบบผสมผสานกลายเป็นมาตรฐาน พนักงานคาดหวังที่จะเข้าถึงระบบขององค์กรจากแล็ปท็อป โทรศัพท์ และแท็บเล็ตส่วนตัว
อย่างไรก็ตาม แม้ว่า BYOD จะเติบโตเป็นมาตรฐาน นโยบายเกี่ยวกับการนำไปใช้อย่างปลอดภัยยังคงล้าหลัง และมักไม่ได้เกิดจากการออกแบบด้านความปลอดภัยที่ไม่ดี พนักงานเพียงแค่ไม่ปฏิบัติตามแนวทางที่กำหนดไว้ และทีมไซเบอร์ถูกทิ้งไว้ในความมืด
แล้วองค์กรจะออกแบบนโยบาย BYOD ที่พนักงานจะปฏิบัติตามจริง โดยไม่กระทบต่อความปลอดภัยได้อย่างไร?
ทำให้ความปลอดภัยล่องหน (หรืออย่างน้อยก็ใกล้เคียงกับการล่องหน)
เพื่อให้นโยบาย BYOD ใช้งานได้จริง ความปลอดภัยจำเป็นต้องเข้ากับวิธีการทำงานของพนักงานอย่างเป็นธรรมชาติ ยิ่งมันขัดขวางขั้นตอนการทำงานประจำวันมากเท่าไร ผู้ใช้ก็ยิ่งมีแนวโน้มที่จะหาทางอ้อมมากขึ้นเท่านั้น
ความยุ่งยากในการเข้าสู่ระบบเป็นหนึ่งในตัวฆ่าการนำไปใช้ที่ใหญ่ที่สุด การกำหนดให้เข้าสู่ระบบซ้ำๆ ขั้นตอนการยืนยันตัวตนที่ซับซ้อน หรือการตรวจสอบอีกครั้งอย่างต่อเนื่อง อาจนำไปสู่ความหงุดหงิดได้อย่างรวดเร็ว แต่ไม่จำเป็นต้องเป็นเช่นนั้น
ด้วยเทคโนโลยีอย่าง Single Sign On (SSO) และวิธี MFA ที่เรียบง่าย (เช่น การแจ้งเตือนแบบพุช หรือไบโอเมตริกซ์) องค์กรสามารถรักษาความปลอดภัยที่แข็งแกร่งโดยไม่ทำให้ผู้ใช้ช้าลง
การอนุญาตให้เซสชันมีอายุยาวขึ้นก็เป็นวิธีหนึ่งในการลดความหงุดหงิดโดยมีผลเสียด้านความปลอดภัยน้อยที่สุด เป้าหมายคือหลีกเลี่ยงการบังคับให้ผู้ใช้ทำขั้นตอนเพิ่มเติมสำหรับงานพื้นฐาน หากการเข้าถึงอีเมล เอกสาร หรือเครื่องมือภายในกลายเป็นเรื่องยาก พนักงานจะแสวงหาทางลัดโดยธรรมชาติ
ออกแบบนโยบาย BYOD รอบๆ พฤติกรรมผู้ใช้
นโยบาย BYOD ควรสะท้อนถึงวิธีการทำงานจริงของพนักงาน ไม่ใช่วิธีที่องค์กรคิดว่าพวกเขาควรทำงาน ในความเป็นจริง พนักงานสลับระหว่างอุปกรณ์ เชื่อมต่อจากสถานที่ต่างๆ และเคลื่อนย้ายข้ามเครือข่ายตลอดทั้งวัน นโยบายที่เพิกเฉยต่อสิ่งนี้จะนำไปสู่การไม่ปฏิบัติตามโดยธรรมชาติ
แทนที่จะออกแบบสำหรับสถานการณ์ในอุดมคติ ให้สร้างนโยบายรอบๆ พฤติกรรมจริง ตัวอย่างเช่น เป็นแนวปฏิบัติที่ดีที่จะต้องมีขั้นตอนการยืนยันตัวตนหลายขั้นตอนทุกครั้งที่ผู้ใช้พยายามเข้าสู่ระบบจากอุปกรณ์ใหม่
อย่างไรก็ตาม การกำหนดให้มีการยืนยันตัวตนในระดับเดียวกันทุกครั้งที่เข้าสู่ระบบจะทำให้ผู้คนหงุดหงิด
ความยืดหยุ่นเป็นสิ่งจำเป็นในสภาพแวดล้อม BYOD ดังนั้นนโยบายควรมุ่งเน้นไปที่การรักษาความปลอดภัยของข้อมูลและการเข้าถึงเป็นหลัก แทนที่จะควบคุมทุกอุปกรณ์หรือสถานที่
ยังคุ้มค่าที่จะพิจารณาก้าวออกจากกฎเกณฑ์แบบเดียวเหมาะกับทุกคน นักพัฒนา ตัวแทนขาย และพนักงานฝ่ายการเงินโต้ตอบกับระบบในรูปแบบที่แตกต่างกัน และมักใช้เครื่องมือที่แตกต่างกันโดยสิ้นเชิง การปรับความเข้มงวดของกฎเกณฑ์ ตามบทบาท ระดับการเข้าถึง และความอ่อนไหวของข้อมูลที่เกี่ยวข้อง จะนำไปสู่การนำไปใช้ที่ดีขึ้น
จัดการกับข้อกังวลด้านความเป็นส่วนตัวอย่างตรงไปตรงมา
เป็นเรื่องธรรมชาติที่พนักงานจะรู้สึกสงสัยเกี่ยวกับนโยบาย BYOD แม้ว่าจะผ่อนปรนก็ตาม เพียงเพราะมันบ่งบอกถึงระดับการเข้าถึงหรือการควบคุมของนายจ้างต่อสิ่งที่พวกเขาเป็นเจ้าของ
นั่นคือเหตุผลที่องค์กรควรมุ่งเน้นอย่างเคร่งครัดในการควบคุมการเข้าถึงข้อมูลและระบบของบริษัท และอธิบายให้พนักงานทราบเพื่อให้พวกเขามั่นใจว่าทุกสิ่งที่พวกเขาทำบนอุปกรณ์ของตนยังคงเป็นส่วนตัว
การแยกอย่างชัดเจนเป็นกุญแจสำคัญ องค์กรไม่จำเป็นต้องมีการมองเห็นแอปส่วนตัว ไฟล์ หรือกิจกรรมเพื่อจัดการความเสี่ยง BYOD อย่างมีประสิทธิภาพ ข้อมูลทั้งหมดขององค์กรควรอยู่ในแอปคลาวด์และพื้นที่ทำงานที่จัดการ แทนที่จะอยู่บนอุปกรณ์เอง นั่นคือวิธีที่การควบคุมความปลอดภัยสามารถมีอยู่โดยไม่ขยายเข้าไปในสภาพแวดล้อมส่วนตัวของผู้ใช้
นายจ้างยังได้ประโยชน์จากแนวทางนี้ หากอุปกรณ์สูญหาย ถูกบุกรุก หรือพนักงานออกจากบริษัท องค์กรสามารถลบการเข้าถึงหรือลบข้อมูลองค์กรโดยไม่กระทบต่อเนื้อหาส่วนตัว
จัดให้มีการฝึกอบรมที่ใช้ได้จริงอย่างต่อเนื่อง
พนักงานมีแนวโน้มที่จะปฏิบัติตามนโยบาย BYOD มากขึ้นหากพวกเขาเข้าใจว่าทำไมมันถึงมีอยู่ เมื่อความปลอดภัยรู้สึกเป็นนามธรรมหรือไม่เกี่ยวข้อง มันง่ายที่จะเพิกเฉย แต่เมื่อผู้ใช้ตระหนักถึงความเสี่ยงที่แท้จริงเช่น ฟิชชิ่ง การยึดบัญชี หรือ Wi-Fi สาธารณะที่ไม่ปลอดภัย พวกเขามีแนวโน้มที่จะปฏิบัติตามนโยบายอย่างจริงจังมากขึ้น
การฝึกอบรมควรเป็นเชิงปฏิบัติและเกี่ยวข้องกับวิธีที่พนักงานใช้อุปกรณ์ของพวกเขาจริงๆ แทนที่จะเป็นเซสชันสร้างความตระหนักทั่วไป ให้มุ่งเน้นไปที่สถานการณ์ในโลกแห่งความเป็นจริงที่พวกเขาพบเจอทุกวัน สำหรับสภาพแวดล้อม BYOD นั่นรวมถึงการจดจำความพยายามฟิชชิ่ง หลีกเลี่ยงลิงก์ที่น่าสงสัย ทำความเข้าใจความเสี่ยงของเครือข่ายสาธารณะ และทราบวิธีเข้าถึงระบบองค์กรอย่างปลอดภัยจากอุปกรณ์ส่วนตัว
ยังเป็นสิ่งสำคัญที่จะไม่ปฏิบัติต่อการฝึกอบรมเป็นการฝึกซ้อมครั้งเดียว ภัยคุกคามพัฒนาอยู่ตลอดเวลา และการตระหนักรู้ของพนักงานก็ควรเช่นกัน การอัพเดตหรือการเตือนสั้นๆ ที่สม่ำเสมอมีประสิทธิภาพมากกว่าเซสชันการฝึกอบรมยาวที่ไม่บ่อยซึ่งถูกลืมอย่างรวดเร็ว
เป้าหมายไม่ใช่เพื่อเปลี่ยนพนักงานให้เป็นผู้เชี่ยวชาญด้านความปลอดภัย แต่เพื่อให้พวกเขามีความตระหนักรู้เพียงพอที่จะตัดสินใจที่ดีขึ้นในสถานการณ์ประจำวัน
สรุป
BYOD เป็นความเป็นจริงของวิธีการทำงานสมัยใหม่ ความท้าทายในกรณีส่วนใหญ่ไม่ใช่ว่าจะอนุญาตหรือไม่ แต่เป็นวิธีการนำนโยบาย BYOD ไปใช้ที่พนักงานจะปฏิบัติตามจริง นโยบายที่มีประสิทธิภาพมากที่สุดไม่ใช่นโยบายที่เข้มงวดที่สุด แต่เป็นนโยบายที่ทำให้พนักงานปฏิบัติตามได้ง่ายโดยไม่สร้างความเสี่ยงที่ไม่จำเป็น
ในท้ายที่สุด การเพิ่มการนำนโยบาย BYOD ไปใช้ให้สูงสุดขึ้นอยู่กับการหาสมดุลระหว่างความปลอดภัยและการใช้งาน องค์กรที่ได้สมดุลนี้อย่างถูกต้องจะไม่เพียงแต่ปรับปรุงความปลอดภัย แต่ยังสร้างสภาพแวดล้อมการทำงานที่ราบรื่นและมีประสิทธิผลมากขึ้น
