Bring Your Own Device (BYOD) cực kỳ phổ biến trong các nơi làm việc hiện đại. Với mô hình làm việc kết hợp đang trở thành tiêu chuẩn, nhân viên mong đợi truy cập hệ thống công ty từ laptop, điện thoại và máy tính bảng cá nhân.

Tuy nhiên, trong khi BYOD đang trưởng thành như một tiêu chuẩn, các chính sách xung quanh việc triển khai an toàn của nó vẫn tiếp tục tụt hậu, và thường không phải do thiết kế bảo mật kém. Nhân viên đơn giản là không tuân theo các hướng dẫn yêu cầu, và các nhóm an ninh mạng bị bỏ lại trong bóng tối.

Vậy làm thế nào các tổ chức có thể thiết kế chính sách BYOD mà nhân viên thực sự tuân theo, mà không ảnh hưởng đến bảo mật?

Làm Cho Bảo Mật Vô Hình (hoặc Ít Nhất Là Gần Như Vô Hình)

Để một chính sách BYOD hoạt động trong thực tế, bảo mật cần phù hợp một cách tự nhiên với cách nhân viên đã làm việc. Càng gián đoạn quy trình làm việc hàng ngày, người dùng càng có khả năng tìm cách để vượt qua nó.

Sự cản trở khi đăng nhập là một trong những yếu tố giết chết việc áp dụng lớn nhất. Yêu cầu đăng nhập lặp đi lặp lại, các bước xác minh phức tạp, hoặc xác minh lại liên tục có thể nhanh chóng dẫn đến sự thất vọng. Nhưng không nhất thiết phải như vậy.

Với các công nghệ như Single Sign On (SSO) và phương thức MFA đơn giản (chẳng hạn như thông báo đẩy hoặc sinh trắc học), các tổ chức có thể duy trì bảo mật mạnh mẽ mà không làm chậm người dùng.

Cho phép phiên làm việc dài hơn cũng là một cách để giảm sự thất vọng với nhược điểm bảo mật tối thiểu. Mục tiêu là tránh buộc người dùng thực hiện các bước bổ sung cho các nhiệm vụ cơ bản. Nếu việc truy cập email, tài liệu hoặc công cụ nội bộ trở nên khó khăn, nhân viên sẽ tự nhiên tìm kiếm các lối tắt.

Thiết Kế Chính Sách BYOD Xung Quanh Hành Vi Người Dùng

Một chính sách BYOD nên phản ánh cách nhân viên thực sự làm việc, không phải cách các tổ chức nghĩ họ nên làm việc. Trên thực tế, nhân viên chuyển đổi giữa các thiết bị, kết nối từ các địa điểm khác nhau và di chuyển qua các mạng trong suốt cả ngày. Các chính sách bỏ qua điều này sẽ tự nhiên dẫn đến việc không tuân thủ.

Thay vì thiết kế cho các kịch bản lý tưởng, hãy xây dựng chính sách xung quanh hành vi thực tế. Ví dụ, đó là thực hành tốt khi yêu cầu một số bước xác minh mỗi khi người dùng cố gắng đăng nhập từ một

thiết bị mới. Tuy nhiên, yêu cầu cùng một mức độ xác minh với mọi lần đăng nhập sẽ làm mọi người thất vọng.

Tính linh hoạt là điều bắt buộc trong môi trường BYOD. Do đó, các chính sách chủ yếu nên tập trung vào việc bảo mật dữ liệu và quyền truy cập, thay vì kiểm soát mọi thiết bị hoặc vị trí.

Cũng đáng xem xét việc tránh xa các quy tắc áp dụng cho tất cả. Một nhà phát triển, nhân viên bán hàng và nhân viên tài chính tương tác với hệ thống theo những cách khác nhau, và có khả năng sử dụng các công cụ hoàn toàn khác nhau. Điều chỉnh mức độ nghiêm ngặt của các quy tắc, dựa trên vai trò, mức độ truy cập và độ nhạy cảm của dữ liệu liên quan, sẽ dẫn đến việc áp dụng tốt hơn.

Giải Quyết Các Mối Quan Ngại Về Quyền Riêng Tư Một Cách Trực Tiếp

Điều tự nhiên là nhân viên cảm thấy hoài nghi về các chính sách BYOD, ngay cả khi chúng được nới lỏng, đơn giản vì chúng ngụ ý một mức độ truy cập hoặc kiểm soát của người sử dụng lao động đối với thiết bị mà họ sở hữu.

Đó là lý do tại sao các tổ chức nên tập trung nghiêm ngặt vào việc kiểm soát quyền truy cập vào dữ liệu và hệ thống của công ty, và giải thích điều đó cho nhân viên để họ cảm thấy tự tin rằng mọi thứ khác họ làm trên thiết bị của mình vẫn riêng tư.

Sự tách biệt rõ ràng là chìa khóa. Các tổ chức không cần tầm nhìn vào các ứng dụng, tệp hoặc hoạt động cá nhân để quản lý rủi ro BYOD một cách hiệu quả. Tất cả dữ liệu doanh nghiệp nên nằm trong các ứng dụng đám mây và không gian làm việc được quản lý, thay vì trên chính thiết bị. Đó là cách các biện pháp kiểm soát bảo mật có thể tồn tại mà không mở rộng vào môi trường cá nhân của người dùng.

Người sử dụng lao động cũng được hưởng lợi từ cách tiếp cận này. Nếu một thiết bị bị mất, bị xâm phạm hoặc một nhân viên rời khỏi công ty, các tổ chức có thể xóa quyền truy cập hoặc xóa dữ liệu doanh nghiệp mà không ảnh hưởng đến nội dung cá nhân.

Cung Cấp Đào Tạo Thực Tế, Liên Tục

Nhân viên có nhiều khả năng tuân theo chính sách BYOD hơn nếu họ hiểu lý do tại sao nó tồn tại. Khi bảo mật cảm thấy trừu tượng hoặc không liên quan, thật dễ dàng để bỏ qua. Nhưng khi người dùng nhận thức được các rủi ro thực sự như giả mạo, chiếm đoạt tài khoản hoặc Wi-Fi công cộng không được bảo mật, họ có nhiều khả năng coi trọng các chính sách hơn.

Đào tạo nên thực tế và có liên quan đến cách nhân viên thực sự sử dụng thiết bị của họ. Thay vì các phiên nâng cao nhận thức chung chung, hãy tập trung vào các tình huống thực tế mà họ gặp phải hàng ngày. Đối với môi trường BYOD, điều đó bao gồm nhận biết các nỗ lực giả mạo, tránh các liên kết đáng ngờ, hiểu các rủi ro của mạng công cộng và biết cách truy cập an toàn vào các hệ thống doanh nghiệp từ các thiết bị cá nhân.

Cũng quan trọng là không coi đào tạo như một bài tập một lần. Các mối đe dọa liên tục phát triển, và nhận thức của nhân viên cũng vậy. Các bản cập nhật hoặc nhắc nhở ngắn, thường xuyên hiệu quả hơn nhiều so với các buổi đào tạo dài, không thường xuyên và nhanh chóng bị quên lãng.

Mục tiêu không phải là biến nhân viên thành các chuyên gia bảo mật, mà là cung cấp cho họ đủ nhận thức để đưa ra các quyết định tốt hơn trong các tình huống hàng ngày.

Kết Luận

BYOD là thực tế về cách công việc hiện đại được hoàn thành. Thách thức trong hầu hết các trường hợp không phải là có nên cho phép nó hay không, mà là làm thế nào để triển khai chính sách BYOD mà nhân viên thực sự sẽ tuân theo. Các chính sách hiệu quả nhất không phải là những chính sách nghiêm ngặt nhất, mà là những chính sách giúp nhân viên dễ dàng tuân theo mà không đưa ra rủi ro không cần thiết.

Cuối cùng, tối đa hóa việc áp dụng chính sách BYOD đến từ việc tìm ra sự cân bằng giữa bảo mật và khả năng sử dụng. Các tổ chức có được sự cân bằng này không chỉ cải thiện bảo mật, mà còn tạo ra một môi trường làm việc mượt mà hơn và hiệu quả hơn.