此時此刻,對大多數人而言,「保持社交距離」一詞並不陌生,許多公司允許員工在家工作,因為若不這麼做,恐怕就得全面停工。不過,這種工作模式會引發無數 IT 問題。
簡而言之,我們可以用「影子 IT」一詞描述使用 IT 部門未核准或授權的軟體或裝置這一現象。無論稱之為遠距工作、遠端工作、遠距辦公或在家工作,不習慣控管異地員工的公司都需要思考影子 IT,以及潛藏的營運與安全風險。有些公司是第一次嘗試實施在家工作政策,根本不清楚會有哪些潛藏的風險。第一步與大多數業務流程相同,那就是規劃。
別讓業務資料落入有心人士之手。下載這份免費電子書
規劃遠端工作相關事宜
理想情況下,緊急時刻一定要先擬定好詳盡的 IT 方案才能實施在家工作政策,這是為了盡可能降低風險。這項方案應確定任何潛藏的問題,同時要納入在不影響安全的前提下能夠降低風險的解決方案。防範影子 IT 需要依靠每一個人的協助,至於能採行的方法,則因公司政策及公司有權掌管的連線裝置等各項因素而異。為證明以上理論,下列清單將陳述一項潛在問題,並且針對每一種情況提供一個可行的解決方案。
潛藏的問題沒有特定順序,可能包括但不限於:
1.與使用者分享資訊
問題:使用者不清楚自己的資安責任
除了其他工作之外,IT 部門還要負責資料與網路安全。安全措施並非試圖掌握主控權、展現自己無所不能,也不是要限制生產力。感到沮喪挫敗的使用者雖然會造成阻礙,但 IT 與公司簽訂的合約中明訂 IT 人員的職務,因此,他們確實有權盡可能降低風險。
無論遠端工作者必須遵守的最終方案是什麼,都是集結所有部門的意見之後所做的決定,必須讓所有使用者知道。此外,最終方案也會說明採取具體措施的原因。否則,員工就會自尋替代方法。舉例來說,倘若公司不希望遠端員工使用雲端儲存空間,就應在方案中清楚說明,並且要註明這項規定的合理原因。一旦正式公佈方案後,使用者就不能再聲稱自己對遠端員工必須遵守的安全政策一無所知。
2.資料控管
問題:與並非使用公司網路的對象分享資料
公司的 IT 方案無疑已經納入資料控管措施,因為所有公司都必須遵守各種資料隱私權法及保護法,不論公司屬於哪一個司法管轄區都一樣。無論是礙於電子探索或法遵規定,公司行號都要清楚掌握哪些人在什麼時候存取了公司資料。在遠端工作環境中,BYOD 會讓情況變得更複雜,更不用說在當今情勢下,人們可能會使用全家人共用的家用電腦等設備。再加上人們會使用未經核准的雲端檔案共用及儲存服務,問題的嚴重性可想而知。IT 人員該如何保護公司資料並監控他們無法控管的裝置?
為此,在家工作解決方案大多會要求必須遠端連線公司網路,或是使用 Basecamp 之類經過核准的平台 (如果必須開電話會議,則選擇值得信賴的解決方案)。這樣一來,相關資料不會流出系統,也能保持完整的追溯功能。
3.裝置監控程度
問題:IT 人員無權控管裝置
我是使用者,當然堅決反對任何公司管理員控制我的裝置。不過,許多公司允許這麼做,同時也開始實施 BYOD 政策。於是,IT 管理員可以先做好分割,並在公司分配的分割區中安裝裝置監控解決方案,從而實現一定程度的控管。要允許員工使用公司自有裝置,同時又要進行全面控管,這是比較好的做法,不但不需要對使用者感到抱歉,也不需要徵得使用者同意。
4.軟體授權
問題:軟體授權數量與安裝數量不一致
大部分的公司均禁止安裝軟體,但在使用 BYOD 或個人裝置的情況下,使用者有時候會為了提高生產力而安裝軟體。一般而言,使用者這麼做並非出於惡意,但若進行授權稽核,公司就得負起責任,這仍然是不滅的事實。違規的公司可能必須因此付出高達數十萬美元的罰款。
此外,如果是非法下載的軟體,甚至可能夾帶保存擊鍵記錄、盜取密碼或允許存取公司網路的惡意軟體。IT 人員之所以堅持只能使用經過核准的軟體解決方案,原因在於他們知道這些軟體解決方案安全可靠,只要適時安裝更新及修補程式就萬無一失。只要不是列為「通過核准」的軟體,就不要使用,這是不變的法則。這方面的準則也包括行動應用程式,因為看似無害的應用程式或遊戲也可能在無意間導致資料外洩。
5.限制與許可
問題:使用者無視警告,頻繁使用未經核准的軟體和服務
一般而言,IT 人員最後的手段就是實施控管政策,強制要求使用者遵守標準資安措施。倘若 IT 人員具備充分的裝置權限,就能建立服務提供者黑名單。檔案儲存、VoIP 軟體或 CMS 解決方案都可以包含在內。我敢保證,這樣的做法會讓 IT 人員感到十分挫敗,因為根本沒辦法防止使用者找到替代解決方案,而且只能被動反應,無法主動出擊。
6.軟體儲存庫
問題:IT 回應速度慢,使用者不得不自行尋找解決方案
我必須承認,有時候使用者是對的。有些公司喜歡繁文縟節,會規定與 IT 職能無關的部門 (例如財務部門) 簽核軟體採購業務。不過,即使相關軟體免費,當 IT 部門排定工作優先順序時仍會發生延遲,導致未能及時處理普通使用者提出的要求。如果 IT 部門真的想要根除全公司上下的影子 IT,並在使用者在家工作的情況下妥善保護資料安全,軟體儲存庫就非常重要。
使用者常常自己動手解決問題,就算自掏腰包購買軟體也在所不惜,這種情況並不令人意外。使用者只要幾分鐘的時間就能安裝好新軟體並開始使用,當然沒有耐心理會繁文縟節,因此就衍生出常見的 IT 消費化現象。使用者重視自己的生產力更勝於安全問題。
這種現象讓 IT 人員臉上無光,而我個人認為他們也確實該感到羞愧。要建立一份核准軟體清單並不難。舉例來說,安裝 Acrobat Pro、AutoCAD 或 MS Office 當然要花錢,還要取得授權,這樣的要求應該要由部門主管提出。之後,IT 就能妥善分配授權,或者推薦其他免費的替代方案。
不過,許多能提高生產力的應用程式都免費,因此,很容易就能集結到儲存庫 (或最新版本 URL 清單) 中供所有人使用。這類應用程式包括檔案瀏覽工具、轉檔工具、檔案壓縮、圖片編輯 (例如 GIMP)、媒體播放程式,實在太多了,此處就不再贅述。如果使用者想使用某個軟體,就請 IT 人員驗證這個軟體,IT 人員覺得可行就核准這個軟體,然後在儲存庫中增列這個軟體。若非如此,根本別用就對了。
結論
總而言之,不論使用者是否在遠端連上網路,使用者在家工作時,IT 部門必須面對的問題有許多是不變的。公司 IT 人員未經授權不能監控個人裝置,除非 BYOD 政策中含有授權。這項規定讓事情變得更複雜,但 IT 人員可以提供支援,而公司也可以付錢在他們無法監控的裝置上安裝防毒及網路安全解決方案。倘若如此,IT 人員就能稍微放心一點,因為他們知道使用者的裝置已經得到最大程度的保護,不用擔心惡意軟體和其他威脅,與在公司上班的差別並不大。