私たちは、企業のIT部門が、安全な分野での個人所有デバイスの持ち込みモデルまたはBYODモデルに適合しようとしている時代に生きています。(Bring Your Own Device or BYOD)BYODの実装に関する記事では、2つの可能性について説明しました。1つは従業員が会社所有のデバイスを使用する場合、もう1つは組織が従業員所有のデバイスを使用する場合です。セキュリティの問題は、従業員がオフィスにいないときに検閲を受けることに同意しない可能性がある後者の場合にさらに発生します。そのため、オフィスネットワークの代わりに、独自のネットワークを使用し始めます。また、独自のネットワークをオフィスに持ち込みます。それは企業のセキュリティにどのような影響を及ぼしますか?この記事では、Bring(Bring Your Own Network) YourOwnNetworkまたはBYONとは何かについて説明します。(BYON)そしてそれが企業のセキュリティにどのように影響するか?
独自のネットワークまたはBYONをもたらすとは何ですか?
BYONは(BYON)BringYourOwnNetworkの略です。コストを節約し、従業員の福利厚生を向上させるために、一部の組織では、従業員がオフィスで独自のネットワークを使用できるようにしています。公式ネットワークとVPN(VPNs)は通常、組織で働いていてそれらのネットワークを使用している人々が、生産性を妨げる可能性のある特定のWebサイトにアクセスできないように設計されています。しかし、最新の傾向と思われるものでは、新興企業や同様の組織が従業員にネットワークやVPNを提供していません。代わりに、従業員がインターネット(Internet)またはイントラネット(Intranets)に接続して使用するために使用するネットワークの料金を支払います。または、場合によっては、ローカルの組織ネットワークと従業員のデータキャリアの両方が存在します。
組織のネットワークを使用して、その組織に関連するデータにアクセスできますが、データキャリアはインターネット上(Internet)のあらゆるものに使用されます。イントラネットが関係している場合、従業員は自分のデータキャリアを使用してイントラネットにログインできます。
ここでは、3番目の種類のネットワークも想定できます。モバイルデバイスはホットスポットとして設定でき、他のモバイルデバイスはこのホットスポットを使用してインターネット(Internet)またはイントラネットに接続できます。(Intranet)記事を書いているとき、 BYON(BYON)の概念はよくわかりません。私にとっては、従業員の福利厚生や組織の節約というよりも、深刻なセキュリティの問題です。セルラーデータやインターネット(Internet)ドングルを使用してインターネット(Internet)にアクセスするのではなく、従業員が組織ネットワークを使用して必要なものを閲覧できるようにする方がはるかに優れています。少なくとも、そうすれば、会社の秘密は漏らされません。
BYONのセキュリティリスク
インターネット(Internet)が情報探索のハブになっている世界では、多くの技術が存在し、人々に個人データを「提供」させるために毎日設計されています。あなたはフィッシングについて知っています。ソーシャルエンジニアリングについても知っています。フィッシングの場合、犯罪者はさまざまな餌を使用して個人データを収集しようとします。ソーシャルエンジニアリングでは、犯罪者は1人以上の従業員と仲良くなり、組織に関連するデータの「抽出」を開始します。つまり、両方の方法を組み合わせると、従業員のいずれかが餌をとった場合、組織に悲惨な結果をもたらす可能性があります。
それだけでなく、組織の作業にセルラーデータを使用すると、別の問題が発生する可能性があります。従業員のモバイルデバイスと訪問先のサイトとの間の接続が暗号化されているという保証はありません。暗号化を行わないと、犯罪者は送信されているデータと、それを自分の利益のために使用する方法を簡単に確認できます。たとえば、誰かが暗号化せずにセルラーデータを使用してログインしたイントラネット(Intranet)にアクセスすると、組織を覗き見している誰かにログイン資格情報を渡した可能性があります。これにより、従業員がデータベースにアクセスできる範囲でデータのプライバシーが保護されます。
どのように実装できますか–従業員に責任を負わせます(How can it be implemented – Make the Employee responsible)
現在のところ、さまざまな組織がBYONを実装するために使用している唯一の方法は次のとおりです。
- 自分のインターネット(Internet)接続を使用するリスクについて従業員を教育する
- データ漏えいが発生した場合は、従業員に責任を負わせる
2つ目は、組織の従業員にとってより脅威であり、企業ネットワークの使用を望んでいます。つまり、オフィスにいる限り、ネットワークで使用できるローカルネットワークを提供する必要があります。彼らは、自由時間中のブラウジングなどの他の作業に、注意してセルラーネットワークを使用する場合があります。
私の意見では、 BYOD(BYOD)の実践全体は、従業員が組織データを持ち帰ることができるため、見当違いです。それに加えて、組織が(Add)BYODに対して独自のネットワークの使用を許可している場合、状況はいつでも組織データのすべてのプライバシーを破壊する可能性があります。これは爆弾の攻撃であり、最近のデータ侵害から明らかなように、従業員の一部の単純なミスは、組織全体にとってひどい損失になる可能性があります。
BYONに関するその他の問題
Bring Your Own Networkに伴う他の多くの問題の中には、ITサポートが従業員のネットワークを構成できないというものがあります。一部のWebサイトの検閲が含まれている場合、従業員はそれに同意しません。
ITサポートは、さまざまなデータキャリアに関連している可能性があるため、従業員自身のネットワークの問題をトラブルシューティングすることはできません。トラブルシューティングのために、従業員は使用しているデータサービスプロバイダーを呼び出す必要があります。ここでのオプションは、すべての従業員に単一のデータキャリアプランを提供することですが、それがどれほど実現可能かはわかりません。ほとんど(Almost)の人が自分のお気に入りを持っているため、ネットワークプロバイダーを変更することに同意しない人もいます。
イントラネットにリソースがある場合、どの従業員がイントラネット(Intranet)のどのリソースを使用しているかを追跡するのは困難です。不注意によってデータ侵害が発生したことを管理者に知らせる絶対確実な方法がないため、従業員の責任は制限されます。組織は、BYONに進む前に、これについて詳細に計画する必要がある場合があります。
これらは、BYONとは何か、関連するセキュリティの問題は何か、および必要に応じてそれを実装する方法についての私自身の見解です。従業員にオフィスでオンラインゲームをプレイしてもらいたいのでなければ、BYONは必要ないと思います。しかし、それは私自身の見解です。
ご意見をお聞かせいただければ幸いですので、コメントをお待ちしております。(I would be glad to know your views and hence, will be waiting for your comments.)
What is Bring your own Network or BYON?
We are living in an еra where thе IT departments of businesses are still trying to fit in the Bring Your Own Device or BYOD model in a secure arena. In our article on BYOD implementations, we talked of two possibilities: one where the employees use company-owned devices and one where the organizations use employee-owned devices. The security issues are more in the latter case where the employees may not agree to get things censored when they are not at the office. So instead of the office network, they start using their own network. And they bring their own networks to the office as well. What effects would it have on the security of the companies? This article looks at what is Bring Your Own Network or BYON and how it affects the security of businesses?
What is Bring Your Own Network or BYON?
BYON stands for Bring Your Own Network. For saving on costs and in form of better employee perks, some organizations allow its employees to use their own network at the office place. The official networks and VPNs are generally designed in a way that people working in the organization and using those networks, cannot access certain websites that may hinder productivity. But in what seems to be the latest trend, startups and similar organizations are providing employees with no network or VPN. Instead, they pay up for the network the employee uses for connecting and using the Internet or Intranets. Or in some cases, both the local organizational network and employee’s data carrier is present.
The network of the organization can be used to access the data pertaining to that organization while the data carrier is used for anything on the Internet. If there is an intranet involved, the employee can use his own data carrier to log into it.
The third kind of network can also be envisioned here. A mobile device can be set up as a hot spot and other mobile devices connecting to the Internet or Intranet using this hotspot. As I write the article, I do not really understand the concept of BYON, as for me, it is a serious security issue rather than any kind of employee perks or savings for the organizations. It would be much better to let the employee use the organization network to browse what he or she wants instead of allowing them to use their cellular data or Internet dongle to access the Internet. At least, that way, the company secrets won’t be let out.
Security Risks of BYON
In a world where the Internet has become a hub for information seeking, many techniques exist and are being designed each day to “make” people give out their personal data. You know about phishing. You also know about social engineering. In the case of phishing, criminals try to collect your personal data using different baits. In social engineering, the criminal befriends one or more of your employees and starts “extracting” data pertaining to your organization. That is, combined, both the methods – if any of your employees take the bait – can prove disastrous to your organization.
Not only that, using cellular data for organizational work may provide another problem. There is no guarantee that the connection between your employee’s mobile device and the site he or she is visiting is encrypted. Without encryption, criminals can easily check out what data is being transmitted and how to use it for their own benefit. Once they land upon the Intranet where someone logged in using their cellular data without encryption, for instance, they may have given out their login credentials to someone snooping on your organization. With that, goes the privacy of your data to the extent the employee could access your database.
How can it be implemented – Make the Employee responsible
As of now, the only method different organizations are using to implement BYON are:
- Educate the employee about the risks of using own Internet connections
- Making the employee responsible for whatever data breach occurs
The second one is more of a threat to the employees of your organizations and they would prefer to use the company network. That means you have to provide them with a local network they can use with their networks as long as they are in the office. They may use cellular networks – with care – for other works such as browsing during the free time.
In my opinion, the entire practice of BYOD is misplaced as it allows employees to take home organizational data. Add to it, if an organization allows usage of its own networks to BYOD, the situation can blow up all the privacy of organizational data anytime. It is a bomb ticking and as evident from recent data breaches, a simple mistake on part of an employee can be a terrible loss for the entire organization.
Other Problems With BYON
Among the many other problems that come with Bring Your Own Network are that IT support cannot configure the employees’ networks; no employee would agree to that if it includes censoring some websites.
The IT support cannot troubleshoot issues with employees’ own networks as they may be related to different data carriers. For troubleshooting, the employee will have to call up the data service provider they are using. An option here could be to provide a single data carrier plan to all the employees but I do not know how feasible it would be. Almost everyone has their own favorites and hence some may not agree to change their network providers.
It would be hard to track which employee is using what resources on the company Intranet if there is one. The liabilities of employees will be limited as there won’t be any foolproof methods that would let an admin know whose carelessness caused a data breach. The organization may have to plan out on this at length before they go for BYON.
These are my own views on what is BYON, what are the security issues related to, and how to implement it if required. I do not think BYON is needed unless you want your employee to play some online game in the office. But that is my own view.
I would be glad to know your views and hence, will be waiting for your comments.
