无论大家是否心甘情愿,“自带设备”(简称BYOD)席卷办公环境已经成为一股不可逆转的历史潮流。根据Juniper公司的调研报告,截至2014年企业员工在日常工作中所使用的智能手机及平板设备数量将再翻一番,达到3.5亿台——目前的数字为1.5亿台。
但如果大家的公司与大多数企业一样,那么就很可能还没有针对BYOD风险制定出正式的政策保障方案。由安全理念培训企业KnowBe4及调查公司ITIC最近共同发起的一项研究显示,71%的企业虽然允许BYOD的介入,却从未出台过具体的安全保障政策或管理机制。
“我们需要利用一些政策层面的控制手段,某种类型的文件、协议或者规范来支撑如火如荼的自有设备涌入浪潮,”Hyoun Park如是说,他是Nucleus研究机构的首席分析师。他同时指出,企业管理者应该考虑将BYOD政策纳入公司与员工的基础协议,以必须认同并签署的形式强制工作人员了解自身权利、责任以及需要严格遵守的条款——这是公司与个人从BYOD中获得收益的关键。
经过签署确认的管理政策还能够赋予企业必要的权利,在设备被盗、丢失或使用不当时有效保护关键性信息。“企业不能简单粗暴地对设备数据加以清除——这有违基本的法律精神,”Park指出。“我们必须确保员工与公司之间签订过某种形式的协议,并以此为基础开展敏感数据控制工作。”
面对这一问题,我们不妨以抽丝剥茧的方式层层分析,Gartner公司研究部门副总裁Paul DeBeasi解释道。“大家愿意让不相干的家伙通过其个人设备连接、访问企业应用程序并存储敏感信息吗?如果真的必须放手尝试,诸位打算如何加以控制?万一这些拥有访问权限甚至保存了业务数据的使用者将过气的旧手机扔给儿子、女儿当玩具甚至放在淘宝上拍卖又该怎么办?大家是否有能力对此加以防范及管理?”
这些问题想必令人头大,这也正是我们鼓励大家以书面形式与员工严格约定管理规范的关键理由。“这其实是BYOD工作的第一步,但很少有人为此进行充分准备并加以规划,”J. Gold联合公司创始人兼首席分析师Jack Gold告诉我们。
接下来,我们将与大家共同分享BYOD策略制定工作中的七大要点,希望以此为契机为读者朋友带来启示。
1. 应当做到“工具未动、政策先行”:
DeBeasi结合多年经验认为,大多数企业所犯下的致命失误正是一掷千金大肆采购移动设备管理(简称MDM)工具,却尚未制定出有效的管理政策。“像大爷一样买套工具谁都能做到,但没有政策的有力支持,工具根本就是形同虚设,”DeBeasi解释道。
举例来说,每一款MDM系统所提供的功能不尽相同、对于不同设备类型(包括Android、黑莓以及iPhone等等)的支持效果也存在差异。总体而言,MDM工具普遍存在局限性——尽管它们能够对设备、数据以及应用程序访问加以监控,但却无法搞定网络访问或者费用管理等相关问题,Park表示。
2. 雇主对移动设备中的敏感数据拥有“完全处置权”:
BYOD领域中最容易引发高风险的内容大概要数敏感数据泄露了,一旦设备丢失或者被盗,保存于其中的信息难免被不法分子取得。有鉴于此,大多数合理的管理政策都需要严格的密码监控、设备锁定与加密以及远程设备数据清除机制作为支持——只有这样,包括员工离职在内的各种特殊情况才不会导致业务内容流出等悲剧性后果的发生。某些企业希望采用高端管理技术,将业务数据及应用信息与设备中的个人内容区分开来,并在需要的时候有选择地清除可能引发业务风险的对象。但大多数企业出于成本的考量,往往乐于直接清除设备上的全部数据,包括一切个人资料。“以我个人为例,如果企业直接把我保存在手机里的几百张照片删掉,那我肯定要拿起法律武器保护自身权益。不过一旦事前签署过政策协议,那么这样的处置方式就是合理的,员工必须承担相应后果,”Gold解释称。某些政策还会更进一步,采取更为严苛的管理规则:只要移动设备被检测到存在违反政策规定的行为,其数据即会被远程清除。
3. 明确员工责任:
员工必须了解自己需要为哪些情况负责,DeBeasi指出,例如保证自己所使用的硬件或软件符合企业业务的最低需求。举例来说,假如企业推出一款iPhone应用程序,希望借此提高员工业务效率,那么我们就必须为其准备好必要的硬件运行平台——如果大家使用的机型太过陈旧,进而导致公司应用无法正确奏效,那么造成的损失必然要由员工自己承担。“作为企业管理者,我们当然希望员工肩负起必要的责任,为业务应用准备好iPhone 4、4S甚至是5,”他表示。明确员工责任的另一大主要原因则是为了保证安全补丁能够及时在所有设备上得到更新,马萨诸塞州Needham银行IT部门副总裁James Gordon指出。在某些控制机制足够严格的管理政策中,系统会自动检测并拒绝那些来自违规或陈旧设备版本的用户的访问请求。
