無論大家是否心甘情愿�����,“自帶設(shè)備”(簡稱BYOD)席卷辦公環(huán)境已經(jīng)成為一股不可逆轉(zhuǎn)的歷史潮流�。根據(jù)Juniper公司的調(diào)研報(bào)告�����,截至2014年企業(yè)員工在日常工作中所使用的智能手機(jī)及平板設(shè)備數(shù)量將再翻一番,達(dá)到3.5億臺——目前的數(shù)字為1.5億臺��。
但如果大家的公司與大多數(shù)企業(yè)一樣�����,那么就很可能還沒有針對BYOD風(fēng)險(xiǎn)制定出正式的政策保障方案��。由安全理念培訓(xùn)企業(yè)KnowBe4及調(diào)查公司ITIC最近共同發(fā)起的一項(xiàng)研究顯示�����,71%的企業(yè)雖然允許BYOD的介入����,卻從未出臺過具體的安全保障政策或管理機(jī)制。
“我們需要利用一些政策層面的控制手段�����,某種類型的文件���、協(xié)議或者規(guī)范來支撐如火如荼的自有設(shè)備涌入浪潮���,”Hyoun Park如是說�����,他是Nucleus研究機(jī)構(gòu)的首席分析師���。他同時(shí)指出,企業(yè)管理者應(yīng)該考慮將BYOD政策納入公司與員工的基礎(chǔ)協(xié)議����,以必須認(rèn)同并簽署的形式強(qiáng)制工作人員了解自身權(quán)利、責(zé)任以及需要嚴(yán)格遵守的條款——這是公司與個(gè)人從BYOD中獲得收益的關(guān)鍵��。
經(jīng)過簽署確認(rèn)的管理政策還能夠賦予企業(yè)必要的權(quán)利�����,在設(shè)備被盜�����、丟失或使用不當(dāng)時(shí)有效保護(hù)關(guān)鍵性信息��。“企業(yè)不能簡單粗暴地對設(shè)備數(shù)據(jù)加以清除——這有違基本的法律精神��,”Park指出�����。“我們必須確保員工與公司之間簽訂過某種形式的協(xié)議��,并以此為基礎(chǔ)開展敏感數(shù)據(jù)控制工作�。”
面對這一問題,我們不妨以抽絲剝繭的方式層層分析���,Gartner公司研究部門副總裁Paul DeBeasi解釋道�����。“大家愿意讓不相干的家伙通過其個(gè)人設(shè)備連接����、訪問企業(yè)應(yīng)用程序并存儲敏感信息嗎�����?如果真的必須放手嘗試���,諸位打算如何加以控制�����?萬一這些擁有訪問權(quán)限甚至保存了業(yè)務(wù)數(shù)據(jù)的使用者將過氣的舊手機(jī)扔給兒子��、女兒當(dāng)玩具甚至放在淘寶上拍賣又該怎么辦���?大家是否有能力對此加以防范及管理���?”
這些問題想必令人頭大,這也正是我們鼓勵(lì)大家以書面形式與員工嚴(yán)格約定管理規(guī)范的關(guān)鍵理由�。“這其實(shí)是BYOD工作的第一步,但很少有人為此進(jìn)行充分準(zhǔn)備并加以規(guī)劃��,”J. Gold聯(lián)合公司創(chuàng)始人兼首席分析師Jack Gold告訴我們����。
接下來,我們將與大家共同分享BYOD策略制定工作中的七大要點(diǎn)����,希望以此為契機(jī)為讀者朋友帶來啟示。
1. 應(yīng)當(dāng)做到“工具未動�、政策先行”:
DeBeasi結(jié)合多年經(jīng)驗(yàn)認(rèn)為,大多數(shù)企業(yè)所犯下的致命失誤正是一擲千金大肆采購移動設(shè)備管理(簡稱MDM)工具���,卻尚未制定出有效的管理政策����。“像大爺一樣買套工具誰都能做到����,但沒有政策的有力支持,工具根本就是形同虛設(shè)����,”DeBeasi解釋道。
舉例來說�,每一款MDM系統(tǒng)所提供的功能不盡相同、對于不同設(shè)備類型(包括Android��、黑莓以及iPhone等等)的支持效果也存在差異��?��?傮w而言��,MDM工具普遍存在局限性——盡管它們能夠?qū)υO(shè)備����、數(shù)據(jù)以及應(yīng)用程序訪問加以監(jiān)控���,但卻無法搞定網(wǎng)絡(luò)訪問或者費(fèi)用管理等相關(guān)問題���,Park表示��。
2. 雇主對移動設(shè)備中的敏感數(shù)據(jù)擁有“完全處置權(quán)”:
BYOD領(lǐng)域中最容易引發(fā)高風(fēng)險(xiǎn)的內(nèi)容大概要數(shù)敏感數(shù)據(jù)泄露了���,一旦設(shè)備丟失或者被盜,保存于其中的信息難免被不法分子取得���。有鑒于此�,大多數(shù)合理的管理政策都需要嚴(yán)格的密碼監(jiān)控����、設(shè)備鎖定與加密以及遠(yuǎn)程設(shè)備數(shù)據(jù)清除機(jī)制作為支持——只有這樣,包括員工離職在內(nèi)的各種特殊情況才不會導(dǎo)致業(yè)務(wù)內(nèi)容流出等悲劇性后果的發(fā)生���。某些企業(yè)希望采用高端管理技術(shù)����,將業(yè)務(wù)數(shù)據(jù)及應(yīng)用信息與設(shè)備中的個(gè)人內(nèi)容區(qū)分開來��,并在需要的時(shí)候有選擇地清除可能引發(fā)業(yè)務(wù)風(fēng)險(xiǎn)的對象。但大多數(shù)企業(yè)出于成本的考量�,往往樂于直接清除設(shè)備上的全部數(shù)據(jù),包括一切個(gè)人資料�����。“以我個(gè)人為例�����,如果企業(yè)直接把我保存在手機(jī)里的幾百張照片刪掉��,那我肯定要拿起法律武器保護(hù)自身權(quán)益�。不過一旦事前簽署過政策協(xié)議���,那么這樣的處置方式就是合理的���,員工必須承擔(dān)相應(yīng)后果,”Gold解釋稱�。某些政策還會更進(jìn)一步,采取更為嚴(yán)苛的管理規(guī)則:只要移動設(shè)備被檢測到存在違反政策規(guī)定的行為�����,其數(shù)據(jù)即會被遠(yuǎn)程清除。
3. 明確員工責(zé)任:
員工必須了解自己需要為哪些情況負(fù)責(zé)���,DeBeasi指出��,例如保證自己所使用的硬件或軟件符合企業(yè)業(yè)務(wù)的最低需求�。舉例來說�,假如企業(yè)推出一款iPhone應(yīng)用程序,希望借此提高員工業(yè)務(wù)效率���,那么我們就必須為其準(zhǔn)備好必要的硬件運(yùn)行平臺——如果大家使用的機(jī)型太過陳舊����,進(jìn)而導(dǎo)致公司應(yīng)用無法正確奏效����,那么造成的損失必然要由員工自己承擔(dān)。“作為企業(yè)管理者�����,我們當(dāng)然希望員工肩負(fù)起必要的責(zé)任��,為業(yè)務(wù)應(yīng)用準(zhǔn)備好iPhone 4�����、4S甚至是5,”他表示�。明確員工責(zé)任的另一大主要原因則是為了保證安全補(bǔ)丁能夠及時(shí)在所有設(shè)備上得到更新,馬薩諸塞州Needham銀行IT部門副總裁James Gordon指出�。在某些控制機(jī)制足夠嚴(yán)格的管理政策中,系統(tǒng)會自動檢測并拒絕那些來自違規(guī)或陳舊設(shè)備版本的用戶的訪問請求�。
