無(wú)論大家是否心甘情愿,“自帶設備”(簡(jiǎn)稱(chēng)BYOD)席卷辦公環(huán)境已經(jīng)成為一股不可逆轉的歷史潮流。根據Juniper公司的調研報告,截至2014年企業(yè)員工在日常工作中所使用的智能手機及平板設備數量將再翻一番,達到3.5億臺——目前的數字為1.5億臺。
但如果大家的公司與大多數企業(yè)一樣,那么就很可能還沒(méi)有針對BYOD風(fēng)險制定出正式的政策保障方案。由安全理念培訓企業(yè)KnowBe4及調查公司ITIC最近共同發(fā)起的一項研究顯示,71%的企業(yè)雖然允許BYOD的介入,卻從未出臺過(guò)具體的安全保障政策或管理機制。
“我們需要利用一些政策層面的控制手段,某種類(lèi)型的文件、協(xié)議或者規范來(lái)支撐如火如荼的自有設備涌入浪潮,”Hyoun Park如是說(shuō),他是Nucleus研究機構的首席分析師。他同時(shí)指出,企業(yè)管理者應該考慮將BYOD政策納入公司與員工的基礎協(xié)議,以必須認同并簽署的形式強制工作人員了解自身權利、責任以及需要嚴格遵守的條款——這是公司與個(gè)人從BYOD中獲得收益的關(guān)鍵。
經(jīng)過(guò)簽署確認的管理政策還能夠賦予企業(yè)必要的權利,在設備被盜、丟失或使用不當時(shí)有效保護關(guān)鍵性信息。“企業(yè)不能簡(jiǎn)單粗暴地對設備數據加以清除——這有違基本的法律精神,”Park指出。“我們必須確保員工與公司之間簽訂過(guò)某種形式的協(xié)議,并以此為基礎開(kāi)展敏感數據控制工作。”
面對這一問(wèn)題,我們不妨以抽絲剝繭的方式層層分析,Gartner公司研究部門(mén)副總裁Paul DeBeasi解釋道。“大家愿意讓不相干的家伙通過(guò)其個(gè)人設備連接、訪(fǎng)問(wèn)企業(yè)應用程序并存儲敏感信息嗎?如果真的必須放手嘗試,諸位打算如何加以控制?萬(wàn)一這些擁有訪(fǎng)問(wèn)權限甚至保存了業(yè)務(wù)數據的使用者將過(guò)氣的舊手機扔給兒子、女兒當玩具甚至放在淘寶上拍賣(mài)又該怎么辦?大家是否有能力對此加以防范及管理?”
這些問(wèn)題想必令人頭大,這也正是我們鼓勵大家以書(shū)面形式與員工嚴格約定管理規范的關(guān)鍵理由。“這其實(shí)是BYOD工作的第一步,但很少有人為此進(jìn)行充分準備并加以規劃,”J. Gold聯(lián)合公司創(chuàng )始人兼首席分析師Jack Gold告訴我們。
接下來(lái),我們將與大家共同分享BYOD策略制定工作中的七大要點(diǎn),希望以此為契機為讀者朋友帶來(lái)啟示。
1. 應當做到“工具未動(dòng)、政策先行”:
DeBeasi結合多年經(jīng)驗認為,大多數企業(yè)所犯下的致命失誤正是一擲千金大肆采購移動(dòng)設備管理(簡(jiǎn)稱(chēng)MDM)工具,卻尚未制定出有效的管理政策。“像大爺一樣買(mǎi)套工具誰(shuí)都能做到,但沒(méi)有政策的有力支持,工具根本就是形同虛設,”DeBeasi解釋道。
舉例來(lái)說(shuō),每一款MDM系統所提供的功能不盡相同、對于不同設備類(lèi)型(包括Android、黑莓以及iPhone等等)的支持效果也存在差異。總體而言,MDM工具普遍存在局限性——盡管它們能夠對設備、數據以及應用程序訪(fǎng)問(wèn)加以監控,但卻無(wú)法搞定網(wǎng)絡(luò )訪(fǎng)問(wèn)或者費用管理等相關(guān)問(wèn)題,Park表示。
2. 雇主對移動(dòng)設備中的敏感數據擁有“完全處置權”:
BYOD領(lǐng)域中最容易引發(fā)高風(fēng)險的內容大概要數敏感數據泄露了,一旦設備丟失或者被盜,保存于其中的信息難免被不法分子取得。有鑒于此,大多數合理的管理政策都需要嚴格的密碼監控、設備鎖定與加密以及遠程設備數據清除機制作為支持——只有這樣,包括員工離職在內的各種特殊情況才不會(huì )導致業(yè)務(wù)內容流出等悲劇性后果的發(fā)生。某些企業(yè)希望采用高端管理技術(shù),將業(yè)務(wù)數據及應用信息與設備中的個(gè)人內容區分開(kāi)來(lái),并在需要的時(shí)候有選擇地清除可能引發(fā)業(yè)務(wù)風(fēng)險的對象。但大多數企業(yè)出于成本的考量,往往樂(lè )于直接清除設備上的全部數據,包括一切個(gè)人資料。“以我個(gè)人為例,如果企業(yè)直接把我保存在手機里的幾百張照片刪掉,那我肯定要拿起法律武器保護自身權益。不過(guò)一旦事前簽署過(guò)政策協(xié)議,那么這樣的處置方式就是合理的,員工必須承擔相應后果,”Gold解釋稱(chēng)。某些政策還會(huì )更進(jìn)一步,采取更為嚴苛的管理規則:只要移動(dòng)設備被檢測到存在違反政策規定的行為,其數據即會(huì )被遠程清除。
3. 明確員工責任:
員工必須了解自己需要為哪些情況負責,DeBeasi指出,例如保證自己所使用的硬件或軟件符合企業(yè)業(yè)務(wù)的最低需求。舉例來(lái)說(shuō),假如企業(yè)推出一款iPhone應用程序,希望借此提高員工業(yè)務(wù)效率,那么我們就必須為其準備好必要的硬件運行平臺——如果大家使用的機型太過(guò)陳舊,進(jìn)而導致公司應用無(wú)法正確奏效,那么造成的損失必然要由員工自己承擔。“作為企業(yè)管理者,我們當然希望員工肩負起必要的責任,為業(yè)務(wù)應用準備好iPhone 4、4S甚至是5,”他表示。明確員工責任的另一大主要原因則是為了保證安全補丁能夠及時(shí)在所有設備上得到更新,馬薩諸塞州Needham銀行IT部門(mén)副總裁James Gordon指出。在某些控制機制足夠嚴格的管理政策中,系統會(huì )自動(dòng)檢測并拒絕那些來(lái)自違規或陳舊設備版本的用戶(hù)的訪(fǎng)問(wèn)請求。
