無論大家是否心甘情願,“自帶設備”(簡稱BYOD)席捲辦公環境已經成爲一股不可逆轉的歷史潮流。根據Juniper公司的調研報告,截至2014年企業員工在日常工作中所使用的智能手機及平板設備數量將再翻一番,達到3.5億臺——目前的數字爲1.5億臺。
但如果大家的公司與大多數企業一樣,那麼就很可能還沒有針對BYOD風險制定出正式的政策保障方案。由安全理念培訓企業KnowBe4及調查公司ITIC最近共同發起的一項研究顯示,71%的企業雖然允許BYOD的介入,卻從未出臺過具體的安全保障政策或管理機制。
“我們需要利用一些政策層面的控制手段,某種類型的文件、協議或者規範來支撐如火如荼的自有設備涌入浪潮,”Hyoun Park如是說,他是Nucleus研究機構的首席分析師。他同時指出,企業管理者應該考慮將BYOD政策納入公司與員工的基礎協議,以必須認同並簽署的形式強制工作人員瞭解自身權利、責任以及需要嚴格遵守的條款——這是公司與個人從BYOD中獲得收益的關鍵。
經過簽署確認的管理政策還能夠賦予企業必要的權利,在設備被盜、丟失或使用不當時有效保護關鍵性信息。“企業不能簡單粗暴地對設備數據加以清除——這有違基本的法律精神,”Park指出。“我們必須確保員工與公司之間簽訂過某種形式的協議,並以此爲基礎開展敏感數據控制工作。”
面對這一問題,我們不妨以抽絲剝繭的方式層層分析,Gartner公司研究部門副總裁Paul DeBeasi解釋道。“大家願意讓不相干的傢伙通過其個人設備連接、訪問企業應用程序並存儲敏感信息嗎?如果真的必須放手嘗試,諸位打算如何加以控制?萬一這些擁有訪問權限甚至保存了業務數據的使用者將過氣的舊手機扔給兒子、女兒當玩具甚至放在淘寶上拍賣又該怎麼辦?大家是否有能力對此加以防範及管理?”
這些問題想必令人頭大,這也正是我們鼓勵大家以書面形式與員工嚴格約定管理規範的關鍵理由。“這其實是BYOD工作的第一步,但很少有人爲此進行充分準備並加以規劃,”J. Gold聯合公司創始人兼首席分析師Jack Gold告訴我們。
接下來,我們將與大家共同分享BYOD策略制定工作中的七大要點,希望以此爲契機爲讀者朋友帶來啓示。
1. 應當做到“工具未動、政策先行”:
DeBeasi結合多年經驗認爲,大多數企業所犯下的致命失誤正是一擲千金大肆採購移動設備管理(簡稱MDM)工具,卻尚未制定出有效的管理政策。“像大爺一樣買套工具誰都能做到,但沒有政策的有力支持,工具根本就是形同虛設,”DeBeasi解釋道。
舉例來說,每一款MDM系統所提供的功能不盡相同、對於不同設備類型(包括Android、黑莓以及iPhone等等)的支持效果也存在差異。總體而言,MDM工具普遍存在侷限性——儘管它們能夠對設備、數據以及應用程序訪問加以監控,但卻無法搞定網絡訪問或者費用管理等相關問題,Park表示。
2. 僱主對移動設備中的敏感數據擁有“完全處置權”:
BYOD領域中最容易引發高風險的內容大概要數敏感數據泄露了,一旦設備丟失或者被盜,保存於其中的信息難免被不法分子取得。有鑑於此,大多數合理的管理政策都需要嚴格的密碼監控、設備鎖定與加密以及遠程設備數據清除機制作爲支持——只有這樣,包括員工離職在內的各種特殊情況纔不會導致業務內容流出等悲劇性後果的發生。某些企業希望採用高端管理技術,將業務數據及應用信息與設備中的個人內容區分開來,並在需要的時候有選擇地清除可能引發業務風險的對象。但大多數企業出於成本的考量,往往樂於直接清除設備上的全部數據,包括一切個人資料。“以我個人爲例,如果企業直接把我保存在手機裏的幾百張照片刪掉,那我肯定要拿起法律武器保護自身權益。不過一旦事前簽署過政策協議,那麼這樣的處置方式就是合理的,員工必須承擔相應後果,”Gold解釋稱。某些政策還會更進一步,採取更爲嚴苛的管理規則:只要移動設備被檢測到存在違反政策規定的行爲,其數據即會被遠程清除。
3. 明確員工責任:
員工必須瞭解自己需要爲哪些情況負責,DeBeasi指出,例如保證自己所使用的硬件或軟件符合企業業務的最低需求。舉例來說,假如企業推出一款iPhone應用程序,希望藉此提高員工業務效率,那麼我們就必須爲其準備好必要的硬件運行平臺——如果大家使用的機型太過陳舊,進而導致公司應用無法正確奏效,那麼造成的損失必然要由員工自己承擔。“作爲企業管理者,我們當然希望員工肩負起必要的責任,爲業務應用準備好iPhone 4、4S甚至是5,”他表示。明確員工責任的另一大主要原因則是爲了保證安全補丁能夠及時在所有設備上得到更新,馬薩諸塞州Needham銀行IT部門副總裁James Gordon指出。在某些控制機制足夠嚴格的管理政策中,系統會自動檢測並拒絕那些來自違規或陳舊設備版本的用戶的訪問請求。
4. 明確正當操作:
不同的政策對於移動設備的正當與違規操作有着不同的界定方式,一般來說政策會限制企業文檔的下載權限、約束網絡或應用程序訪問、管理攝像頭及USB接口等設備擴展功能、檢測設備是否存在越獄現象併爲常用的應用程序及網站設置白名單與黑名單。在常用網站當中,Dropbox與iCloud是敏感數據泄露的重災區,也是合規測試的重點對象。雖然企業也可以選擇禁止員工訪問社交網站,但Park警告稱這樣會對員工的士氣造成嚴重打擊,進而降低其在下班之後處理業務或者討論工作內容的動力。
Gordon的MDM工具會自動檢測員工的操作行爲,並在操作與政策限制有所衝突時發出警告並阻止訪問過程。雖然這看起來很美,但MDM工具始終無法將所有可能出現的違規狀況考慮在內,例如使用設備上的攝像機或是進行網絡連接。“隨着BYOD裝置越來越多地涌入辦公環境,企業所面臨的實際上是無線局域網領域的安全問題,”Park指出。“目前的工具正在嘗試通過設備使用者的實際身份爲其分配網站訪問的權限及允許探詢的內容。”
5. 明確正當設備:
許多政策都沒有明確指出哪些設備允許接入而哪些不行,但Gold建議大家將這些內容加入條款,這能夠有效降低移動設備的支持成本同時改善安全控制效果。在他看來,企業最起碼應當將設備類型與政策的分層執行機制加以融合,否則所謂規則只是憑空想象出來的一張廢紙。舉例來說,我們可以讓黑莓設備來訪問企業應用程序,iPhone與iPad處理電子郵件收發及網絡訪問事務,而Android由於固有的安全問題最好僅僅涉及郵件往來。“只是制定政策還不夠,我們需要向用戶解釋這樣劃分的原因,這樣他們纔會在購買設備時深思熟慮並最終做出明智的選擇,”Gold解釋道。
6. 誰來提供技術支持?
在有些企業看來,既然員工們是這些自帶設備的所有者,自然也該擔負起維護及技術支持的責任。然而由於大多數員工對於移動設備並不熟悉,額外的工作往往會導致日常業務效率的大幅下滑,Park表示。“一位員工給IT部門打一通半個小時的電話,就可能給企業帶來幾百美元的收益損失,”他解釋稱。
DeBeasi建議我們做好職責分工。“對於企業自己開發並下載到員工手機中的應用程序或者是思科VPN客戶端而言,一旦其工作狀態發生異常或者無法正確進行網絡連接,那麼公司內部的諮詢服務檯是最理想的技術支持團隊,”他指出。然而對於那些與業務毫無關聯或者是硬件本身出現的問題,那麼顯然與設備製造商取得聯繫更爲明智。“蘋果不是有天才吧麼,不妨去問問那幫‘天才’,”他不無戲謔地表示。
無論採取哪種方式,我們都需要在管理政策中將這些內容詳細加以描述。企業可能還需要考慮建立專門的技術知識庫及論壇,並在內部門戶網站或SharePoint站點上公佈這些規範細則,DeBeasi建議道。總之,管理者應該想盡一切辦法讓員工明確瞭解哪些東西擁有技術支持而哪些沒有。
7. 誰來買單?錢又花在了哪裏?
當企業開始將BYOD以正規化模式運作時,成本問題也將相伴而來——誰該爲設備的採購及後續維護費用買單?“對於4G設備而言,數據流量與帶寬使用是個大問題——動輒上GB的下載量到底該由誰出錢?”DeBeasi向我們提出這樣的問題。如果大部分下載量是爲了滿足業務工作的需求,那麼這筆錢當然不該由員工自己承擔,但企業也必須爲流量使用設定上限。無論具體管理規則如何,我們都得事先在管理政策中做出有針對性的準確規定。
在調查過程中,Park將目前的主要資費處理方式分爲三類:完全不報銷;每月按比例報銷費用以及一次性或全額報銷。爲了不花冤枉錢,企業甚至需要爲不同的員工崗位設定差異化的報銷方式,例如某些崗位能夠全額報銷、某些則只能報銷一部分。
BYOD興起所帶來的問題成百上千,如果列成一份清單足以把健康的管理者直接嚇到半身不遂——但恐慌不是辦法,我們還是得積極採取行動。“首先認識到當前機制的不足,然後無論好壞、先制定一套有所改善的管理政策——不夠完美也沒關係,”DeBeasi告訴我們。“更重要的是,BYOD是一種重視使用體驗的趨勢,我們不可能坐在辦公室裏就把所有即將發生的問題消滅在萌芽狀態。要樂於嘗試,嘗試是人類發展的最佳方式,當然也是應對BYOD的最佳態度。”