無論大家是否心甘情愿����,“自帶設備”(簡稱BYOD)席卷辦公環(huán)境已經(jīng)成為一股不可逆轉的歷史潮流�。根據(jù)Juniper公司的調研報告,截至2014年企業(yè)員工在日常工作中所使用的智能手機及平板設備數(shù)量將再翻一番���,達到3.5億臺——目前的數(shù)字為1.5億臺���。
但如果大家的公司與大多數(shù)企業(yè)一樣���,那么就很可能還沒有針對BYOD風險制定出正式的政策保障方案。由安全理念培訓企業(yè)KnowBe4及調查公司ITIC最近共同發(fā)起的一項研究顯示�����,71%的企業(yè)雖然允許BYOD的介入�,卻從未出臺過具體的安全保障政策或管理機制。
“我們需要利用一些政策層面的控制手段��,某種類型的文件�����、協(xié)議或者規(guī)范來支撐如火如荼的自有設備涌入浪潮���,”Hyoun Park如是說�,他是Nucleus研究機構的首席分析師���。他同時指出�,企業(yè)管理者應該考慮將BYOD政策納入公司與員工的基礎協(xié)議,以必須認同并簽署的形式強制工作人員了解自身權利��、責任以及需要嚴格遵守的條款——這是公司與個人從BYOD中獲得收益的關鍵���。
經(jīng)過簽署確認的管理政策還能夠賦予企業(yè)必要的權利��,在設備被盜����、丟失或使用不當時有效保護關鍵性信息�。“企業(yè)不能簡單粗暴地對設備數(shù)據(jù)加以清除——這有違基本的法律精神��,”Park指出����。“我們必須確保員工與公司之間簽訂過某種形式的協(xié)議,并以此為基礎開展敏感數(shù)據(jù)控制工作��。”
面對這一問題�,我們不妨以抽絲剝繭的方式層層分析,Gartner公司研究部門副總裁Paul DeBeasi解釋道��。“大家愿意讓不相干的家伙通過其個人設備連接�、訪問企業(yè)應用程序并存儲敏感信息嗎��?如果真的必須放手嘗試��,諸位打算如何加以控制����?萬一這些擁有訪問權限甚至保存了業(yè)務數(shù)據(jù)的使用者將過氣的舊手機扔給兒子��、女兒當玩具甚至放在淘寶上拍賣又該怎么辦�����?大家是否有能力對此加以防范及管理��?”
這些問題想必令人頭大��,這也正是我們鼓勵大家以書面形式與員工嚴格約定管理規(guī)范的關鍵理由��。“這其實是BYOD工作的第一步���,但很少有人為此進行充分準備并加以規(guī)劃�����,”J. Gold聯(lián)合公司創(chuàng)始人兼首席分析師Jack Gold告訴我們����。
接下來,我們將與大家共同分享BYOD策略制定工作中的七大要點��,希望以此為契機為讀者朋友帶來啟示�����。
1. 應當做到“工具未動����、政策先行”:
DeBeasi結合多年經(jīng)驗認為,大多數(shù)企業(yè)所犯下的致命失誤正是一擲千金大肆采購移動設備管理(簡稱MDM)工具����,卻尚未制定出有效的管理政策�。“像大爺一樣買套工具誰都能做到,但沒有政策的有力支持����,工具根本就是形同虛設,”DeBeasi解釋道�。
舉例來說,每一款MDM系統(tǒng)所提供的功能不盡相同����、對于不同設備類型(包括Android��、黑莓以及iPhone等等)的支持效果也存在差異����?����?傮w而言�,MDM工具普遍存在局限性——盡管它們能夠對設備、數(shù)據(jù)以及應用程序訪問加以監(jiān)控����,但卻無法搞定網(wǎng)絡訪問或者費用管理等相關問題,Park表示�。
2. 雇主對移動設備中的敏感數(shù)據(jù)擁有“完全處置權”:
BYOD領域中最容易引發(fā)高風險的內容大概要數(shù)敏感數(shù)據(jù)泄露了,一旦設備丟失或者被盜�,保存于其中的信息難免被不法分子取得。有鑒于此�,大多數(shù)合理的管理政策都需要嚴格的密碼監(jiān)控、設備鎖定與加密以及遠程設備數(shù)據(jù)清除機制作為支持——只有這樣�����,包括員工離職在內的各種特殊情況才不會導致業(yè)務內容流出等悲劇性后果的發(fā)生。某些企業(yè)希望采用高端管理技術�����,將業(yè)務數(shù)據(jù)及應用信息與設備中的個人內容區(qū)分開來����,并在需要的時候有選擇地清除可能引發(fā)業(yè)務風險的對象。但大多數(shù)企業(yè)出于成本的考量�,往往樂于直接清除設備上的全部數(shù)據(jù),包括一切個人資料����。“以我個人為例,如果企業(yè)直接把我保存在手機里的幾百張照片刪掉��,那我肯定要拿起法律武器保護自身權益���。不過一旦事前簽署過政策協(xié)議,那么這樣的處置方式就是合理的�����,員工必須承擔相應后果,”Gold解釋稱�����。某些政策還會更進一步��,采取更為嚴苛的管理規(guī)則:只要移動設備被檢測到存在違反政策規(guī)定的行為�,其數(shù)據(jù)即會被遠程清除。
3. 明確員工責任:
員工必須了解自己需要為哪些情況負責����,DeBeasi指出,例如保證自己所使用的硬件或軟件符合企業(yè)業(yè)務的最低需求�����。舉例來說���,假如企業(yè)推出一款iPhone應用程序����,希望借此提高員工業(yè)務效率����,那么我們就必須為其準備好必要的硬件運行平臺——如果大家使用的機型太過陳舊���,進而導致公司應用無法正確奏效,那么造成的損失必然要由員工自己承擔����。“作為企業(yè)管理者,我們當然希望員工肩負起必要的責任�,為業(yè)務應用準備好iPhone 4、4S甚至是5�,”他表示。明確員工責任的另一大主要原因則是為了保證安全補丁能夠及時在所有設備上得到更新��,馬薩諸塞州Needham銀行IT部門副總裁James Gordon指出�。在某些控制機制足夠嚴格的管理政策中,系統(tǒng)會自動檢測并拒絕那些來自違規(guī)或陳舊設備版本的用戶的訪問請求����。
