自打2000年起,康涅狄格大学斯托斯商学院便坚定地认为“BYOD”是一种趋势。然而,在经历了数次错误的变化之举,包括争论究竟应该支持设备还是支持应用环境等之后,该大学的IT团队开始重新思考其BYOD策略了。
“我们可以说处在BYOD运动的前沿,所以不像今天这样有这么多资源可以用,”商学院的IT主任Jeremy Pollack说。“我倒希望我们今天才刚刚起步,这样我们就可以从丰富的信息中获益匪浅了。”
Gartner最新的调查称,BYOD是全球众多企业最为关切的企业级移动安全问题,这些企业中有很多已经对个人设备提供技术支持,包括员工自有的智能手机(占受调查企业的32%)、平板电脑(37%)和笔记本电脑(44%)。“Gartner认为,BYOD是一种不可避免的需求,建议企业成立移动战略团队,作为IT部门从事数据管理和控制的一部分。”
在企业开始组建这一团队之前,应考虑多种培训选项。我们认为有五大关键资源选项可帮助企业把握BYOD的技术、法律和安全等各种问题,确保在推出BYOD计划时沟通的顺畅。
1、通过讨论组寻找同行
没人会比企业的IT负责人更懂BYOD,因为他们早已涉足其中了。在各种讨论组里都会涉及到有关移动安全或者移动设备管理的话题,你会看到人们对于BYOD反反复复的讨论。
Pollack就是通过其厂商VMware来寻找同行的。作为VMware View虚拟桌面基础设施的用户,他在其产品论坛里经常需要提出问题,并解答问题。
LinkdeIn和其他社交媒体也能让IT负责人在一个可控的环境中发起开放的BYOD话题与其他人讨论,非盈利组织CompTIA的CIO Randy Gross称。“有了BYOD,每天都会有新的事物出现,提出问题,然后从行业中的其他专家那里得到回应,这真是很好的事情。”
2、从行业会议寻求帮助
2012年,RSA大会首次增加了半天的移动安全分论坛,计划委员会主席Hugh Thompson称,“这算是开了条门缝。”几乎每个分论坛的讨论都会涉及到BYOD,包括如何应对移动恶意软件、电子发现和扣押员工的个人设备等等。出于与会者的纷纷要求,2013年度的RSA大会将会把移动安全论坛延长为全天的会议,将闭门解决BYOD在企业中遇到的各种问题。
除了认真听厂商与行业领袖们的演讲外,各种行业会议还会给IT人士提供机会在茶歇或各类兴趣小组中与同行们相互切磋。如果你没机会参加这些会议的话,那么大多数行业会议都会提供在线资源或视频记录,这些也是同样有价值的。
另一个值得关注的会议是ISACA的信息安全与风险管理大会,计划今年11月14-16日在拉斯维加斯召开。
3、考虑课堂学习与认证
IT专业人员错误地认为BYOD只是一种实践,背后没有什么技术含量,但其实BYOD含有多种关键要素。Spiceworks的IT教育部就把BYOD做成了一门课程:“帮助台101:如何运行一个摇滚帮助台”,教授学生学习如何管理、支持和修复个人设备。
SANS协会也开设了一门两天的课程“移动设备安全”,既有动手学习的内容,也有关于BYOD策略制定和执行的内容。
4、留意行业知识中心和各类标准
一些重要的行业组织,包括SANS协会、NIST和CompTIA,都会发布各种标准、指引、白皮书、案例研究以及策略样本等,帮助IT负责人了解BYOD在组织中的作用。
SANS协会的“安全操作意愿一致评价”对于BYOD从业者来说是一份相当完备的检查清单。突出的是基本的安全行为、基准测试与评分工具、研究指南、事件处理格式,以及法律强制执行问答等。
CompTIA提供了基本培训指南,其中的论题如移动和IT安全都可免费获得,还有更多高级的材料可为其成员提供。
美国国家标准与技术研究院(NIST)也在其特别出版物800-63中发布了它自己关于电子认证指南的建议。该报告的内容涉及在开放网络上访问政府系统的用户(如员工)、承包商以及与私营个体的远程认证等问题。
随着云逐渐成为很多BYOD战略的中心,云安全联盟(CSA)的移动工作组已将其工作范围扩大到涵盖BYOD了。
企业还应当熟悉一些垂直资源,例如美国律师协会也针对BYOD提出了司法建议。ISACA的安全顾问John Pironti说,“IT部门通常很少与律师打交道,除非之后的进程中不得不涉及司法问题时才会打交道。但实际上,他们应该与律师沟通,方能有机会了解到官方对于BYOD的立场。”
5、浏览分析师和厂商白皮书、调查报告、网络广播与案例研究
分析师和厂商经常会研究BYOD对于IT方方面面的影响。例如Gartner就研究过BYOD对于托管桌面基础设施的影响问题。Gartner还集合了一个工具集,可简化移动设备使用策略及过程的创建。
Aberdeen、Forrester、Nemertes研究和其他资讯机构都会定期发布有关BYOD的调查、公告和博客等。
甚至一些跟移动设备管理或安全毫无干涉的厂商也会帮助其客户收集各种信息,包括案例研究和调查。不过SANS协会高级总监Joshua Wright说,在BYOD教育过程中最容易被忽略的一个领域就是操作系统安全。IT负责人首先必须确定其数据保护需求是否可以被某个移动设备平台,如苹果的iOS所满足。所有的移动平台都有一些独特的功能,可能会与企业的安全策略相冲突。
想成为BYOD专家绝非一朝一夕之事——它需要采取主动性、持久性,并花费时间才行。这是一个不断发展的学科,所以必须准备好对BYOD给予持续的关注。