无论企业喜欢与否,“自带设备”(BYOD)趋势已然成了气候。据Juniper研究的调查,在工作中使用自带智能手机和平板电脑的员工人数到2014年将会增长一倍多,达到3.5亿人,今年的使用人数为1.5亿。
但如果你的企业和大多数企业一样的话,那就有可能尚未针对抵御BYOD的风险制定正规的策略。由安全意识培训公司KnowBe4和咨询公司ITIC联合进行的一份最新调查发现,有71%的企业允许使用BYOD,但尚未制定特殊的策略或程序以确保安全。
Nucleus研究公司首席分析师Hyoun Park认为,“企业必须要有某种基于策略层面的控制,要有某种文档、合约责任或者规章制度。”BYOD策略应当像员工必须签署的很多企业文档一样,规范清楚员工的责、权、利,以及员工们必须遵守的规章制度等。
有员工签字的策略合约还能授予企业以保护自身的权利,即在员工的移动设备出现被盗、丢失或误用的情况下采取必要措施的权利。“企业不能简单地擦除设备上的信息了事——因为这样做可能是违法的,”Park说。“在个人和企业之间必须要签署某种形式的协议才能这么做。”
Gartner研究副总裁Paul DeBeasi认为,必须要考虑的一些问题“应该像层层剥笋一样去思考”。“企业打算让员工利用自带设备连接企业级应用或者存储敏感信息吗?如果是,那么企业该如何控制这些设备?如果有员工把他的旧版本设备如旧版的iPhone给了他们家孩子或者在eBay上卖掉了,企业该如何控制,该怎么处理?”
所有这些问题都需要企业落实到纸面上,确定员工可以做什么,不可以做什么,并要求员工在上面签字。“这是启动BYOD计划的第一步,但很少有企业已经做好了这一步,”美国市场咨询公司J. Gold Associates创始人兼首席分析师Jack Gold说。
下面所列就是制定任何BYOD策略均须加以考虑的七大要点。
1、先策略,后工具
DeBeasi认为,企业容易犯的最大错误就是在制定BYOD策略之前就迫不及待地去购买移动设备管理(MDM)工具了。“出去买个工具回来十分容易,但工具必须是为了贯彻策略的。”
举例来说,并非所有的MDM系统都能为每一类移动设备(安卓、黑莓、iPhone等)提供相同的功能性。每种MDM工具都有其局限性——它们虽然可以管理设备、数据和应用访问,但却无法涵盖网络接入或费用管理,Park说。
2、企业“有权擦除数据”
BYOD的最大风险可能就是,一旦设备丢失或被盗,企业的敏感数据便会泄露。这也是为什么大多数企业制定的BYOD策略要求密码控制、设备锁定和加密,以及在特定情形下(如员工被解雇)有权远程擦除设备上的数据。有些企业会选择可区分设备上的业务数据及应用的管理技术,可根据企业的合规策略,选择性擦除必须擦除的数据。其他企业则选择擦除设备上的所有数据,其中可能还包括员工的个人数据。“如果你删掉了我们家孩子的300张照片,有可能会引来一场官司,除非员工签名认可这一策略,”Gold说。有些企业的策略更进了一步,只要移动设备被认定违背了企业制定的策略,就要执行远程擦除。
3、员工的责任
DeBeasi说,员工需要了解他们应承担的责任,例如需要满足最低要求的软硬件规格。不然的话,当企业需要推出某个企业级iPhone应用时,该应用在旧版本的iPhone上可能会跑得很慢。“企业可能得要求员工购买iPhone 4、4S或5,如果员工不升级,他们就无法获得新的应用。”美国麻省Needham Bank的IT副总裁James Gordon说,保证最低规格的另一个原因是可以保证所有设备同步打补丁。有些企业的策略则规定,如果某人的设备版本不符合规定的话,其移动接入就会自动被关闭。
4、可允许的行为
在移动设备上哪些行为是允许的,哪些是禁止的,策略必须明确。常见的限制包括下载企业文档的规定;限制网络或应用访问的规定;使用设备所带相机和USB端口的规定;设备越狱的规定;以及应用和网站的黑白名单等。限制访问的一些网站包括Dropbox和iCloud。虽然企业还可限制访问社交网站,但Park告诫称,对员工的个人功能限制过多可能会挫伤员工使用移动设备的积极性。
Gordon的MDM工具会在员工违反策略限制时示警,并禁止其接入,直到他们采取纠正行为为止。但是MDM工具无法强制执行所有的限制规定,例如禁止使用设备上的相机和网络接入。
5、可允许使用的设备
很多企业的策略没有限制可以使用哪些设备,但是Gold建议,企业应依据降低支持成本,执行安全控制的原则对可允许使用的设备进行规定限制。他认为,企业最起码也应该考虑不同类型设备的分层次使用原则。例如黑莓可以访问企业级应用;iPhone和iPad只能使用邮箱,上网浏览;而安卓则只能使用邮箱。“应该告诉员工为何要如此规定,这样他们在选购设备时也可作出明智的决定。”
6、谁提供支持?
有些企业规定,既然员工的设备自带,那他们就应该自己承担设备失灵的责任。Park认为,企业花在设备支持上的时间会损害生产力。“花半个小时拨打IT求助电话,企业就有可能损失数百美元。”
DeBeasi则建议责任分担。“如果企业自己开发的应用出了问题,或者思科的VPN客户端出了问题,那员工理应电话求助。但如果是硬件问题或者任何与业务无关的问题,那员工就自己去找苹果的天才吧解决。”
DeBeasi建议,无论采取哪种方式,策略都必须明确区分责任。企业可能需要考虑建立自我支持知识库和社区论坛,在内部网的门户上或SharePoint网站上发布。策略规定还需要澄清哪些情况提供支持的,哪些情况不提供支持。
7、谁来付费?
当企业要正式制定BYOD策略时,有关设备和后续使用费用账单的问题就会出现。“有了4G服务,千兆容量的下载非常轻松——那么谁来支付下载费用?”DeBeasi说。如果大多数下载都是与业务相关的,那么员工可以指望企业来支付费用。有些企业可能会设定一个费用上限。无论哪种方式,付费的细节必须在策略中做出明确规定。
Park指出了三种通用的选择:不报销;每月报销部分费用;一次性或持续发放补贴。企业也可以对不同级别的员工提供不同类型的费用计划,例如有些可以全报,有些只报销部分费用。
尽管BYOD可能导致企业系统瘫痪的因素多多,但最重要的还是要采取行动。DeBeasi说,“企业必须站出来,及时制定出一些简单的策略,哪怕是不完美的策略。更重要的是,BYOD是一件体验性的事物,而不是需要分析各种可能的因素之后便可一举成功的事物。”