市场研究公司Vanson Bourne的调研数据显示,有70%受访企业认为,BYOD(Bring your own device)已经或将能够提高企业的工作效率。59%的企业认为,如果不采用BYOD,企业将在竞争中处于不利。同时权威调研机构Gartner预计,在未来的4-5年内三分之二的大型公司及组织将购买移动设备管理产品,但是没有监管策略的前提下,开发新的移动和云平台可能产生不良影响。
在我IT生涯刚开始的时候,曾见到过很多没有任何意义的决策和项目管理实践,但当时年少,常常认为人们之所以这样做肯定事出有因。总之,当我应该发出声音的时候,我总保持沉默。而从业二十年的时间教会我一件事,那就是,其实不存在什么事出有因,不好的东西就是不好,那些确实是很糟糕的IT实践,当我们不重视常识的时候,我们就很难意识到这一点。
BYOD肯定有不利的一面,从很大程度上讲,我是IT消费化的拥趸者(使用非标准的应用和工具增强终端用户的参与和生产力)而且,我也支持BYOD模式,但作为一名理性的经理和IT运营领导人,我意识到,如果企业不制定恰当的策略,部署有效的保护和监管措施,对不受支持的设备和应用进行管理,那么这种模式就有风险。终端用户通常只想尝新,但当移动用户可访问你的安全,可扩展和符合要求的系统时,管理人员有十足的理由为这种行为实施强制保护。
有些人将监管等同于官僚的,等级森严的系统,如果有这种想法,是因为管理者缺乏鉴别潜在威胁的能力。监管其实应该是检查和平衡——为终端用户想要的工具和系统提供支持,但是要监管得力,还要有相应的条款。
不良监管的实例
最近一次的vSamp调查发现,美国41%的移动用户都使用未经许可的服务进行共享或文件同步,尽管87%的人称知道公司有限制文档共享策略的措施。还有27%的移动用户则已经出现问题,造成的后果包括昂贵的诉讼费用,财政处罚等,经济损失达二十亿美金。
虽然大多数IT专家们都认识到了这种风险,但有些用户是不见棺材不掉泪。幸好,还有另一种方式:从其他人的错误中学习,本月我作为一个六人移动安全和IT专家小组的成员之一,参与了“不良IT行为”的判定工作。我们从社区收集了有关移动和云应用事故的匿名案例,这些事故都是无视公司监管措施的人造成的,这些案例是不良IT行为及其风险的真实体现。
例如,一个市值五亿的保健和健康公司,聘请一名顾问对其IT系统进行审计,以确保他们的系统和符合行业准则,审计很快就证实,尽管公司有授权的有文档记录的交流进程,但终端用户曾通过公共邮箱(Hotmail,Gmail)以及即时通讯平台(AOL Messenger,Yahoo Messenger,MSN Messenger),共享敏感客户数据(信用卡号,银行卡号)。
由于公司要求这名顾问报告违规行为,所以CFO立刻封锁了所有未授权的协作工具,并对策略做了及时修改。该公司仅有几天的时间来恢复正常,而且要为鉴定出的违规操作付出沉重代价,同时系统有一天不符合规定都会受罚。
另一个例子,欧洲一家公司中,有越来越多的用户要求将个人iPad和智能手机连接到公司系统上,虽然IT部门坚持反对了几个月,但公司最终还是决定对“选定的几位行政执行人员”开放邮件系统,并且共享了所需的密码,六周后,IT人员在系统上运行了一次审计,发现连接到公司后端环境的员工数量是原来的十倍,显然,员工泄露了密码。
一个大型的非盈利安全团队发现,有几个无IT授权使用Dropbox 的一些团队最近被黑了,为了了解他们系统是如何被破坏的,他们联系了主流的云存储厂商,通过电话称系那个了解其组织使用平台的情况,电话代表提供的数据超过他们的预期,并告诉他们“我们有一个记载了1600名用户的列表,上面还有他们的邮件地址,你需要这份列表吗?”这个云存储厂商显然很乐意分享客户信息,甚至连对方是谁都不验证下就直接分享了!
前瞻性的监管
还有很多类似的案例,一方面,员工破坏公司的规矩,而且美其名曰“提高工作效率”,另一方面,许多IT组织没有倾听员工的需求,导致有些人觉得没有别的办法,只有绕过IT部门监管才能完成工作一样。
在每个案例中,由于缺乏成文透明的规章制度,所以管理策略的更改可能导致严重的问题;这些实例在IT部门和终端用户之间开辟了一种更开放的对话,而一些客户驱动型工具和实例可能是最适合企业的。
不应该惧怕监管,也不应忽略监管。管理和终端用户应该视之为更改管理模式的重要方面,优先考虑监管和更改管理的企业能够快速识别新的请求,因为他们会验证这些需求,确保请求与公司的活动没有冲突,而且会确保所有新工具和应用都满足标准和规章制度,这就减少了数据崩溃的风险,以及无意却非常严重的损失。