曾经,许多企业都实行过BYOD策略,但是时间却不长,而现在企业对于BYOD的想法越来越成熟。这些企业从最初禁止员工在企业中使用个人设备,到对使用个人设备设置一定的限制,再到完全允许员工在企业环境中使用个人设备,再这一过程中,企业逐渐地完善了其BYOD策略。
Yankee集团企业移动性分析师Chris Marsh指出:“这些企业最初只允许员工使用企业提供的手机,后来他们开始支持COPE设备(即企业所属,由个人使用的工具或设备),最后企业过渡到真正的BYOD策略。”
Marsh说:“企业要实现真正的BYOD,他们需要对其企业防火墙之外的数据做好心理准备,且通常情况下企业并不能完全掌控这些数据。面对这一变化,企业的安全措施不能只针对设备本身,还有数据。”
本文提到的四家企业执行BYOD策略至少有两年的时间了,下面让我们来看看这些企业是如何应对在BYOD过程中出现的挑战和变化的。
Aetna
两年前,Aetna引入BYOD项目,使其员工在计算和通讯设备的选择上具有更大的灵活性,并可以让更多的员工实现远程工作。
Aetna是位于美国康乃狄格州的一家保险公司,该公司已允许其员工使用他们自己的PC工作。同时,随着该公司部署了Citrix Systems和Good Technology的移动设备管理(MDM)工具,Aetna将其BYOD的策略扩展到了智能手机和平板上,确保了企业数据的安全和企业对这些设备的控制。
后来,Aetna又从AirWatch、BigTinCan和BlackBerry引入了MDM系统。
Aetna的执行董事和客户服务主管Alan Pawlak表示,Aetna之所以采用了如此多的MDM技术,是为了满足其不同业务模块的需求。Pawlak说:“这些MDM系统和工具可以允许非公司的设备或员工的个人设备安全地访问我们的核心数据。很多用户都在使用MDM系统,因为它可以让用户在家里就能访问公司的网络。”
在扩展BYOD项目之前,IT部门希望得到公司领导层和各个业务部门主管的支持。同时,BYOD项目领导人起草了一份协议,要求每个要使用个人设备办公的员工都签署这份协议。Pawlak说:“这是在管理层面上保护公司的安全。”
Aetna的关于BYOD管理策略中包含了如何在工作环境中使用移动设备的相关规范,同时它也能识别出BYOD之外的用户,包括那些管理重要数据(如个人健康信息)的员工。
如今,Aetna的BYOD项目涵盖了该公司来自不同功能部门的4000多名员工,占Aetna员工总数的8%。
随着企业不断加强内部移动设备的安全和对用户的审查,Aetna的BYOD策略也在不断地完善。例如,每个用于工作的个人设备中要有一个安全容器(secure container),以便将个人数据和业务数据分隔开来。目前,Aetna使用的所有MDM产品和工具都具备这种功能。
Pawlak说:“在企业内部,我们不允许员工使用个人邮箱工作,也不允许个人数据信息和企业的数据信息融合在一起。这么做最主要的原因是,如果员工的个人设备丢失或被盗,企业可以远程地将其设备上的企业数据抹掉,而不会给公司带来损失。”
同时,Aetna指出他们能够利用MDM工具检查设备是否处于“健康状态”。Pawlak说:“我们有最基本的“健康”检测工具,以防止设备出现一系列的问题,让公司措手不及。”早期检测工具的版本灵活性不够,不能处理不断变化的设备和操作系统。目前,设备“健康”检测包含了网络位置验证、系统类型、设备的重点安全检测和操作系统等。
最近,Aetna对BYOD策略的执行成本上也有了一个很好的把控,并关注其是否能给Aetna带来更高收益。Pawlak说:“我现在对于移动应用授权费用和支持费用非常清楚,企业实行BYOD是有成本优势的,但是它同时也需要平衡员工的成本需求。我们最初决定走这条路的时候,很多人都觉得这可以为公司节省很多资金。事实上,它的确可以节省一些成本,但这些节省下来的钱又花在了别的地方,而且可能花得更多。”
例如,BYOD是员工自带设备办公,这样就节省了企业为员工购买笔记本的成本。但是,用户向服务台或IT部门打电话求助的成本就高了,当员工遇到设备或应用出现的问题时,或连不上网络的时候往往会打电话求助。
Pawlak说:“面对这种问题,你需要告诉员工谁是负责解决这类问题的人员,以减少不必要的通讯费用。同时,企业还要承担MDM工具的后端成本。”
BYOD还有一点好处就是它可以使员工不受工作场所的限制来完成工作,提高了工作效率,为企业创造更多的效益。但是,Pawlak也表示员工通过这种方式创造出来的无形的效益是难以计算出来的。
Hamilton Health Sciences
位于加拿大安大略湖汉密尔顿的Hamilton Health Sciences(HHS)集团在2007年部署了Citrix XenApp(将Windows应用打包到安全移动服务的软件)之后开始实行BYOD策略。那时候,HHS想要从原来要求医生必须使用医院提供的设备转变到允许这些医生自主选择移动设备和移动技术来工作。
HHS的副总裁兼首席信息官Mark Farrow说:“关键是医生们不愿意买我们的设备,尤其是我们不再提供苹果设备后。自iPad发布,医生们都开始使用他们自己购买的iPad用于工作,这对于我们的BYOD策略是一个推动力。”
如今,该公司已有几百个员工自带的设备接入了公司网络。Farrow说:“未来,我们将允许更多的设备连接到我们的‘访客’网络,而且我们也允许这些设备访问我们的Citrix环境、邮箱和网络。”医生可以在查房的时候,用他们的设备访问病人的信息,或者与病人交流沟通。
自启动了BYOD,HHS已经升级到了最新的MDM系统,即最新的Citrix XenMobile,以更好的监管设备、确保设备安全。如果有需要,IT部门可以远程地删除个人设备上企业的敏感数据和邮件,而不会影响到个人数据。
出于安全考虑,HHS最初对于员工自带的安卓设备持怀疑的态度。但是,有了最新的MDM软件的控制和管理,现在公司内部允许使用任何的设备。Farrow指出,利用MDM软件控制的HHS BYOD策略即保证了数据的安全,同时也确保了数据的可访问性。
随着HHS BYOD策略的发展,问题和挑战也随之而来。Farrow说:“最开始实行BYOD策略的时候,员工开始纷纷带着自己的设备到公司,流量过大,一时导致公司的网络拥堵。面对这个问题,我们重启了网络,并部署了更多思科的网络组件以管理‘访客’网络,以帮助我们处理网络流量问题。”
HHS目前有三个分段网络:一个是用于企业设备的企业网络;一个是用户网络,允许获得授权的BYOD用户访问;还有一个是访客网络,提供给用户、员工或合作伙伴使用。#p#
Land O' Lakes
Land O' Lakes是位于美国明尼苏达州的一家食品和农业公司,半年前,这家公司启动了BYOD项目。
作为移动技术策略的一部分,该公司让员工自行选择购买手机用于工作,并为员工提供相应的补助,或者员工可以使用公司提供的设备。这两种方式,无论员工选择哪一种,都需要在MDM系统上注册他们的设备之后,才可以连接公司网络,并使用邮箱和其他应用。
Land O' Lakes的副总裁兼首席信息官Michael Macrie说:“在MDM系统上,我们可以为那些可部署的企业应用创建一个内部应用商店。同时通过MDM,公司随时都可以知道哪些设备或用户过多地访问重要应用。”这就减少了不良设备连接公司服务的可能性,确保了企业内部网络的安全。
Land O' Lakes的BYOD项目中包含了1000个员工自带的智能手机,占公司内部使用手机总量的25%。最初,Land O' Lakes的BYOD策略仅限于经常出差的员工,而现在它已经涵盖了公司各个业务领域的员工。
Land O' Lakes的BYOD进展非常顺利,因此Land O' Lakes将BYOD的设备扩展到了平板电脑上,同时又增加了1000名员工。这1000名员工其中包括一些使用智能手机的用户,但是主要的是那些使用平板工作的销售和主管们。同时,这些新增的设备和用户也都必须在MDM上登记才能使用企业的应用。
Macrie说:“在实行BYOD项目最初的阶段,并没有关于使用平板的业务案例。我们没有特别好的应用用在平板电脑上,但是我们又针对平板重新开发或购买了12个应用,以使平板能够更好地发挥它的作用。例如,农业学家可以利用平板查看卫星图像,并查看土地的实时信息,以帮助他的客户在农业生产中做出更好的决策。”
根据Land O' Lakes的智能手机和平板电脑的BYOD政策,如果用户的设备上有关于公司的数据,并且已注册使用了公司网络,那么一旦该员工离职或者其设备丢失,Land O' Lakes的相关人员可以利用MDM将公司的数据删除。
Land O' Lakes的报销比例是很大的,一般智能手机每月的账单可以报销75%。Macrie说:“这一比例比我们公司之前手机的平均账单费用少了30%,所以这给我们节省了成本。”
Macrie说:“这是我们和员工之间定的协议,至今它都执行得很好(+微信关注网络世界),没有出现什么问题。大多数员工也理解一旦他们离职,他们是不能带走公司数据的。我们制定的协议同时适用于员工和公司,达到双方共赢的效果。”
明年,Land O' Lakes计划将其BYOD中的设备扩展到笔记本电脑和台式机。同时,Land O' Lakes还将促进移动设备更加安全地接入到公司网络。今年,该公司将根据用户的不同类型,实行分段访问其企业网络,将为那些注册了MDM的用户和只有一个用户名和密码的用户设置不同的访问特权。
但是,随着员工不断地将新设备带到办公室,也给企业带来了持续性的威胁。为了解决这一问题,Land O'Lakes正在部署思科的技术以帮助验证设备是否无害,是否有明确的MDM凭证以访问企业网络。如果该设备不能通过某一个测试的话,那么用户的设备将只能连接到互联网,企业的其他网络或应用则不能访问。
明年,Land O'Lakes将利用同样的技术进一步支持员工自带的PC和Mac的分段网络连接。这样既可以允许员工自带设备工作,同时也可以减少那些可能带有恶意软件的设备感染整个公司网络的风险。
Macrie说:“如果员工带了一款新的设备到公司,那么这款设备只可以连接互联网,而且是一个分开的网络,直到该设备被认证是没有危险的,并成功安装了安全证书之后才可以使用公司的其他资源。”
Land O'Lakes还希望能为笔记本和台式机提供一个自助服务的商店,用户可以从这个商店中下载企业支持的软件,并可以在他们自己的设备上使用这些软件。
自Land O' Lakes实行BYOD策略以来,Land O' Lakes清楚地认识到,其实员工自带设备工作并没有给企业省多少钱,因为从设备上省下来的钱都用在了MDM系统上和网络及应用的改善、升级上,以确保安全。
Macrie说:“随着时间的推移,如果我们的BYOD可以涵盖到企业大部分的设备,那么我们相信我们是可以节省一定的成本的。”
Macrie表示,BYOD策略对于今天的工作环境非常重要,你需要给员工一个舒适的工作环境和他们喜欢的工作方式,以此可以节省更多的时间,提高工作效率,而这正是BYOD的意义所在。
普华永道
全球四大会计事务所之一——普华永道(PwC)有一个非常大的移动环境,其中包括3.7万个iOS设备、5500个安卓设备和2300个其他操作系统的设备,而95%的员工都在使用这些设备。
普华永道在美国公司的首席信息官Philip Garland指出,该公司为用户提供了两种移动选择。第一种是用户在使用邮件、日历和通讯录时可以通过一个沙盒应用将个人数据和公司数据分开,另一种只针对iOS设备,即MDM平台,它允许用户通过公司Wi-Fi或VPN网络接入来使用本地邮箱、日历和通讯录。
用户可以使用自带的设备浏览内部网站、使用即时通讯、参加和主持视频会议、查看和修改企业文件,还可以使用普华永道其他20多个定制应用。Garland说:“我们的定制应用包括了企业新闻、时间追踪和完成费用报告等多种不同种类的应用。”
普华永道实行BYOD策略的方法也逐渐成熟。Garland说:“我们每年都会不断加强我们的合规培训项目,以确保我们的合作伙伴和员工能够收到关于设备许可使用的正确信息,并知道如何分别管理好企业和客户信息,以及个人信息。”
自实行BYOD,并根据普华永道的密码规则平衡设备的可用性以来,普华永道已经修改了一些密码政策。Garland说:“根据我们的蜂窝数据计划,我们已经增加了我们的数据限制,同时允许智能手机使用移动热点。而且,我们也为那些去国外出差的合作伙伴和员工实行了相应的政策以减少国际差旅的支出。”
普华永道已经意识到,实行BYOD政策,最好的办法是给用户提供多种选择。
Garland说:“合作伙伴和员工可以为他们的设备选择业务整合的级别,我们推出的第一个企业网络设备整合需要用户在MDM上登记、注册,并获得一个设备密码。
许多用户认为这是一种对个人隐私的侵犯,而现在他们可以自行选择他们觉得合适的方式。Garland说:“如果有人想要保留现有设备的状态,不愿意升级的话,我们也是允许的。”
这两种并行的方式可以由员工决定如何整合他们日常用于工作的个人设备。Garland指出:“我们认为如果一款移动设备上有了一个非常好的MDM工具或沙盒产品,那么个人数据和企业数据可以在同一台设备上共存,而不会造成任何干扰或麻烦。”
普华永道的IT部门和其安全部门合作建立了安全保护措施和流程,使用户可以更加容易地注册其设备,同时公司也可以确保一些特殊的设备连接了正确的用户凭证,达到必要的安全要求。
对BYOD的管理通常都是自动执行的。Garland说:“当用户在我们的MDM平台上注册时,我们会根据流程帮助他们一步一步的注册、安装。这一流程包括用户识别、设备识别,并为设备提供凭证。在我们帮助他们完成注册的同时,用户也一定要赞同我们的认证政策和流程。”
利用MDM系统可以使大部分的设备管理流程自动化。Garland说:“对于那些我们提供给用户的应用和功能,我们也有一套独立的管理方式。”