企业BYOD最惧怕:隐私、个人资料遗失和设备遭窃
bluebones 发表于:13年07月09日 17:00 [转载] DOIT.com.cn
很多员工并不了解使用个人设备对工作的影响。很多企业也不明白他们事实上为其后果承担了责任。这篇文章涵盖了你对自带设备计划想知道却不敢问的事情。
好消息:你的公司提供自带设备(BYOD)计划。你终于可以停止使用那无聊的公司配电话,而在工作中使用自己最炫的新iPhone。更棒的是,你现在可以在家里边用三星平板检查公司电子邮件,同时看着YouTube影片。你的公司负担了部分费用,甚至提供企业级的技术支援服务,来帮你使用这些新玩意。这些看来都是无法拒绝的好处。
坏消息:你加入了公司自带设备计划。有天早上你醒来,拿起你的iPad想要看信,但是却打不开。你的iPad已经挂了,变成砖块了。在家里快速地调查了一下,你发现是因为家里的小家伙想要在你醒来前猜你的密码,好去玩愤怒鸟。糟糕的是,企业邮件账号的安全政策会强制让iPad进行自我毁灭,以防止敏感的企业资料未经授权被存取。现在比那些有名的鸟们还愤怒了吗?等一下之后你会发现设备本身还是可以救回来,企业资料也都可以回复。但你的照片、影片和歌曲都不见了。永远消失。注:上述例子是个真实故事,我儿子的名字是Luca。
如果你已经被吓到了,那就不要再看下去了。这些还并不是会发生在你资料、隐私和设备上最坏的状况。用自己的个人设备来工作的员工大多会惊讶地发现,他们的智能型手机、平板计算机和笔记型计算机可能牵扯进公司的诉讼案件。员工可能会被要求交出他们的个人设备(包括里面的浏览记录、个人资料和他们建立的文件),因为它们可能会在诉讼过程中受到第三方团体审查。
当你加入公司自带设备的计划时,如果你太过心急而没有仔细阅读使用政策就加以接受,或你那时根本也不想知道到底会遇到什么,现在可能是个好时机去详读文件或联络你的IT/HR部门以确认详情。这里有三件关于公司自带设备需要确认的事情,不要害怕问出口:
1 个人资料遗失。当你将个人的智能型手机、笔记型计算机或平板计算机用在工作上(像存取公司电子邮件、行事历或企业目录),公司很有可能会用内建功能和额外的软件工具来保护和管理你设备内的资料。作为第一道防线,很多公司都会强制执行ActiveSync策略,这被预装在大多数消费性移动设备内,来强制密码保护、远端删除和锁定。更先进的IT部门可能会要求安装另外的移动设备管理软件,好让企业IT可以将管控延长到你设备上的应用程序和功能。虽然安全性和可管理性是公司所该关心的事,大多数自带设备计划所用的工具并不会明确地区隔开个人和企业的资料与应用程序。结果就是,当未经授权存取事件发生时(真正发生或推测),设备内的内容或多或少会被自动删除,设备本身也会变得无法使用。
如果你不害怕答案,你应该要问下列问题:我在设备上的资料很容易就被自动或远端删除吗?什么事件会触发自动删除?远端删除是标准离职步骤的一部分吗?远端删除会告知我或需要我同意吗?在自动或远端删除后,我的个人资料还会保留吗?公司有提供恢复已删除个人资料的方法吗?我可以要求因为个人内容,象是歌曲、影片或应用程序删除所造成损失赔偿吗?
2 隐私。从法律角度来看,你拥有个人设备这件事和诉讼本身无关。为了要发掘和保存证据,法院可能需要鉴识审查诉讼中所有相关的设备。自带设备计划的参与员工可能会被要求交出个人设备给第三方团体检查。你将被迫让所有储存在你设备上的个人资料被存取。这包括网站浏览记录、下载和播放过的歌曲和影片、金融交易副本、你的个人联络人以及你和他们之间的电子通讯(包括个人电子邮件、个人电话、简讯和各种社群媒体活动,包括Facebook、Twitter和VoIP服务,象是Skype等等)。这会延伸到任何共享该设备的其他家庭成员或第三方人士的个人资料。储存在设备中的个人资料并不是唯一要担心的隐私问题。你的位置和网络活动也可能会透漏给你雇主所知。移动设备管理软件的一个特点是可以实时追踪设备的位置。这功能的目的是可以在启动远端锁定或远端删除前,先帮助确认设备是遗失还是被窃。
它也可以用来当设备进入公司的限制区域时,选择性地关闭镜头或麦克风,以防止敏感资料遗失。现代设备可以做到相当精确的定位位置,即使是在建筑物内时,也可以用无线网络接入点侦测来辅助GPS定位。虽然并不一定会使用,但IT部门也可以随时随地掌握你的行踪,不管是不是故意,你甚至不会意识到这件事情。此外,当你的个人设备连到公司的无线网络时,你的网络活动也很有可能会被监控和过滤以符合各项规定,从而确保公司不会因为任何资源被误用的行为而担负责任。如果你不害怕答案,你应该要问下列问题:我需要提供个人设备以做鉴识分析吗?这是否也适用于与其他家庭成员共享的设备?谁可以取得储存在我设备内的个人资料?公司可以追踪我的位置吗?在什么情况下会发生这种事?要追踪我的位置,会经过我的同意吗?我会得到通知吗?这些系统在工作时间之外也会启动吗?我个人的网络活动会被监控和记录吗?当我离开公司后,这些资料还会被保留吗?
3 设备遗失和无法使用。移动设备通常都很小,而且你会带着它们到处去。所以毫不奇怪地,它们很可能会遗失或被窃。但当你使用这些小工具来处理公事时,你有更多理由需要担心。你的设备可能会因为公司执行远端锁定或删除而变得无法使用。或是你有可能被要求交出你必备的智能型手机,以配合诉讼的法律程序。这两种情况下,你可能会失去移动设备一段时间,很可能会发现自己需要一个临时或永久的替用品。如果你不害怕答案,你应该要问下列问题:在什么情况下,我会被要求交出我的个人设备?公司会提供替用品吗?如果失去了移动设备,谁负责备份和恢复个人资料和应用程序?在什么情况下,公司可以启动远端锁定设备?会寻求我的同意吗?重新使用我设备的流程是什么?
在这篇文章中,我介绍了自带设备计划内较不被为人所知以及不好的地方。在接下来的文章里,我将提供IT部门建立健全自带设备政策的最佳做法和法律相关建议,以最大幅度地减少这些问题的影响,来完全释放出消费化所带来的业务好处。