允许员工把自己的设备带到工作场所正在引起新的挑战。这些挑战包括当一台设备需要删除数据时会发生什么事情,或者当员工要出售自己的智能手机或平板电脑时会出现什么事情。
移动安全和BYOD(自带设备)是本周在伦敦召开的欧洲RSA安全会议的主题。
趋势科技负责移动安全的副总裁凯撒·加拉迪(Cesare Garlati)是议题为“BYOD阴暗面”的圆桌论坛的主持人。他说,让员工在工作中使用自己的智能手机或者平板电脑意味着失去了IT部门的控制。此外,如果不能正确地处理个人数据,公司最终将被起诉。如果企业不能通过制定政策保护自己,企业数据就会暴露。
例如,使用微软ActiveSync技术远程删除一个设备的数据会变得更复杂,因为当从那个设备删除数据的时候,一切数据都删除了,包括用户的个人照片、视频、歌曲等等。这个问题是谁为这个事情负责。
因此,当一个用户多次输入错误口令、当一个员工已经离职、或者进行误操作的时候,执行远程删除任务可能引起严重的影响。机构可以采取技术方法和法律方法解决这个问题。
更高级的移动设备管理产品允许企业创建一些容器,把个人信息和企业信息隔离开来,并且仅删除企业的数据。
然而,Gartner负责研究的副总裁瓦林(Leif-Olof Wallin)称,要使这个功能发挥作用,信息必须正确地标记或者存储在正确的位置。一些企业表示他们不能信任这种情况。
瓦林在另一个采访中表示,在iPad电脑上,员工很有可能在这个容器外面存储一个敏感的会议记录。因此,为了安全,他们删除了整个设备的数据。
这个解决方案是制定一个可以接受的用户政策,明确说明员工可以连接到企业网络,但是,如果发生错误,IT部门可以实施远程删除功能并且删除个人信息。这个政策的规则要定期重申。
瓦林表示,这样做的部分原因是告诉用户,如果他们不想失去数据,他们就要定期备份个人数据。
如果员工涉及到法律诉讼,员工及其个人设备也会受到影响。
加拉迪表示:“另一方可以对法官说,为了保留和发现证据,我要求收缴与本案有关的一切设备并且把这些设备送交证据专家进行分析。”用户失去自己的设备并且将再次要求某些形式的赔偿。
这里的技术解决方式是使用桌面虚拟化。这意味着所有的企业信息都存储在服务器。利用平板电脑做这个事情是很好的。但是,这个技术目前还不成熟。
瓦林表示,当把有关信息提供给一个法律案件是足够的时候,IT部门需要有一个流程从PC、智能手机和平板电脑收集数据。允许IT部门这样做还需要使这种做法成为员工同意的政策的一部分。
企业还需要为员工要升级新设备和淘汰旧设备可能发生的事情做好规划。另一个替代的方法是为新的智能手机的成本提供折扣。
加拉迪称:“我的公司实际上为我从AT&T购买的智能手机提供价格折扣。但是,这也有一个问题,我需要上交旧的手机。”
瓦林说,从员工那里收购手机不是一个非常可行的选择,因为企业正在采取BYOD的做法摆脱购买硬件的事情。他的替代的方法是依靠移动设备管理解决方案或者让用户删除自己手机中的数据。
必须告诉员工,如果他们被解雇、离职或者购买一个新设备,原来设备中的所有的公司信息必须删除,包括潜在的物理备份或者基于云的备份。一些公司要求验证这个信息是否被删除,而其它公司则检查样本或者信任员工。