虽然很多企业管理者自以为能够严格控制员工对业务资源的访问与使用,但实际上强迫员工使用特定标准的企业设备压根就不现实。根据阿伯丁大学的研究结果,2012年7月全球企业中已经有83%存在自带设备(BYOD)办公现象;与此同时,员工们所购买或选择的智能手机及平板设备不仅被用于处理企业业务,同时也在满足着娱乐等个人需求。
事实上,某些企业甚至会主动出钱为员工购买移动设备或者提供服务方案,希望借此避免由日常增长的非标准化设备接入所引发的、令人头痛的企业管理工作。显然,移动设备标准化能够大幅降低控制难度,这显然是企业一种花钱买太平的折衷态度。
由此可见,移动技术与BYOD在企业中的应用已经毫无争议,问题在于如何解决好由此带来的问题。
设备所有权问题相当棘手
某些企业——尤其是政府机关、医疗保健及安全保障部门——不得不面对法律层面的一大新问题:设备的所有权应该归属于谁?
直到现在我们也无法为这个问题找到肯定的答案,不过如果从本质来看,问题的核心在于所有权在哪些情况下将对管理及控制产生影响。然而很多保守派机构通常不会考虑那么多,直接获得法律层面的设备处置权显然更加简单有效。
下面我们就按流行程度的高低顺序,为大家列举三种截然不同的设备所有权处理方案:
(一)共享管理权。机构管理者与员工之间订立约束政策,双方协定“如果员工要求通过个人设备访问业务资源,企业方即拥有对该设备管理、锁定甚至是远程数据清除之权利,且无需对由此带来的个人数据及应用丢失承担任何责任。”这类协定往往会以书面形式出现,作为双方履行管理责任并承担相关义务的法律依据。
(二)企业全权所有及使用。在这套方案中,组织机构会出资购买并向员工分发移动设备,因此其对设备的完全处置权不容置疑,甚至可以完全禁止员工利用设备进行任何非业务活动。然而员工普遍对这种做法嗤之以鼻,他们不喜欢这类设备上的通话计费服务(因为企业不会为任何私人通话买单)。因此即使设备本身完全免费,员工仍然缺乏使用热情,甚至直接无视企业配备的设备、仍然使用自己购买的手机或平板。
(三)合法转移。企业从用户手中购买设备,在某些情况下这种所有权将始终生效,这就彻底禁绝了员工与他人共享设备的可能性。但有些企业也会选择以象征性的付款(例如一块钱)让员工购买设备,同时向实际用户提供设备的个人使用权限;而在员工离职或者被辞退后,企业再以同样的价格将设备购回——虽然只是多了两步,却这套方案却让员工的主动性大大提高,也更容易被人们所接受。
移动设备所有权归属于员工:钱是大问题
通过资助的方式让员工使用移动设备相当成功,这能够有效控制企业在智能手机方面所支出的成本。毕竟按照固定付费模式为员工的手机买单能有效帮助企业控制每月每用户的移动设备开销,同时降低闲置手机浪费资金却无人发现的可能性。另外,我们还能够利用这种庞大的服务使用规模与运营商交涉,获得账单折扣或者是将服务外包给TEM(电话开销管理)企业,以确保如此数额的开支中不会存在什么猫腻。(为了帮大家了解运营商账单清查的重要性,我要提醒各位:即使 TEM公司的审查服务与计费问题解决方案价格不菲,仍然有众多客户纷至沓来。)
不过要以企业出资方式解决员工拥有的智能手机或平板设备问题,省钱就变成了很难完成的任务,Telwares公司执行副总裁Michael Voellinger指出,这是一家电话服务与咨询企业。“这就像是一道分水岭,”Voellinger表示,虽然有很多企业客户通过这种方式节省了资金,但也有很多客户因此遭遇更庞大的开销需求。
为什么以用户为单位的支付方式反而比企业整体管理方案成本更高?因为即使是员工个人出资购买的设备,同样会带来诸多管理及安全问题,而种类繁多的设备型号会让控制工作极为棘手,最终给企业带来超出预期的高昂支出。
举例来说,如果一位员工带着设备出国公干,由此产生的漫游资费该由谁买单?又或者说,当一位员工为了处理公务而超出了套餐中设定的通话时间,企业该如何界定这笔费用的性质与承担者?总而言之,企业之所以开销庞大,是因为有很多资金被用于意外情况的界定与审核工作当中,而不仅仅是这些意外情况所带来的款项本身,Voellinger指出。
此外,如果管理者希望以可回收方式控制业务设备,要想准确把握由此产生的通话费用及服务支出就变得非常困难。从本质上来看,量化数据始终在不断消逝,这难免给企业带来不必要的设备使用与高于基准的运营支出。
移动设备所有权归属于员工:管理是大问题
当然,除了经济问题,许多企业在处理员工自带设备时也存在着监控力度不足、设备追踪不力的状况。每年总有那么几个月,员工会交来面额高达上千美元的的账单;另外,很多员工在离职之后,他们所使用的设备仍然被遗留在财务系统目录中,成为不断蚕食企业资源的蛀虫。
Voellinger建议企业管理者在制定管理策略之前,认真考虑员工的设备使用状况。举例来说,如果大多数员工在日常业务中使用移动设备的频率不高,那么企业资助、员工持有的管理方式较为合理,这样能够在预算准确的前提下最大限度满足实际需求。这套方案同样适用于分支机构较多的企业,尤其是在工作地点横跨多个国家,而且设备服务运营商不止一家的情况下,我们可以通过企业采购折扣及服务套餐等多种方式大幅降低运营成本。
不过资助员工使用个人设备的方案在预算成本上仍然要远远高于单一运营商所提供的企业整体规划服务,Voellinger指出,尤其是在用户对移动通话时间及流量使用频繁的情况下更是如此。对于某些企业而言,成本并不是决定性因素:严格的审计手段或者统一的合规标准才是重中之重,管理者能够以此为基础将个人信息与企业业务系统彻底隔绝开来。
尽管Voellinger建议企业用户采取统一购买、严格管理的移动设备控制方式,但他仍然认为具体方案还是要以实际情况为基础。对于很多办公环境中已经存在个人设备的企业而言,接受现实无疑更为实际,将外来因素纳入管理政策及技术体系也不失为比较可行的应对策略。
移动设备管理策略:合理混合
当然,大家制定的设备管理策略绝不能走非黑即白的极端路线。根据Voellinger的建议,企业不妨将员工自己采购的设备与企业派发给用户的设备混合起来,构建出复合型管理环境。换句话来说,管理者应该将使用移动设备的员工划分成不同的类别,并根据各自特点制定对应的使用模式与成本方案。
Forrester咨询公司分析师Ted Schadler强烈建议大家根据移动技术对工作的具体收益将员工划分为几种类型。“别妄想一招通吃天下,这完全是痴人说梦,”他表示。
举例来说,我们可以按以下几项标准进行划分:
使用完全由企业提供及管理的设备处理敏感业务数据的员工;
在传统办公环境之外利用移动设备处理业务工作,同时也使用该设备满足个人需要的员工;
在传统办公环境之外利用移动设备处理业务工作,且很少使用该设备满足个人需要的员工;
很少在传统办公环境之外利用移动设备处理业务工作,同时将该设备与业务系统相锁定的员工。
在考虑成本支出时,大家千万别忘记,服务规划与设备投入还远不是开销的全部。随着业务环境中移动设备的种类越来越多,相应的技术支持复杂性也在不断飙升——BlackBerry、Android、iPhone与iPad,哪一样都不是省油的灯,也都可能带来大量额外支出,Voellinger指出。由此产生的费用很可能抵消掉移动技术所带来的全部节约款项。
不过Voellinger再次强调,这笔支出绝对物有所值,因为它使得企业员工能够利用最合适的设备处理特定工作。除了客观层面的辅助功能之外,移动设备的引入还能帮助企业塑造开明的管理形象,由此大幅改善员工的满意程度。根据Voellinger的说法,“最令人愤怒且无法接受的,就是员工从迈进企业大门的一瞬间就被视为二等公民,承受着种种不合理的约束与歧视,”这种与家庭环境的强烈对比会令员工很快产生不满情绪,进而导致生产效率低下等严重后果。因此企业出台移动技术管理方案势在必行,否则员工必然要奋起反抗,抵制这种强迫普通工作者胜任XP专家或者BlackBerry设备大师的无理要求。
另外,也别忘了员工自有设备并不是额外预算的惟一源头,企业本身也拥有大量需要持续投入的设备管理方案,其技术支持及更新换代都需要花钱。把员工的事当成自己的事,把员工的设备纳入企业自有设备的预算规划当中,这才是科学而明智的处理方式。
合理引导移动设备的双重用途
在讨论应不应该允许员工使用自有设备处理业务工作时,反对派的一大论调在于:携带两台设备、使用两个号码实在是费力至极,又不见得能讨什么好。
没错,长久以来我们一直习惯于将生活中的个人电话带入企业工作,但这主要是因为长期带在身边的设备既熟悉又顺手。企业管理者不妨以员工的感受为基础,制定出更为温和的管理政策,例如允许员工将同一台设备用于两种用途。我们既可以仍然沿用员工的自有设备、并将个人事务与企业业务区分开来,也可以为员工另外配备新设备、同时允许员工利用它满足私人需求——只要具备明确的费用报销制度,相信这并不是什么难事。
人们很可能在业务手机上处理个人问题,也常常在家中接听业务电话,因此在同一台设备上实现双重用途也顺理成章。不过数据容量又会成为新的麻烦,而且事实上员工设备能够访问并保存包括业务邮件、联系人、日程表及文档等大量敏感信息,这就导致IT及安全专家对于双重用途方案往往抱有畏惧情绪。
这一问题不仅仅困扰着移动设备——许多员工会在家中甚至是办公室里通过个人计算机处理业务。根据Gartner公司的调查报告,超过15%的中型企业允许员工在日常工作中使用个人笔记本电脑。而且不少员工还会使用办公电脑玩游戏、查看个人邮件、运行iTunes、甚至用Windows媒体播放器听音乐。
“虽然移动领域是众人关注的焦点,但其背后潜藏的问题其实相当广泛。我们能准确区分设备的业务与个人用途吗?很遗憾,答案是否定的,”Telwares公司的Voellinger表示。“无论是智能手机还是PC设备,企业管理者都不得不面对员工滥用甚至数据泄露的问题,由此带来的风险同样不容忽视。”
这也正是设备管理的“秘诀”在于“将员工当作成年人看待、以‘信任与事实’执行政策控制”的原因,来自Forrester公司的Schadler指出。“大家不要再把管理工作当成IT政策的一部分,而应该将其纳入企业风险管理方案当中。”
越来越多的企业开始意识到这种思维模式转换的重要性,Schadler告诉我们,不只是在移动设备领域,包括自带PC、Mac以及其它用户技术方面也非常需要这种开拓态度。
目前对于设备管理工作来说,双重用途特性所带来的访问及数据安全管理不尽相同,这是由于大多数设备尚不具备PC级别的安全及管理能力。
举例来说,在Windows系统环境中,我们可以轻松实现信息加密、身份验证以及其它多种安全功能,而不必考虑设备的实际拥有者是谁——这种强大的特性使得IT部门得以利用同一套保护机制保障设备在家庭及办公环境下安全可靠。(在Mac设备方面事情就没这么简单了,不过难度仍然不算太高。)然而移动设备的安全性及管理功能区别明显,不同机型间的差异可谓有天壤之别。面对BlackBerry、iOS设备、少数Android设备以及Windows Phone,企业只有制定出多套专有方案并部署到位,才有可能让这么多种移动产品通通具备PC级别的安全及数据管理功能。值得一提的是,Windows Phone 7、谷歌Android 2.x系列以及诺基亚塞班系统几乎没有任何管理方案可用。虽然很多第三方厂商已经在尝试填补这一空白,不过总体来看要让移动设备具备PC级别的数据及访问控制强度还不太现实。
“大家需要在由IT部门掌控的管理工具(例如很多企业现有的台式机管理机制)与以员工为主导的管理方案(也就是指由员工负责自有设备的管理工作)之间找到平衡点,”Schadler指出。“而如何具体定义这一平衡点,就要视大家所处的行业以及企业文化而定了。”
令人意外:我们也许永远无法按照自己的预期对移动设备进行控制
接下来我们继续深入,讨论移动设备双重用途所引发的法律问题。
目前法律条文中有关员工对其个人设备及账户的管理权及使用范畴虽然已经明确,但这仍然无法满足当下混合型设备分配方案及云服务的最新要求,Peter Vigel指出,他供职于Gardere Wynne Sewell律师事务所,专门处理与互联网、计算机及电子取证有关的调查工作。在他看来,人们对于企业对业务设备的控制权限及范畴存在着诸多误区。
尽管大多数法庭判决结果模糊不清、执法人员也缺乏足够的先例可供借鉴,但目前他们已经为家用PC机及其它个人技术在所有权方面引发的争端创造出一系列解决方案,并希望以此为基础指导未来的正式法律条文及企业设备管理策略。
举例来说,业务邮件的所有权应当归企业所有,企业方对其拥有充分的访问权,这一点不受员工的任何具体情况所影响。另外,企业有权针对业务邮件的传输方式制定管理政策。
“不过随着员工大规模使用网页邮件系统(例如Gmail、AOL以及Hotmail等)处理业务工作,邮件的管理方案也开始变得越来越复杂。许多地方法庭都认定员工在使用网页邮件系统收发敏感业务信息时,会给企业安全及商业数据造成潜在危害,”Vogel告诉我们。而引发这种状况的原因往往在于员工在业务环境中使用私有设备。
跨国诉讼也渐呈上升之势,Vogel指出,“美国本地的邮件系统一般会将管理权限赋予企业管理者,而欧洲、加拿大以及日本等国的邮件隐私权则完全归属于员工本身。不仅如此,欧洲的个人数据隐私法律名为《1995年数据法令》,其中对欧洲公民有权访问包含任何保存着个人数据的计算机设备,并对数据进行修改。美国则完全没放开过这种权利,因此美欧之间的信息交互由于受到两地法律的差异影响而变得复杂无比。”
在2008年的一次案件中,联邦法庭曾裁定警察局付费账单中的文本信息归警员所有,而服务运营商只负责信息的保管工作。在该案件中,警察局方面希望调查账单明细,并准确计算财政预算中有多少支出被用在了警员的个人开销上。而在2010年,美国最高法庭则撤销了上述裁定,认定警察局拥有对服务账单的完全处置权。
相信很多管理者都打算借助雇佣协议中的条款支持自己的主张,Vogel表示。“一般来说,员工从入职之时起就会受到雇佣协议的严格约束,”他解释道。“因此如果雇佣协议规定员工提供PDA或者智能手机、企业方则按月为之发放补贴。在这种情况下,企业当然得根据协议条款调查支出账单,以确定员工的开销中不包含个人用途。”
不过“泛泛的企业政策还不足以彻底解决问题,员工必须确认并同意所有细节要求才行,”Vogel提醒道。“企业始终面临着令行却不能禁止的风险,因为法庭常常会认为即使管理政策已经公布到位,却仍然未必被完全执行或者是只有部分执行。所以在缺乏严格执行的情况下,企业根本不能指望法庭取信于管理政策,或者以此为基础来认定电子邮件以及文本信息的归属权。”
另一个问题:在法律纠纷中,设备里保存的哪些信息能够作为取证对象?
“在美国,每个州在立法时都在努力解决这一问题,”Telwares公司的Vellinger解释道。“就以宾夕法尼亚州为例,一旦重要信息流入公共网络,执法人员就有权对其进行取证。”换言之,一切能够从互联网上查询到的设备及PC使用情况都属于合法的取证范畴。
个人设备使用中的实际问题
但在法律法规之外,我们还得考虑实际情况:如果某位员工利用个人设备处理企业业务,那么他在离职之后客户或者企业合作伙伴可能仍然只知道如何与本人 联系,却不清楚继任者的联络方式。在这种情况下,企业可能需要将智能手机中的业务应用及电话号码移交给新的继任员工,Voellinger同时提醒我们, 这是每位管理者都必然会遇到的问题,而且跟移动设备甚至技术本身并没什么关系。
另外,尽管BlackBerry、iPad、iPhone、Windows Phone以及某些Android设备能够支持远程数据清除功能,但这仍然不足以完全消除由员工离职所带来的企业业务信息泄露风险,Voellinger 表示。要解决这个难题,管理者最好制定完备的规范,要求员工只使用特定设备来处理业务工作,这样无论最终设备的实际持有者如何更迭,企业都有能力对潜在风 险进行严格掌控。
某些员工在下班回家之后就会对业务专用手机上的来电反应迟钝,大家可以认为这是种惰性、当然也可以看成是种自我保护,Voellinger指出。原 因在于:员工会把来电严格划分成上班时间和个人时间两类,而且下班之后继续处理业务工作实在是难熬至极,所以懒于接听也在所难免。而且从另一个角度看,如 果手机代表着业务及日常工作,那么在轻松愉快的居家时段,员工会不自觉地对来电听而不闻。
Forrester研究公司的Schadler也持类似观点,他建议大家想尽一切办法弥补企业政策中的漏洞:“大多数支持iPhone设备的企业都 要求员工签署同意书,允许管理者在必要时进行远程数据消除或者对业务应用加以改动。我们还强烈建议大家要把禁止越狱等破解行为、强制密码保护以及摄像头与 GPS不得滥用等条款纳入移动设备管理方案之中。”
最后,我们再说回之前的难题——智能手机与平板设备的所有权该归谁?有些归于员工、有些归于企业、有些则兼归于二者。这三种所有权方案都有适合的情 况,甚至在同一家企业中三者也可以并行不悖。还是那句说了无数次的老话,没有最好的方案、只有最适合的模式。如果有人兴冲冲地跑过来,宣称“我们一直是这 么做的,”那大伙直接赏他大嘴巴就对了。