企业BYOD风险管理12条原则

首先,我们得感谢苹果和谷歌所开发的设备和操作系统,使得越来越多的智能手机和平板电脑融入了日常生活中。而对于这些设备的使用者,更多是根据个人使用体验来选择Android或iPhone手机,而不是以办公业务作为主要目的去选择黑莓设备。这些移动设备的用户日常经常使用的应用包括应用商店、上网浏览、游戏以及移动支付等,另外还有一些与工作相关的应用,比如收发企业邮件。

为什么企业经历了这么长时间才正式考虑将移动设备纳入企业管理中呢?一般来说,这是因为企业总希望先将管理策略部署到位,再开始正式对设备进行管理。这也能够解释为IT部门面对MDM(移动设备管理)一开始总是无所适从。不过实际上,MDM解决方案没有那么复杂。

MaaS360总结出了12个移动设备管理(MDM)的最佳实践方案。前8条理念是每个企业都需要贯彻的,后4个理念属于高级方案,可供企业在提高管理水平时采用。

移动设备管理的12条建议

务实的策略

你需要:

1. 支持多种设备平台

2. 允许个人设备

坦白讲,几乎所有的企业都是这样做的,只不过他们还不知道而已。如果企业已经拥有黑莓方案,那这是一个好机会。如果企业哪怕只有一个人在使用 iPhone或iPad来同步电邮(很可能是企业CEO或董事会成员)那么你的企业肯定也有Exchange ActiveSync或Lotus Notes Traveler这样的方案了。

如果你的企业是这种情况,那么企业中肯定有不少人在使用iOS系统,或者安卓和Windows移动设备。毕竟,Exchange 开启Activesync功能后,很多移动设备都可以方便的进行邮件收发。可以搜索一下” Setting up iPhone on Exchange” 看看员工们该如何设置他们的智能手机。

移动设备管理的12条建议

覆盖基本要素:密码,加密和远程擦除

确保完成以下步骤:

· 要求至少4位的强壮密码形式

· 移动设备在5-15分钟内不使用,必须自动锁屏。

· 如果手机被盗或连续输入10次错误密码,手机中的信息会被远程擦除或自动擦除。

· 允许本地加密

有些企业希望加入更多的安全防护机制。但是企业在强制员工通过自己的手机安装各种安全机制之前,可以先反思一下,之前一直在使用的笔记本是否也具备了同样级别的安全机制?

BYOD管理12条原则

确认移动设备的拥有者和他们的行为

如果企业没有对企业环境内的移动设备拥有良好的数据统计,那么就无法判断和量化这些设备所带来的风险程度。比如,离职员工还在使用移动设备进入公司系统的这种情况并不少见,但是如果你不知道这个设备仍在使用中,就无法确保其中的数据安全。

只需要通过一个轻量级的报表和库存清单,企业就可以快速查出哪些设备在被哪些员工使用。确保企业数据安全的方案包含以下几部分:

· 桌面支持人员具有维护设备的权利。

· 除IT人员之外的其它特定人员具有访问设备的权利(比如公司HR在与员工进行离职面谈后,可以关闭员工的移动办公设备。)

· 加入强大的应用软件检索和清单管理功能。

BYOD管理12条原则

像数1,2,3一样简单

企业可能会担心应该建立一个新的方案来实施前面所述的三条建议,其实完全不必。如果你的企业有BlackBerry Enterprise Server,你完全可以在这个基础上进行开发。通过Exchange或Lotus Notes,还可以强制实施PIN码策略以及远程擦除iPhones, iPad, 以及Windows Mobile设备中的数据。 (Android版本2.2之后都支持基于Exchange的安全控制)

前面三个MaaS360总结的基本原则适合利用已有框架对移动设备进行风险管理。但是聪明的读者肯定会说,我们无法阻止员工不断带入新的移动设备进入办公环境,这该怎么办呢。

这其中最大的问题在于报告信息有限以及覆盖面不全,企业需要手动建立报告并解决无法集中化管理全部设备的问题。

但是如果你的企业已经把前面第一步做好了,可以明显改善企业在面对iPhone和安装设备时的麻烦。接下来你的企业就可以计划建立一套更灵活更稳定的安全管理方案了。

BYOD风险管理12条建议

简单可靠的解决方案

不要让IT部门去检查移动设备的每个设置项目,这样工作量太大了。企业可以通过一个内部URL,让移动设备使用者自己检查自己的设备是否已经争取设置好并在公司设备名单中登记注册。企业可以建立一个默认的策略,包含用户的设备,并将企业邮件和企业的WiFi设置部署到设备上。

为了让这个过程更加简单,IT部门也要适当简化策略方案。比如让安卓2.2及以上版本的系统自动接入企业网络,而低于这个版本的系统则被自动屏蔽。

企业BYOD风险管理12原则

让终端用户管理好手机

由于员工需要依赖手机等移动设备完成日常工作,因此企业不会希望由于各种小问题而时常打断员工的工作。另外,企业也不会希望员工经常打电话给IT部门要求技术支持。因此,你可能需要通过企业内网的自服务端口来让最终用户自己解决以下几个问题:

· 登记员工的设备

· 一旦设备丢失,锁定并擦除设备中数据

· 重置终端用户的密码

· 锁定设备的物理位置

企业BYOD风险管理12原则

开始计划集中控制方案

或许,企业中的BlackBerry Enterprise Server已经根深蒂固,操作起来也得心应手。但是这套系统并不支持多平台,因此你的企业环境还需要一个支持各种手机操作系统的管理平台。

企业可以考虑以下四个最新的并且经济实惠的建议:

1. 选择一种既能支持PC和MAC电脑又支持移动设备的MDM平台。这种方案跨越了笔记本、平板电脑以及智能手机等设备。而这种MDM解决方案由于支持设备种类众多,因此可以有效降低企业的架构成本,改善运营效率,并且能够实现集中化的对设备和数据安全的操作和管理任务。

2. 确保你的企业报表和设备清单工具能同时支持企业已有的BlackBerry管理系统以及新加入的跨平台MDM系统。每天你都要依赖于这套报表和设备清单工具,它能帮你避免手工进行繁琐的操作。

3. 考虑一下基于云的MDM服务。当考虑到总体拥有成本时,内部的管理系统总是成本高昂的。

4. 谨慎选择代理方案。如果你的企业能通过服务器端方案满足需求那是最好不过。服务器端控制的方案可以长久的满足企业在硬件、操作系统以及运营商之间的协调问题。而如果选择了基于代理的方案,企业可能会需要花大量时间在所有移动设备上安装和维护应用。

企业BYOD风险管理12原则

讨论你的项目进程

在你的企业IT运营例会中及时报告和讨论移动设备的清单以及策略状态。这可以让有关设备管理的讨论更好的扩散开,从而更好的发现这种方案对于企业的 影响,同时也可能会引出未来企业在面对安全或其它IT项目时的资源需求问题。企业的设备清单工具将帮助企业更好的进行这方面的报告和统计。

通用环境设计

到目前为止,我们讨论的几种建议适合大部分企业的需求。实际上,上述方案可以满足最严格的政策法规的检验,比如 HIPAA(健康保险流通与责任法案), FINRA(美国金融业监管局), 以及PCI DSS(支付卡行业数据安全标准)。这些法规实际上只要求了企业对数据进行加密,并且在设备被盗后能够销毁设备上的企业数据。上面介绍的最基本的建议,就能满足这样的要求。

根据高级范例建立企业自己的管理系统

根据上面给出的基础建议,你的企业应该可以搭建出符合标准的移动IT管理平台。现在你可以考虑是否根据下面的高级建议,让你的企业搭建出一套更加高级的平台。

企业BYOD风险管理12原则

掌控使用成本

为了控制成本,企业必须跟踪、监视以及限制网络使用量。因为员工的每次出差,都可能带来上千美元的境外数据流量费用。就算是在国内使用,费用也可能会暴涨,尤其是考虑到2010年AT&T针对iPhone和iPad推出的费率套餐。

企业BYOD风险管理12原则

自动化合规管理

IT部门需要一种机制来自动检测设备是否合规,并能自动根据检测结果进行相应处理。比如企业的策略可能规定经过越狱或root的手机不能接入公司网 络,一旦检测出这样的手机,系统应该立即撤销该设备访问公司网络的权限。最好的情况下,这种检测和拒绝都是自动进行的。同时,系统还应该自动通知用户为何 被拒绝进入系统,以及用户该如何操作才能重新接入公司网络。当设备经过处理合规后,会自动被重新许可进入企业网络环境。

企业BYOD风险管理12原则

限制安装应用以及拥有自己的应用商店

目前很多智能手机和平板电脑厂商都通过认证形式限制手机安装某些未知应用。有些人认为这么做限制了手机应用的发展。而另一些厂商对于开发手机应用持开放态度,对各种应用也没有正式的授权或认证机制。也就是说,企业需要对手机上的一些应用进行限制,以确保安全。

如果企业希望预防员工安装未知应用带来的安全风险,可以自己在企业内部建立一个应用商店。企业可以在应用商店里列出经过企业认可的手机应用供员工们 下载使用。这也可以让员工有一个可以安全下载应用和升级的渠道。有些MDM方案厂商还会帮助你将PDF文档或其它文件发送到员工手机中。

企业BYOD风险管理12原则

准备一套备份和恢复服务

如果企业员工在使用除了电子邮件之外的企业关键性数据,并且数据是唯一的,建议企业使用一套数据备份和恢复解决方案。使用iPhone或iPad的 用户可以通过iTunes完成数据备份和恢复,只是要注意一下,企业的策略应该设定强制对加密数据进行备份。如果没有iTunes ,企业可以针对员工使用的手机操作系统,选择市场上对应的解决方案。