想象一下这样一家机构,其员工们每年可以享受好几个月的假期。这听起来似乎只是个梦想,但是在BYOD时代却并非不可能。虽然BYOD也可能成为IT管理者们最糟糕的梦魇。
Erik Greenwood是美国加州阿纳海姆联合高中学区(AUHSD)的CTO,该学区包括21所加州中学和33000名网络接入用户,而暑期的结束往往就意味着恶意软件季节的开始。
Erik Greenwood:暑期的结束往往就意味着恶意软件季节的开始
Greenwood说,教职员工们在暑期里一般都会悠闲地浏览各种网页,轻松地点击各种链接,打开邮件的附件,但却很少会及时升级安全防护软件。于是,当教职员工们携带自己的各种设备返回学校时,他们通常也会随身将大量病毒带了回来。
一个病毒变种就有可能迫使学区的邮件套件不得不重装和升级。另一个方面,该学区的IT部门还不得不“隔离并关闭子网,以阻断病毒的入侵,”Greenwood称。
上述每个例子都意味着相关部门不得不付出“数百小时的额外工作时间”来应对病毒,他说。“我们因此失去了原本可用来开发其他项目的机会。”
于是,Greenwood把目光转向了网络接入控制。“我们曾经遇到过一个特殊的病毒变种,防病毒软件在应对病毒爆发时遇到了真正的挑战,”Greenwood称。“于是,我们明白了必须把网络接入控制视为基础设施的一个必要部分,不仅对员工的设备来说是如此,对于学生们自带的设备来说亦如此。”
况且,安全还并不是Greenwood唯一的担忧之处。他回忆说,有好多次,一些无赖设备搞垮了学区的网络。有一所中学为自己学校的各种自带设备大量分配IP地址。而在另一个例子中,一台无赖设备开始充当DHCP服务器,与学区自己的DHCP服务器竞争资源,自己分发IP地址。
于是,该学区部署了Bradford网络公司的网络接入控制解决方案,并为自身独特的情况做了定制。该学区网络如今能看到自己的超过12000台设备的流量,既有PC也有打印机,还需要适应来自外部的,数量和种类都变化不定的设备所产生的流量。
Greenwood称,这一项目首先从应用层开始,之后又扩展到了各种通信应用。主要涉及设定各项政策,限定谁可以使用什么设备接入网络,可以浏览什么类型的内容,等等。Greenwood说,在各种新的应用和内容交付格式层出不穷的移动市场上,他倾向于使用较为严格的监管,然后视用户需求的变化再加以调整。
设备丢失的风险
Greenwood并不是唯一一个遇到过BYOD问题的人。非盈利组织人力开发资源(RHD)的CTO Endre Walls说,他的一些员工丢失了个人的智能手机,而这些手机又都悄悄地与员工们各自的企业账户做过同步,因此引发了重大的数据泄露风险。
“丢失的设备对我们来说就是安全风险,如果员工的邮箱是在我们实施了MDM和监管政策之前就有的,那就等于我们对外敞开了大门,”Walls说。“对我们来说这一直是个大问题。很多时候,用户需要搞清楚一件事,那就是,‘我丢了设备,这对组织来说就是一个潜在的风险。’”
然而很少有员工会在丢失了个人的智能手机之后会通知IT部门,即便丢失的设备早已和企业的应用同步了,他们也不会通知IT部门。而要让这些员工在自己的个人设备上实现身份认证措施也机会渺茫,“因为没有哪条政策会说‘你必须在你的手机上装一个PIN,’”Walss说。
“在软件和相关政策尚未到位之前,企业应该向员工谈及任何可能发生的风险,”Walls说。
最佳BYOD部署
不要只考虑成本。BYOD通常并不会节省成本,但却可以让员工提高生产力。
沟通。IT部门要想制定出用户一目了然的政策,唯一的办法就是走出去和各部门沟通。
政策要无形。如果一项政策干扰了用户的数据或体验,用户就有可能抗拒不遵。
从小处开始。一开始就严格限制是比较容易的,然后再根据需要授予用户适当的自由。
尊重员工隐私。要选择监控、数据访问以及合理的工时。
RHD如今已能够从员工的个人设备上擦除企业的数据和应用,且能够在员工申请这些数据时提供完整的数据。同样重要的是,IT部门要让全体员工都意识到,任何已经和企业应用做过同步的设备——无论该设备属于谁——都必须是安全的,方能保障在丢失之后不会招致泄露风险。
然而,泄露敏感数据并不仅仅是员工们丢失设备时才会发生。MDM厂商MobileIron的副总裁Ojas Rege认为,很多消费者设备已经对在云中打开、浏览和存储文档做过优化。而这就有可能引发消费者未曾想到过的风险。
“iPad上的头号数据泄露源头就是邮件的附件,”Rege称。“用户在iOS上点开邮件的附件时,会弹出一个菜单,可以让你在iPad上所有的阅读器中打开文档。如果你在Dropbox中打开,那么你的企业数据就泄露出去了。”
显然,这些问题足以让企业的IT部门忙不迭地去部署移动设备管理、网络接入控制或者移动数据保护等软件。但是部署这些软件肯定要涉及到构建BYOD战略的问题,没有这样一个完整的战略,同样会引发风险。
司法问题
MobileIron客户咨询业务经理Marie Cullen认为,司法方面的担忧也会成为每一个想要考虑启动新的BYOD计划的企业的首要问题。Cullen就是在MobileIron的客户开始规划和启动其移动战略时,直接与他们打交道的人。
“我们看到,客户们常犯的最大错误之一就是在部署移动计划之前,没有预先考虑到各相关利益方,”Cullen说:“在制定其移动计划时,他们必须跨出IT部门,考虑到法律、人力资源、财务及合规性等多方面的因素。”
在一个案例中,Cullen看到IT部门花时间、费大劲制定了一个战略,但是就在准备要部署之前,该战略却被法律部门枪毙掉了。
“因为这个战略让企业承担了太多的责任,所以IT部门不得不重新回到起点,重新制定战略,而且要与法律部门合作,”她说。
虽说遭到法律团队干预令人沮丧,但是对IT部门来说,这也是幸运的。2012年,《今日美国》曾有过一篇报道称,大量的诉讼案件都在指控美国企业违 背了工资与工时法案,因为从2008年到2012年,工时增加了32%。不少员工突然之间被要求即便在家里也得用自己的智能手机访问工作信息和企业应用, 员工之所以提起诉讼就是因为企业给他们增加了额外的工时而他们却从未获得过相应的补偿。去年就有过这样一个案子,涉及医药企业的销售代表,该案最后打到了 美国最高法院。
隐私问题是另一个需要考虑的因素。任何带GPS监控的应用,尤其当其被用来跟踪员工时,从法律角度看就会成为一个危险的问题。Rege认为,即便企业很尊重员工的隐私,也必须事先让员工明白企业在做什么。
“用户们会担忧说,IT部门会不会看我的照片,会不会看我的短信?”Rege说。“这些事情从技术上说并非不可能。但这又绝非技术问题,而是技术和法律的关系问题。”
另一个更值得关注的技术问题就是用人单位远程擦除员工设备上数据的能力。对于员工丢失设备的常见解决办法就是采用一个远程擦除工具,以便企业可以在 员工的设备丢失之时可以删掉其上的所有数据。这个办法在企业拥有黑莓手机所有权的时代是没什么问题的,但是在越来越多的员工们都使用自己的手机时,却会引 起一些现实的问题。
去年就发生过这样一个事件。Mimecast公司的CEO Peter Bauer带着全家休假,他五岁的女儿拿着他的iPhone手机在一边玩耍,这部手机里有他的工作信息,也有他在旅途中拍摄的照片。在他女儿不小心连续5 次输入了错误的PIN码后,Bauer自己安装的MDM程序就自动启动,擦除了iPhone上的所有数据和照片。
虽然不少企业的IT部门只选择部分擦除,也就是说只擦除和企业相关的数据,但是Bauer说他的公司还是决定选择全部擦除,因为员工们常常会采用拍照方式来保存写在白板上或投影在屏幕上的演示文档信息。如果只采用部分擦除还是有可能导致敏感信息泄露。
Bauer的事例是很特殊的,但也说明了在制定BYOD战略时,各部门之间沟通的重要性。所有的企业都是不尽相同的,因此就需要根据自身的情况去解 决移动性问题。尤其在对待员工的个人财产时,沟通和反馈对于战略的成功是非常必要的。在面对BYOD大潮时,IT部门不能因为担心自己在机构中的作用会发 生变化而采取不合作态度,Rege说。
“要让他们突然间说‘我得给用户更多的自由,我得关注教育和沟通,’这对于所有的IT部门来说都不是一个自然的过程,”他说。“我们看到一些IT部门很纠结,因为他们不知道事情会发展到什么地步。而他们是在一个什么都很明确的世界里成长的。”
的确,Walls说,BYOD战略对于他的IT部门来说是个机遇,因为他的部门有了以前从未有过的跨整个企业工作的机会。现在,企业各部门与IT部门之间的相互关系在前BYOD时代里是不曾存在过的,但对于保障组织里其他部门免遭移动办公所导致的无意之失却是完全必要的。
“这就是说,认识、用户培训、沟通是非常重要的,怎么强调都不过分,”Walls说。“从职业上讲,我也是第一次有机会去实施这样一个重要的战略,它会比我之前在任何其他环境中所规划的战略能够产生更高效的结果。”