一般而言,BYOD(自带设备)可以定义为允许人们偶尔、主要或完全使用自己的个人设备来办公的任何战略。许多企业允许员工根据需要使用额外的设备,包括智能电话、平板电脑、笔记本电脑、家用PC等,来协同企业配发的设备,实现最高的灵活性、移动性和生产率,同时使IT部门能够以简单、安全、有条不紊的方式顺应IT消费化趋势。
BYOD渐成主流 需进行有效控制
目前,每位知识工作者平均使用5.18种设备连接到企业网络,所有工作者的平均数量为4.43种,预计到2020年将增加到近6种。不过在很多企业中,BYOD还是尚未纳入明文规定的非正式做法,因此给企业带来安全、合规、IT复杂性提高等多方面的风险。来自产业情报研究所(MIC)的调查结果显示,超过60%的国内大型企业因BYOD所带来的安全问题,而计划增加安全方面的投入。
在思杰(Citrix)看来,随着IT消费化趋势的持续加速,企业需要制定更为完整的BYOD战略,从策略到技术进行全方位考虑。成功制定BYOD战略的指导原则可简单概括如下:人们应能全面自由地选择任何类型的设备进行办公,包括个人生活中使用的设备,并可随时自如地切换使用不同设备。IT部门应能够随时随地通过任何连接地址将文件、应用和桌面按需交付到任何设备上,同时通过单一管理点确保一致而高效的安全性、策略实施、合规性和控制。
本文将着重介绍策略制定的最佳实践,随后再独立成文专门介绍BYOD的技术实现。
BYOD策略制定 全盘考虑七大因素
成功的BYOD策略应集多种优势于一身,对员工来说应该操作简便、易于实施;对IT部门来说,要能提供有效的安全和管控,并能为每一种现实需要的应用场景制定具体策略,相应问题可以通过几个简单而一致的原则轻松解决。
大多数情况下,IT部门可以考虑如何管理并提供对应用、数据和文件的安全接入,对员工个人设备进行基于角色的管理和配置,避免安全威胁、数据丢失和不合规使用的情况,确保企业安全。当然,不同企业的BYOD策略可能截然不同,具体取决于企业的业务优先级和所担忧的事项;具体策略应与人力资源、财务、法律和IT安全部门进行协商后制定。
1、参加资格
企业应该明确规定允许公司内哪些员工可以使用自己的个人设备,无论是临时使用还是永久性地代替企业设备,或是介于这二者之间。这可以看作是人们可能希望获得的特权、对员工需求的响应、对特定职位上人员的要求,或是为避免某些场景下的过大风险而采取的措施。思杰公司首席信息官Paul Martine表示:"在我们开放办公理念的指导下,思杰允许任何人携带任何类型的设备来办公,而没有任何限制。
如何决定哪些员工将参加此类计划?可以根据工作者类型、出差频率、性能或员工是否需要离线接入敏感数据等标准进行判定。思杰公司高级IT总监Shawn Genoway表示:"在思杰,适合使用笔记本电脑的任何员工都可以参加该计划并可获得补贴来取代企业配发的设备,只要他们的主管批准。"然而,参加资格应在通盘考虑的基础上确定,始终应由上层主管决定允许哪些团队成员参加计划,企业还可以建议主管在其它部门奖励、授权和管理计划中实行BYOD。
通常外聘人员更适用于BYOD计划。许多企业已开始希望外聘人员自带设备办公,而且对他们提出这一要求有助于实现独立的外聘人员合规性。
2、允许使用的设备
传统IT体系架构中应用需要直接安装到终端设备上,IT部门必须从操作系统、应用支持、性能和其它特定的标准方面制定并实施最低要求。在桌面虚拟化模式下,将允许在任何类型的设备上运行完整的Windows桌面和应用,从而避免这些不必要的问题。借助企业移动管理,IT部门可以注册并管理任何设备、检测越狱设备,并对不合规设备、丢失设备、被盗设备或离职员工的设备进行全面或选择性擦除操作。思杰公司目前已有超过2000台个人笔记本电脑和近2000台个人平板电脑,此外还有超过4000部个人智能手机,包括iOS和Android手机。这些设备被广泛用于各种任务,包括通过Citrix Receiver接入电子邮件和其它所有应用。
企业应要求参与BYOD计划的员工通过正常购买渠道购买个人设备,而不是通过公司采购部,这有助于明确地界定设备所有权,并确保参与计划的员工可以和供应商直接建立服务关系。如果公司与供应商有合作关系也可以让员工享受到折扣优惠。还有些人需要在办公室使用显示器、键盘等外围设备作为补充,这时一定要明确地规定每个设备由谁购买,归谁所有。
3、服务可用性
BYOD不一定走要么全有要么全无的极端路线。您应该考虑希望向个人设备提供的具体服务,以及这是否会因具体工作组、用户类型、设备类型及使用的网络而不同。对于希望将应用直接安装在计算机上供个人使用的企业,可以考虑通过Microsoft Software Assurance服务,为员工提供面向Mac和PC的Office Professional的折扣优惠。这样,许可合规性完全由员工个人负责,企业可避免任何违规风险或责任。
4、发布
BYOD计划制定完毕后,有效的宣传是成功实施的关键。企业应向员工发放指南,帮助他们决定是否参加,以及如何选择适当的设备来满足自身需求。他们还应了解自带设备相关的责任,包括如何接入、使用和保存数据等。工作和业务数据应在个人设备中严格地隔离开来,以满足电子发现(e-discovery)要求和数据保留政策要求;同样,工作邮件也不应通过个人账户发送。
5、成本分担
BYOD的主要优势之一是可节约成本,它允许员工支付各种办公设备的部分或全部成本,使IT不必再为整个所有员工采购并支持越来越多的硬件设备。最近进行的一项调查显示,已经在实施或计划实施BYOD的大多数企业都表示将为使用个人设备办公的员工提供部分甚至全部补贴。通过提供补贴,企业也可以对设备进行一定的管控,61%的受访者表示这是他们提供补贴的主要原因。
"思杰公司的BYOD计划允许员工使用个人设备取代企业配发的设备,旨在节约18-20%的成本,"Martine说道:"在计算补贴额度时,这一数额要从原先企业购买标准企业设备的总成本中扣减掉,包括操作系统和3年的维护及保修,再加上估算的代扣税。"参加计划的员工还应知道,补贴将作为个人收入进行扣税。在税率较高的地区,可能需要增加补贴额度,使得所有计划参与者获得的补贴数额一致。不管有无成本分担,任何BYOD政策都应明确规定由谁负担企业防火墙之外的网络接入费用,包括3G网络、公共Wi-Fi、家庭宽带等。
如果您选择提供补贴,应考虑到计划参与的整个生命周期,如规定硬件更新周期为3年,以确保个人设备的使用年限不会超过企业设备的一般使用年限。如果员工在BYOD有效期内离开公司,您可能会希望收回补贴的一部分。思杰公司的做法是,如果在参加BYOD计划后的一年内离开公司或退出计划,员工应退还一定比例的补贴。
成本分担对企业实施BYOD计划有很大影响。一次性同时实施可能会增加成本,因为会有大量员工在终端设备更新周期满时同时提交补贴申领请求,可考虑在设备生命周期结束时再发放补贴。而不提供补贴的企业可以从一开始就鼓励大量员工同时参与。
6、安全性和合规性
不少CIO担心,IT的进一步消费化会大大增加业务风险,这一担心不无道理,许多思杰客户在寻求BYOD实施指南时也经常提出这一问题。
将应用直接安装到非企业设备上会增加风险,基于企业移动管理、Windows应用和桌面虚拟化以及安全文件共享的BYOD计划可有效管理并降低风险。所有业务信息都安全地保存在数据中心,只有在绝对必要的情况下才保存到终端设备中。确实需要在终端设备中保存数据时,数据可以通过隔离、加密和远程擦除机制受到有效保护。为防止数据泄露,IT部门可以实施策略来禁止打印,或接入本地硬件、USB存储设备等客户端存储设备。参与计划的员工还应确保在自己的终端设备中正确安装并及时更新防病毒/防恶意软件程序。在思杰,会免费为参加BYOD计划的员工提供防病毒保护服务。
利用基于设备所有权、状态或地点的策略,就可以控制、保护并管理通过移动设备进行的应用和数据接入。IT部门可以注册并管理任何设备、检测越狱设备,并对不合规设备、丢失设备、被盗设备或离职员工的设备进行全面或选择性擦除操作。通过应用隧道进行的安全应用接入、黑名单、白名单和环境感知的动态策略可确保应用的安全。
为保护企业网络,有些企业使用网络接入控制(NAC)技术来对连接到网络的用户进行身份验证,并检查他们的设备是否安装了最新的防病毒软件和安全补丁。思杰公司自身采用了一种完全不同的方法,允许参加BYOD计划的员工使用思杰网络,通过Citrix NetScaler Gateway按需访问数据、应用、桌面和网页,然后进行双因子身份验证,但不允许员工将个人设备直接连接到网络。Genoway说道:"这样就只需对员工的个人设备进行最基本的限制,充分反映了思杰的开放计算文化。"也可使用NetScaler Gateway,允许员工通过细粒度、基于策略的浏览器接入应用和数据。单点登录和强有力的密码可同时确保便利性和安全性。
在防火墙之外,虚拟化和加密可以减少Wi-Fi、WEP加密、开放无线网络、3G/4G和其它消费类接入方法的安全漏洞。网络安全功能可提供对内部和外部移动安全威胁的可视性并防止这种威胁;拒绝非法设备、未授权用户和不合规接入应用;实现与安全信息和事件管理(SIEM)系统的集成。
在BYOD参与者离开公司、违反BYOD策略、个人设备丢失或被盗的情况下,IT部门应能够通过适当的机制立即终止数据和应用接入,包括自动注销工作相关的SaaS账户和选择性地擦除丢失设备中的数据等。
还有些企业选择有限制的方法,而不是开放的无限制BYOD方法–允许人们使用任何设备来接入企业应用和数据。在这种情况下,IT部门可以直接管理个人设备,包括注册、验证、授权和设备资源接入等。
7、设备支持和维护
因为用户也是设备的所有者,所以BYOD计划通常可以减少每台设备所需的维护工作量。Genoway说道:"与任何租车人的观点一样,人们爱护自己的设备总是胜过爱护别人的设备。IT部门发现,在个人设备键盘上洒满沙拉酱的情况要少得多。"
尽管如此,BYOD政策应明确规定,各种支持和维护工作由谁完成,相关费用由谁承担。用个人设备取代企业终端设备时,员工对IT支持的期望可能会更高;但是,企业应对此做出明确规定,避免给IT部门带来更高的复杂性和更繁重的工作负担。
为确保实现思杰BYOD政策所倡导的简便性,公司采用了一种不干预的方法,仅提供与无线连接、防病毒/防恶意软件和个人设备上的Receiver客户端相关的支持。在自己的设备需要维修的情况下,自带电脑办公的思杰员工可申请借用公司设备,但最多只能借用10天。所有其它支持事项均通过公司BYOD Discussion Board解决,其中包含自助服务部分。
有些企业的IT部门会专门成立一个新团队来支持BYOD设备;但在思杰,只需一名工作人员花费10%的时间来处理与BYOD相关的所有问题,包括发表BYOD博客、回答问题及处理计划补贴的费用表提交等。和许多消费类设备只提供单页快速入门指南的做法一样,思杰非常注重让员工毫不费力地将Receiver下载到任何设备上并快速开始运行。