自带设备办公:平衡企业安全与全球用户隐私权

 

蔡永生, 戴尔大中华区软件事业部高级售前经理

 

尽管员工自带设备办公(BYOD)对企业来说是有好处的——比如说,提高员工工作效率和满意度,并且因为减少了提供以及维护硬件设备终端的支出,从而降低企业成本。但是,由此产生的对企业安全的影响也让IT部门面临着巨大的挑战。当每个人都在办公室办公并使用公司配备的手机和计算机时,IT部门能够更好进行网络安全控制。现在,从各种平台接入企业网络的笔记本电脑、智能手机、平板电脑以及其它设备都成了恶意软件侵入的渠道,以及企业数据外泄的路径——所有这一切,IT部门可能毫不知情。

Gartner最近发布的报告显示,到2017年,半数雇主将要求员工使用自己的个人设备办公,而38%的企业则有望在2016年之前停止为员工提供办公设备。自带设备上班的经济效益压倒了安全问题,但是,在当今的全球化业务时代,关键是要部署一个不仅能保护企业数据,还能遵守区域性法规从而尊重员工隐私权的自带设备办公(BYOD)政策。加密、PIN码强制执行、在设备上安装防恶意软件和病毒的保护措施,以及移动设备管理(MDM)工具——这些都有可能侵犯用户隐私权。在大多数国家,如果未经员工同意,企业不能合法执行上述任何一项措施。

了解在工作和生活中使用同一台电话的缺点

在制定一个企业强制执行安全措施的自带设备办公(BYOD)政策时,你必须要明确告知员工公司政策对其应履行责任的要求。员工不仅必须签署协议同意保护公司数据,他们还必须了解他们所签协议的内容,并确认他们完全了解这项政策的含义。

换言之,通过签署自带设备办公(BYOD)协议,员工要放弃一些对其个人设备的控制权,并有可能损失一些个人隐私。他们必须了解,通过访问其个人设备,IT部门可以锁定、禁用或从其设备擦除数据(或删除手机上的所有数据),查看浏览记录、聊天通讯记录、照片、视频及其它媒体。除了知道IT部门的权限,用户还必须确切了解如果设备丢失、被盗,或者如果自己离职,将会发生什么。

跨国公司自带设备办公“一刀切”政策

跨国公司发现,在全公司采用统一的、“一刀切”的自带设备办公(BYOD)政策尤其困难,因为每个国家的隐私法律法规都各不相同,美国各个州的相关法规也不尽相同。Ovum发布的一项名为“国际数据隐私立法研究:自带设备办公(BYOD)政策指南”的报告探讨了数据隐私法在七个国家(分别为美国、英国、德国、中国、澳大利亚、法国和西班牙)的差异,但是对于以上所有国家而言,主要有两点是一致的:

1.   企业必须采取充足的措施来确保客户或患者信息,以及他们所拥有的任何个人数据的安全性。

2.   员工必须同意其个人数据能被访问和处理。

企业一直想方设法向终端用户呈现一个可以同时从法律和技术上保护用户隐私和企业安全的“协议”。由于许多用户都在远程办公,因此法律协议的文书或验证成本非常高。所幸现在可以通过向终端客户提供一个动态远程访问使用协议来帮助企业授权或拒绝访问。从一个完全远程的位置来访问网络,企业能够通过VPN连接来提供针对特定区域的协议——可以针对特定区域,并且按需更新。

真正能够解决这个问题的方法不仅仅靠法律,还必须靠技术。企业采用“自带设备办公”政策时,必须从技术上确保登录到个人设备时数据能够得到保护。最重要的是,企业必须在保持较高成本效益的前提下确保数据得到保护。幸运的是,安全移动接入解决方案现在可支持一项名为per-app VPN的功能以及端点控制。这些技术让已申请VPN的连接不仅能够允许数据从定义网络流向移动设备上的特定应用程序,而且能够强制移动设备上必须存在或者必须不存在某些特定应用。

底线就是公司不仅需要在没有高昂代价的互动或延迟的情况下获得自身与用户之间所有法律协议,还需要同时确保数据只在目标应用登陆——无论它们是通用应用还是客户应用,或者是移动设备管理(MDM)解决方案。如果无需获取特别的应用程序包就能完成这些任务,那么应用的挑战将大大简化。

确保企业数据安全,并防止违规行为

由于自带设备办公(BYOD)政策并没有一个放诸四海皆准的模板,所以具备能够以不同的方式对待每个用户的能力显得尤为重要。如果你的企业能够定制从不同地区不同用户那里获取授权同意的方法,你将知道谁接受了哪些条款。如果这是工作流程中自动处理的部分,它还将通过确保审查跟踪来保护企业。

遵守地区隐私法是每个在全球开展业务的企业都应严肃对待的事宜。尽管我们的第一要务是要保护企业数据中心里的数据,当然还有那些正在使用和存储在设备中的数据——以及保护你的网络防御那些通过移动接入发起攻击的恶意软件——但是也不要忽视由于未获得终端用户许可便私自监控其个人设备而带来的财务风险——如不这么做,面临的处罚成本可能相当之高,并会对业务产生极大负面影响。