自移动设备盛行、IT消费化趋势以来,BYOD(Bring Your Own Device,员工在工作中使用自带设备)的趋势已经逐渐渗透到我们的生活之中。BYOD能够使员工随时随地办公,并且更符合人们的使用习惯,而且也为企业节省了固定资产的投入。但是,就目前来看,BYOD能够为企业节约成本的结论并不让人信服。相反,却带来了全新的安全和管理挑战。
挑战一:不够用的应用程序——支招:企业内部自建应用商店
诸如智能手机、平板电脑等移动设备的应用程序并不一定适用于企业的业务(目前,苹果和安卓应用商店中的应用程序大多数是偏于生活、娱乐的用途,适用于企业业务的应用很少),尤其是这些应用程序的可用性和安全性也令人担忧。然而在国外,已经有一些企业正在考虑建立内部的“应用商店”(里面只提供获得支持和定制化的企业移动应用程序),同时,他们也在试图弄清楚是否以及如何让员工把他们自有的智能手机和平板电脑用在工作中。 总部位于美国犹他州的医疗设备制造商Merit Medical Systems销售和市场技术部主管Lincoln Cannon就明确表示:“我们确定了需求,正在计划建立定制的移动应用程序。”公司允许员工使用iPad(包括他们自己的)为企业客户展示信息,并允许访问如谷歌Docs这样基于云的服务(产品相关的文件和视频通常都放在这上面)。然而苹果应用商店只有很少的应用程序能够起到作用,因此,企业决定按自己的需要设计一些应用程序,使iPad与Salesforce的系统能够同步。
Merit Mobile便是Merit公司的技术团队为Saleforce与iOS 4.0专门定制的第一款办公应用程序。据Cannon介绍,这款程序能够打开应用,并检查其中更新的内容,通常被用于晚上下载新内容,并把这些最新的内容以小册子、视频等形式在早晨推送到读者面前。
这仅仅是定制化应用程序的一个开端。目前为苹果设计应用程序需要软件开发许可证并获得认证才能进驻苹果商店,但未来如果使用HTML5编码,就不需要苹果认证。
实际上,筹划或正在建立自定义应用程序的公司不止Merit Medical一家。根据赛门铁克2012年的移动性调查(访问对象为43个国家的私营和公共部门的6275个技术管理者)显示,71%受访者的企业目前正在实施企业移动应用商店,11%已经为业务应用成立了一个内部的应用程序商店。
自建能实现临床和商业用途的自定义应用程序的必要性是显而易见的,问题是如何启动这种软件开发流程,同时为内部和外部的软件开发者提供高层次的安全保障。美国医疗组织机构Kaiser Permanente目前正在与移动软件供应商进行谈判,要求他们明确将使用什么样的过程来识别和追踪软件业务的缺陷。这种做法超出了iTunes和Android商店的通常流程,旨在严格定义内部应用程序商店的严格编码实践。这将为BYOD提供巨大的动力,并且机构安全负责人也表示,有一天它也可能成为Kaiser Permanente的IT战略的一个组成部分。
挑战二:设备管理难,安全风险高——支招:为移动化量身打造安全管理策略
另外,原来越多的企业资料在知情或者不知情的情况下被存储在这些设备上,但IT人员却无法管理这些设备,而且这些设备的安全水平层次不齐,并未受到充分的保护,这些问题会进一步增加信息泄漏的风险。
趋势科技近期发布的2012年网络安全威胁预测中认为,2012年所发生的信息安全事故及信息泄漏事件,将会迫使企业正视个人自带设备(BYOD)为信息安全维护带来的新挑战。
事实上,对于医疗行业和金融行业的组织而言,找到合适的移动战略的确很有压力。目前大多数组织的IT部门依旧严格按照传统的策略严格控制员工携带自有的移动设备。但是目前已有一些临床医生正被推动着使用iPad和iPhone更为方便和有效率地开展工作,安全团队必须据此制定相应的安全策略:包括制定能够在企业中使用的移动设备的标准。
MDM(Mobile Device Manage,移动设备管理)软件虽然是应移动设备管理需求而生,但有专家对它能实现的安全性和管理功能表示质疑。普华永道的IT安全风险实践的委托人Joe Nocera质疑MDM软件如何能够满足严格的安全要求。谈及目前的MDM包,Nocera表示,“其功能非常有限,他们能做的不过是很好地保证邮件的安全。”
在美国,诸如医疗保健和金融等行业有相应的管理规定,因此未来也将对这些BYOD移动设备及其所使用的应用程序进行审计。不幸的是,在很多情况下,企业通常会在已经实施BYOD之后才思考这些问题。
处理移动化、IT消费化趋势对安全和管理的挑战,实际上,主要的目标就是保护设备上的数据安全,并找到一种方法通过风险评估使数据能够有效发挥作用。
至于目前BYOD的情况,一项美国的调查显示,约有27%的人表示他们将只允许“完全受到管理和保护的设备使用企业服务;而24%的受访者表示,“我们正在从‘以设备为中心’的战略转向‘以用户为中心’的战略,并且认为设备的完全安全是无法保证的。因此,我们更专注于保护敏感交易的安全。”另外20%的人声称采用“混合方法”,即越安全的设备能够获得越多的访问权限,而受安全/管理较少的设备获得较少的访问权限。
BYOD在节约设备成本和提高效率的同时,也增加了管理成本和安全风险,其带来的问题让我们重新思考原有的管理策略的适用性。尽管这让IT管理人员倍感抓狂,但移动化、IT消费化、BYOD是我们无法拒绝的发展趋势。企业需要适应最新的环境并及时做出调整。同时,我们也应该看到IT消费化趋势的众多积极意义。
