智能手機在2000年代末獲得發展動力時,大部分組織尚不清楚BYOD的構成,也不知道它對數據治理和安全會產生什么影響。然而在過去3年,許多IT不得不放棄。如果缺乏普遍性,不能令人驚嘆,今天的技術將一無是處,而到2015年可連接無線設備的數量將會翻3番。因此,許多組織已經放棄有關員工上班時哪些設備可以帶哪些設備不可以帶的規定。
如果應對得當的話,BYOD計劃可以為公司帶來好處。時間是很緊迫的,BYOD節省出來的時間有可能是非常巨大的。首先,IT不再需要提供手機了。不過跟其他趨勢一樣,這種好處必須與實實在在的壞處放到一起權衡。BYOD會帶來獨一無二的數據安全威脅,同樣也會給IT員工帶來負擔。
不論好壞,BYOD已經成為現實。這也不僅僅是發生在私營企業當中的趨勢。政府機構顯然有許多數據治理和安全方面的問題要對付,但這并沒有阻止他們攙和進BYOD之爭。
在面臨這些數據治理與安全擔憂時,CTO能做是什么?他們可以引領潮流、可以跟隨腳步,也可以避而遠之。在實施BYOD政策的同時,維護數據隱私和安全并不簡單,在企業范圍內有效部署移動化方面還有許多需要考慮的事情。
了解業務環境
歐洲政府長期以來一直在推動重視數據隱私的重要性—甚至比美國企業還要重視的多。歐盟的《數據保護指令(DPD)》溯源起來要回到1980年代,代表了執行數據隱私和安全標準的早期努力。未來幾年之內,DPD將讓位于一般數據保護規程(General Data Protection Regulation,GDPR)。在歐洲開展運營的企業在制定一定戰略時必須考慮這些規程,以確保監控個人設備活動時沒有侵犯隱私。
與歐盟相比,迄今為止,美國政府尚未通過一項統一的數據保護法律—而且這件事情看起來似乎也不會很快發生。相反,美國采取了更具行業針對性的辦法來進行數據保護立法,每個行業必須制定并執行自己的規程。
在實施BYOD計劃時,這些規程必須是首要的,但因為美國不同行業規程的差異,在合規性方面無法做到一體適用。比方說,在將近20年的時間里,健康保健組織都得跟1996年的《健康保險可攜性和可歸責性法》打交道。該法案要求健康保健組織保護病人數據免受非法應用、惡意軟件及信息威脅的侵犯。
另一方面,在金融行業,其監管又是另一番不同的光景。盡管薩班斯法案并沒有提及數據保護,但在組織應該如何描述數據安全責任方面已經有了很多的分支。
愚蠢的是一個行業中的組織任意地將自己的BYOD政策構建在對另一個不相關行業有效的規程基礎之上。組織必須仔細檢查適用的行業相關規則,然后形成移動相關的數據流程來確保存放在個人設備上的公司信息能按照這些監管措施正確存儲、維護并最終處理好。
了解員工
在此,部署BYOD政策時,有一個問題需要組織考慮:公司員工是以千禧一代為主還是以嬰兒潮一代為主?統計數據表明,前者更有可能把最新潮的設備帶到公司來。
考慮兩家員工規模相當的公司:公司A有一個穩定、成熟的員工隊伍,平均任期達12年。公司B有一只流動率高的員工隊伍,以千禧一代為主,其平均任期是3個月。我的看法是A公司對正式BYOD政策的需求要比B公司高得多。A公司成熟的員工隊伍意味著他不需要嚴厲的規則與規定。
另一個重要的問題是企業IT控制應該聚焦于設備上還是用戶上。這是一個有趣的問題。Google Glass普及也許有待幾年的時間,但可穿戴技術已經扎根,會顯著影響到工作場合的移動技術。FitBit和Pebble Watch只是這個明顯趨勢的另外兩個例子:許多員工也許很快就會表現出自己不僅攜帶多種設備(其中很多都能連上互聯網),而且甚至還把它們穿上。隨著需要應付的設備越來越多,數據隱私、安全和治理影響不能忽視。
最后,今年早些時候,安全公司開始重新思考其數據安全模式。有些公司已經發布了BYOD相關的最終用戶保護計劃。這些計劃的前提與保護個體設備關系不大,更多的是保護個體用戶及其所有設備。這一全面的方案是合理的、明智的。預期許多安全公司會跟進,公司在制定BYOD政策時應該考慮這些解決方案,以及相應的數據安全流程。
實施安全的BYOD政策并不容易,而且制定預算也很難。這是因為計算BYOD精確的ROI純屬徒勞之舉,尤其是在實施中考慮BYOD相應帶來的成本節省與為了保證數據安全而必須追加的投資那些變數時。
組織必須仔細考慮BYOD對數據安全、治理及合規性的影響,計劃實施時保持靈活性至關重要。新技術總會層出不窮,員工總想把這些新玩意兒帶到工作當中。確保他們這么做時不會讓敏感的公司信息泄露。
京公網安備 11010502049343號