企業網D1Net訊2月24日(上海):
BYOD(Bring Your Own Device,自帶設備辦公)現象正以驚人的速度快速擴張,這一現象影響著商業領域的每一個角落。從冷漠到接受,企業為BYOD設備的使用設立了復雜的監控系統,那么在處理BYOD設備問題上,企業如何將員工生產效率最大化,同時將風險降至最低?
本文旨在為您提供有關于員工在工作過程中使用BYOD設備并對企業擁有的信息進行訪問、存儲和交流過程中進行管理控制方面的一些建議。
幾年前,大多數企業通過給員工發放一套設備以便讓他們可以通過便捷的方式訪問企業資源,黑莓設備的流行正是因為其強大的中央管理功能。由于相關設備屬于公司所有,因此公司對設備的配置、使用和安全實現完全控制。
BYOD對抗COPE(企業統一下發)
最近,移動設備推向市場走近消費者,用戶可以購買移動設備用于個人用途,這些移動設備含有眾多功能,可以收發郵件,通過網絡訪問文件,通過企業內部網絡或者外部網絡運行基于網頁的應用。那些已經購買了移動設備用于個人用途的員工更喜歡將這些設備應用于工作中的業務往來,而不是隨身帶著一個企業發放的單獨設備。
企業有必要了解BYOD設備,并學會處理相關問題,原因在于來自員工的關于BYOD設備使用的壓力只會持續增加,而不會減少。如果企業通過只允許使用企業發放并所有的設備并禁止使用個人設備的方式來抑制BYOD設備的發展,最終企業將不可避免地承受來自員工的各種壓力。絕大多數員工愿意竭盡全力為公司效力,但他們希望以盡可能最高效的方式完成工作。如果企業將一個能夠提高工作效率的最佳方式從員工身邊奪走,最終的結局是員工會舍你而去。
但是,為了員工的生產效率和高昂的士氣而采用BYOD設備辦公策略并不意味著簡單的“敞開大門”、毫無規則。為實現這一過程,企業可以采取以下步驟,使用相關措施,以便將企業風險降至最低水平的同時允許員工使用個人設備提高工作效率。
以下是幾點相關建議:
1.了解誰在訪問你的網絡和數據
對用于郵件服務、VPN、包含獨立用戶數據庫的企業內部應用的活動帳戶定期進行檢查。企業需要了解是否存在向不應該訪問網絡的人員(離職員工、合同員工等等)開放的活動帳戶,是否存在類似頻繁登陸失敗等異常行為的帳戶,是否可以在無需證明的情況下開放訪問企業數據等等。
這并不是特別針對移動設備——網絡中的所有通道你應當已經完全了解,包括那些可以獲取企業數據的通道,此外,對于任何類型的終端訪問都應加以監控。
2.了解什么樣的數據可以遠程訪問
企業保存的用于員工日常工作的一些信息并不存在丟失的風險,因為那些信息不存在特殊價值,即使落入外人手中也不會對企業造成危害。而其它一些信息對于企業來說則價值連城,必須嚴加看管。
對可以通過便攜設備對外部網絡進行訪問的數據風險劃分優先級,這一做法是有幫助的。顯然,你更愿意將精力投放到對那些含有敏感數據的區域進行訪問的控制方面,對于那些低風險的數據,你可能只愿意投入相對較少的精力,甚至一點也不投入。
3.了解員工設備的配置方式
由于有形損失產生的高度敏感性,特別是當涉及到企業數據時,移動設備更是一個讓人特別擔心的問題。如果員工出于工作需要合理訪問的數據落入他人手中會產生不利因素。除了由于企業因素導致的風險外,還存在通過特殊手段導致數據丟失的風險。當下流行的所有移動設備平臺中都存有漏洞。
最直接有效的防線是最低限度地確保用于訪問網絡的每一臺設備都經過合理配置,以減少數據從該設備中丟失的風險。但是,最重要的是你需要使用一些方法,確保員工安全地對其設備進行配置,這就引出了下面的相關建議:
4使用管理、審計工具
最基本的方法是確保員工對其設備進行安全地配置,對于如何操作,可以為員工提供口頭或書面指導。但是這一方法也存在著一些潛在問題。
對于普通員工而言,即便是最勤奮的員工也會將指導拋于腦后,除非企業能夠提供嚴格的培訓,使得相關指導成為老習慣。
通過第一次培訓,員工可能會遵守相關指導,但是隨著時間的推移他們又會將其忘記得一干二凈,任憑他們的設備配置風險變得越來越大。
如果你通過一些途徑了解到那些員工確實遵守了相關指導,這樣你可以更好的掌握相關情況而不是簡單地相信他們是在遵守相關指導。
最好的方法是使用某個工具,能夠對設備配置進行自動上報,協助或者強制員工讓設備處于安全設置的狀態。最理想的工具應當能夠讓你深入了解員工的設備是如何配置的,以及哪些地方偏離了預設的合理配置。理想的工具還應當能夠幫助員工讓其設備與你要求的配置同步—可以指導員工合理地設置配置,或者直接對其配置進行設置。
目前推薦最為廣泛的工具是移動設備管理(Mobile Device Management)工具。但是,該工具屬于重量級的解決方案,遠遠超出了小型組織機構的需求范圍。
此外,還有一種替代性方法可能更適用于BYOD設備,因為該方法不會直接控制員工的設備。這種新型工具具備移動設備審計功能,該功能可以對設備配置進行上報,但是不會完全控制該設備。這些屬于較輕量級的工具,可以對BYOD設備進行控制,可能更受員工的歡迎。
5.與員工明確溝通
對于使用BYOD設備的員工而言,將相關設備所實施的監控或者管理類型明確告知員工很重要,比如:哪些數據是受到監控的?哪些設置會自動被修改?公司將如何使用設備的相關信息?數據保存期的含義是什么?諸如此類等等
如果你通過任何方式對員工的設備進行審計或控制,可能你需要簽訂一份書面協議,明確說明你對其設備中的哪些信息進行查看或修改。
讓員工明白其責任也同樣重要,例如:使設備處于安全配置狀態;對于任何可疑行為直接進行上報;如果設備丟失或者有疑似數據泄漏跡象,直接上報;確保將任何用于企業審計的代理處于工作狀態以及其它等等
6.確保所使用的任何工具不會侵害用戶設備的隱私
對于BYOD設備,即便是用于訪問企業數據的設備仍然屬于員工本人,這一點需要銘記在心。取得一個能夠滿足雙方要求的平衡很重要。你需要確保相關設備經過配置且使用安全的方法,能夠降低企業信息丟失的風險。員工能夠將相關設備用于個人用途,無論何種用途都不會直接侵害企業數據的安全性。
如果員工知道雇主沒有訪問那些雇主沒有必要訪問的信息和其它內容時員工會很高興。這些信息和內容包括GPS位置信息、個人通信內容,如非企業帳戶中的文本信息或者郵件等等。
需要注意的是所有移動設備管理系統都將對移動設備進行控制。
7.制訂相關計劃以解決數據泄漏問題
降低數據丟失風險的最佳方法是認識到你正在努力尋求降低風險,而不是完全消除風險。完全消除任何的數據泄漏風險,要做到這一點可能成本高昂,更別提其實際可操作性。企業應該圍繞如何識別最大風險的所處區域來考慮,并對相關區域加大力度進行管理。
雖然相關風險得到減少,但并未完全消除,你需要為可能發生的數據泄漏問題作好充分準備。在發生數據泄漏事件時,哪些人需要通知、對于受到影響的系統要立刻做出哪些配置更改、該采取哪些法律行為等等,以上問題都需要充分考慮。此外,還需要制訂書面計劃,以便在危機時刻能夠有效根據計劃進行操作。
在遵循以下剩余的建議后企業已經最大限度地減少了風險,因此企業所面臨的壓力將不會太大。
8.定期復查
對以上建議中列出的措施定期進行復查也相當重要。隨著時間的推移你的IT系統肯定會發生變化,確保程序和工具與你的企業信息系統的當前狀態一直處于同步的最新狀態。
9.為最終證明相關策略的遵守做出規劃
也許你已經開始著手對傳統的服務器和臺式終端開展相關工作。也許你需要向外部權威人士匯報對相關規定的遵守情況,比如HIPAA、PCI、Sarbanes Oxley等等,也許你還需要向組織機構內部的那些希望確保IT安全性一直處于有效水平的審計人員匯報。
而這一行為將不可避免地涉及傳統系統的當前使用方式。而強制管理通過移動設備訪問網絡的相關規定的出臺也只是一個時間問題。如果企業確實堅持遵守以上建議中給出的有關程序,那么面對可能發生的問題時,企業已然做好了充分的準備。
10.快樂工作,有付出就有回報
建立以上類型的程序需要精心計劃、不斷的付出與資源消耗。但是想到付出就有回報內心就會獲得一絲安慰。由于企業系統化的降低了數據丟失的風險,企業高管們會很高興。此外,員工對企業能夠與他們并肩作戰,盡可能提高工作效率的行為感到興奮,而不是讓他們覺得你是他們成功路上的絆腳石。
京公網安備 11010502049343號