【转载】BYOD策略制定中的七大要点

无论大家是否心甘情愿，“自带设备”（简称BYOD）席卷办公环境已经成为一股不可逆转的历史潮流。根据Juniper公司的调研报告，截至2014年企业员工在日常工作中所使用的智能手机及平板设备数量将再翻一番，达到3.5亿台——目前的数字为1.5亿台。

但如果大家的公司与大多数企业一样，那么就很可能还没有针对BYOD风险制定出正式的政策保障方案。由安全理念培训企业KnowBe4及调查公司ITIC最近共同发起的一项研究显示，71%的企业虽然允许BYOD的介入，却从未出台过具体的安全保障政策或管理机制。

“我们需要利用一些政策层面的控制手段，某种类型的文件、协议或者规范来支撑如火如荼的自有设备涌入浪潮，”Hyoun Park如是说，他是Nucleus研究机构的首席分析师。他同时指出，企业管理者应该考虑将BYOD政策纳入公司与员工的基础协议，以必须认同并签署的形式强制工作人员了解自身权利、责任以及需要严格遵守的条款——这是公司与个人从BYOD中获得收益的关键。

经过签署确认的管理政策还能够赋予企业必要的权利，在设备被盗、丢失或使用不当时有效保护关键性信息。“企业不能简单粗暴地对设备数据加以清除——这有违基本的法律精神，”Park指出。“我们必须确保员工与公司之间签订过某种形式的协议，并以此为基础开展敏感数据控制工作。”

面对这一问题，我们不妨以抽丝剥茧的方式层层分析，Gartner公司研究部门副总裁Paul DeBeasi解释道。“大家愿意让不相干的家伙通过其个人设备连接、访问企业应用程序并存储敏感信息吗？如果真的必须放手尝试，诸位打算如何加以控制？万一这些拥有访问权限甚至保存了业务数据的使用者将过气的旧手机扔给儿子、女儿当玩具甚至放在淘宝上拍卖又该怎么办？大家是否有能力对此加以防范及管理？”

这些问题想必令人头大，这也正是我们鼓励大家以书面形式与员工严格约定管理规范的关键理由。“这其实是BYOD工作的第一步，但很少有人为此进行充分准备并加以规划，”J. Gold联合公司创始人兼首席分析师Jack Gold告诉我们。

接下来，我们将与大家共同分享BYOD策略制定工作中的七大要点，希望以此为契机为读者朋友带来启示。

1. 应当做到“工具未动、政策先行”：

DeBeasi结合多年经验认为，大多数企业所犯下的致命失误正是一掷千金大肆采购移动设备管理（简称MDM）工具，却尚未制定出有效的管理政策。“像大爷一样买套工具谁都能做到，但没有政策的有力支持，工具根本就是形同虚设，”DeBeasi解释道。

举例来说，每一款MDM系统所提供的功能不尽相同、对于不同设备类型（包括Android、黑莓以及iPhone等等）的支持效果也存在差异。总体而言，MDM工具普遍存在局限性——尽管它们能够对设备、数据以及应用程序访问加以监控，但却无法搞定网络访问或者费用管理等相关问题，Park表示。

2. 雇主对移动设备中的敏感数据拥有“完全处置权”：

BYOD领域中最容易引发高风险的内容大概要数敏感数据泄露了，一旦设备丢失或者被盗，保存于其中的信息难免被不法分子取得。有鉴于此，大多数合理的管理政策都需要严格的密码监控、设备锁定与加密以及远程设备数据清除机制作为支持——只有这样，包括员工离职在内的各种特殊情况才不会导致业务内容流出等悲剧性后果的发生。某些企业希望采用高端管理技术，将业务数据及应用信息与设备中的个人内容区分开来，并在需要的时候有选择地清除可能引发业务风险的对象。但大多数企业出于成本的考量，往往乐于直接清除设备上的全部数据，包括一切个人资料。“以我个人为例，如果企业直接把我保存在手机里的几百张照片删掉，那我肯定要拿起法律武器保护自身权益。不过一旦事前签署过政策协议，那么这样的处置方式就是合理的，员工必须承担相应后果，”Gold解释称。某些政策还会更进一步，采取更为严苛的管理规则：只要移动设备被检测到存在违反政策规定的行为，其数据即会被远程清除。

3. 明确员工责任：

员工必须了解自己需要为哪些情况负责，DeBeasi指出，例如保证自己所使用的硬件或软件符合企业业务的最低需求。举例来说，假如企业推出一款iPhone应用程序，希望借此提高员工业务效率，那么我们就必须为其准备好必要的硬件运行平台——如果大家使用的机型太过陈旧，进而导致公司应用无法正确奏效，那么造成的损失必然要由员工自己承担。“作为企业管理者，我们当然希望员工肩负起必要的责任，为业务应用准备好iPhone 4、4S甚至是5，”他表示。明确员工责任的另一大主要原因则是为了保证安全补丁能够及时在所有设备上得到更新，马萨诸塞州Needham银行IT部门副总裁James Gordon指出。在某些控制机制足够严格的管理政策中，系统会自动检测并拒绝那些来自违规或陈旧设备版本的用户的访问请求。

4. 明确正当操作：

不同的政策对于移动设备的正当与违规操作有着不同的界定方式，一般来说政策会限制企业文档的下载权限、约束网络或应用程序访问、管理摄像头及USB接口等设备扩展功能、检测设备是否存在越狱现象并为常用的应用程序及网站设置白名单与黑名单。在常用网站当中，Dropbox与iCloud是敏感数据泄露的重灾区，也是合规测试的重点对象。虽然企业也可以选择禁止员工访问社交网站，但Park警告称这样会对员工的士气造成严重打击，进而降低其在下班之后处理业务或者讨论工作内容的动力。

Gordon的MDM工具会自动检测员工的操作行为，并在操作与政策限制有所冲突时发出警告并阻止访问过程。虽然这看起来很美，但MDM工具始终无法将所有可能出现的违规状况考虑在内，例如使用设备上的摄像机或是进行网络连接。“随着BYOD装置越来越多地涌入办公环境，企业所面临的实际上是无线局域网领域的安全问题，”Park指出。“目前的工具正在尝试通过设备使用者的实际身份为其分配网站访问的权限及允许探询的内容。”

5. 明确正当设备：

许多政策都没有明确指出哪些设备允许接入而哪些不行，但Gold建议大家将这些内容加入条款，这能够有效降低移动设备的支持成本同时改善安全控制效果。在他看来，企业最起码应当将设备类型与政策的分层执行机制加以融合，否则所谓规则只是凭空想象出来的一张废纸。举例来说，我们可以让黑莓设备来访问企业应用程序，iPhone与iPad处理电子邮件收发及网络访问事务，而Android由于固有的安全问题最好仅仅涉及邮件往来。“只是制定政策还不够，我们需要向用户解释这样划分的原因，这样他们才会在购买设备时深思熟虑并最终做出明智的选择，”Gold解释道。

6. 谁来提供技术支持？

在有些企业看来，既然员工们是这些自带设备的所有者，自然也该担负起维护及技术支持的责任。然而由于大多数员工对于移动设备并不熟悉，额外的工作往往会导致日常业务效率的大幅下滑，Park表示。“一位员工给IT部门打一通半个小时的电话，就可能给企业带来几百美元的收益损失，”他解释称。

DeBeasi建议我们做好职责分工。“对于企业自己开发并下载到员工手机中的应用程序或者是思科VPN客户端而言，一旦其工作状态发生异常或者无法正确进行网络连接，那么公司内部的咨询服务台是最理想的技术支持团队，”他指出。然而对于那些与业务毫无关联或者是硬件本身出现的问题，那么显然与设备制造商取得联系更为明智。“苹果不是有天才吧么，不妨去问问那帮‘天才’，”他不无戏谑地表示。

无论采取哪种方式，我们都需要在管理政策中将这些内容详细加以描述。企业可能还需要考虑建立专门的技术知识库及论坛，并在内部门户网站或SharePoint站点上公布这些规范细则，DeBeasi建议道。总之，管理者应该想尽一切办法让员工明确了解哪些东西拥有技术支持而哪些没有。

7. 谁来买单？钱又花在了哪里？

当企业开始将BYOD以正规化模式运作时，成本问题也将相伴而来——谁该为设备的采购及后续维护费用买单？“对于4G设备而言，数据流量与带宽使用是个大问题——动辄上GB的下载量到底该由谁出钱？”DeBeasi向我们提出这样的问题。如果大部分下载量是为了满足业务工作的需求，那么这笔钱当然不该由员工自己承担，但企业也必须为流量使用设定上限。无论具体管理规则如何，我们都得事先在管理政策中做出有针对性的准确规定。

在调查过程中，Park将目前的主要资费处理方式分为三类：完全不报销；每月按比例报销费用以及一次性或全额报销。为了不花冤枉钱，企业甚至需要为不同的员工岗位设定差异化的报销方式，例如某些岗位能够全额报销、某些则只能报销一部分。

BYOD兴起所带来的问题成百上千，如果列成一份清单足以把健康的管理者直接吓到半身不遂——但恐慌不是办法，我们还是得积极采取行动。“首先认识到当前机制的不足，然后无论好坏、先制定一套有所改善的管理政策——不够完美也没关系，”DeBeasi告诉我们。“更重要的是，BYOD是一种重视使用体验的趋势，我们不可能坐在办公室里就把所有即将发生的问题消灭在萌芽状态。要乐于尝试，尝试是人类发展的最佳方式，当然也是应对BYOD的最佳态度。”

原文名：Seven BYOD policy essentials