八步骤确保移动设备策略实效安全
1、组建一个移动设备指导团队。
要制定一套健全的移动设备策略,企业需要组织能够代表多个部门专家的团队。其中,三个部门扮演着特别重要的作用:IT、人力资源、业务线。有时,具体讨论关于移动设备的问题可以为这些部门(尤其是人力资源和IT)带来相互合作的新方法。
人力资源要为制定并发布策略负责,但其工作还包括创设受欢迎的雇员体验,并在移动设备的相关利益和风险之间达到平衡。为了应对安全和管理风险,IT部门可以努力强化这些策略,而企业的经理可以确保策略能解决用户的需要。
2、概述企业的目标
在深入研究具体策略之前,指导团队必须定义企业用现代移动策略要应对的挑战。
指导团队需要考虑来自多个方面的问题,从刚买了一台平板电脑的CEO到要求企业支持安卓设备的终端用户都属于此范围。还有,业务经理希望将公司数据交给外 出的员工,这也是一种需要考虑的现实业务模式。此外,如果企业没有部署一套支持移动平台的系统,终端用户会不会自己找到办法呢?
多种因素可以促使企业展开行动。这些因素可能包括企业越来越接受BYOD模式(原因在于企业意识到,BYOD既可作为一种减少IT成本的机会,又能提升工作效率)、更好地保障企业数据和应用程序的安全以及确保员工为完成其工作而需要访问的必要工具。
3、定义策略细节
不要奢望有万全之策可以适应所有移动设备,但所有的企业,无论大小与行业类型,都需要处理常见的核心需求。这需要从指定策略所涉及的设备类型开始。
在某些情况下,企业可能需要合并新旧两种策略。例如,多数企业可能已经有了管理笔记本电脑的规则。但是,如果最近没有对这些规则进行更新,那么,策略可能 会假定这些设备是由企业配备的。不过,在这种情况下,有些企业仍可能把BYOD从智能手机和平板电脑扩展到笔记本电脑和超级本。
关键是确定允许哪些设备类型和操作系统平台可以访问数据,还要确定由于管理和安全问题而限制哪些设备和操作系统。
不同的领域需要不同的基础架构和控制。我们建议企业将员工分成三大类。第一类是使用企业提供的设备和数据服务访问企业数据库的用户。例如,经理和管理员等。对于这一类人员,企业需要一套健全的策略和管理基础架构才能控制设备并保护敏感信息。这也意味着要部署移动设备管理(MDM)功能和数据加密以及移动 虚拟私有网络(VPN)。
第二类员工也使用企业的设备和服务,但他们可能仅被授权访问企业的电子邮件系统,不能直接访问数据库系统。对这类用户未必很严格,但企业仍需要移动设备管理(MDM)来跟踪设备的状态和位置。
这类用户可能不通过移动设备访问数据库,但仍有可能访问电子邮件中的敏感数据。
第三类员工是将其个人设备用于工作的BYOD用户,例如,他们将个人设备用于发送电子邮件或文本消息。这类人员的例子包括销售经理或人力资源部的个人(他可能主要在办公室工作,但在会议期间或下班后仍要保持连接)。
不同的人员分类可以决定是否要限制某些用户访问某些应用程序和数据。例如,策略有可能允许从特定入口下载经核准的软件。但是任何用户需要的其它软件也都必须位于企业认可的软件清单中。
用户或用户组对任何其它软件的请求必须得到移动设备策略督导者的许可。企业的移动策略还应当表明,企业不会支持用户擅自增加的软件。
4、阐明财务条款
企业可以采用三种基本的财务模式。第一种是直接结账,即企业购买设备并承担所有费用。第二种模式是企业每月对移动设备提供固定的报销数额。最后一种是,企业根据员工的费用报告进行报销。
模式的选择依赖于对几个重要问题的回答。这些问题包括但不限于:企业或员工是否支付硬件的全部或一部分、数据访问计划、支持成本等。需要阐明的其它财务问题包括BYOD设备所有者负责的具体成本,甚至包括用于语音和数据通信的国际呼叫和国际漫游计划等。
5、解决责任问题
责任问题针对的是受政府安全和私密要求约束的数据,也包括受制于企业最佳方法的数据。
谈到责任问题,企业可能需要考虑一些棘手问题。例如,每家企业都有权利控制数据的访问和使用,但策略的制定者必须决定如何处理用户的个人信息,其中包括存放在由企业配给的设备上的联系人信息。移动设备的策略团队必须解决如何构建一个可以使个人信息的暴露最小化的系统。
最后,移动用户应当确切地理解由于不遵守上述移动策略而遭受的惩罚,其中包括不同的策略违反面临的不同惩罚。
6、锁定安全
安全问题可能会花费移动策略制定团队最多时间和努力。
新移动设备的涌入给安全操作增加了复杂性,同时影响了IT过去实施的一些严格控制。
情况已经发生了变化。过去,终端用户受到IT部门的要求约束。但是,今天你想在移动设备上安装安全软件,首先要获得用户的同意。
因此,IT管理员必须接受几个基本原则。你不能做任何搅乱本地终端用户体验的事情。例如,员工购买安卓设备都有其具体原因,安全控制不应当损害用户的利益。
设计安全规则应从设置关于移动设备如何访问数据的基本纲要开始。移动设备的监管团队应深入分析具体的安全技术和使用策略。
一个重要的目标是:在内部数据不在企业物理边界之内时,企业能够实施保护。敏感信息在外部网络传输时尤其容易遭受网络窃取,而且如果设备丢失或被窃,非法用户有可能访问这些信息。
基于技术的安全措施包括对用户和设备授权的方法,以及设备和数据加密、VPN、沙箱(隔离某些数据和应用,使其不易遭受入侵)。其它的基本措施包括设备端的反病毒软件和管理配置和补丁的能力。
移动团队还应准备好应急计划,以便于在发生损害时能够控制或减少破坏程度。从丢失设备上完全或部分删除数据是一种常见的方法。如果企业保留在远程清除丢失或被窃设备上的数据的权利,该策略就应当阐明是否会清除个人数据,或是否仅清除公司沙箱中的信息。
实施这种控制的方法之一是通过MDM(移动设备管理)方案,使企业可以集中强化策略。有些企业通过移动应用管理系统强化其对数据控制的努力,进一步增强了这种方法。通过移动应用管理(MAM),企业强化了针对应用和数据的策略,而不是强化了设备自身。
从移动设备的策略方面来看,移动策略和规则还可以要求用户下载指定的MDM或MAM系统。
7、管理
下一步是创建一套计划,决定如何传达策略,并教育员工策略对其意味着什么。
企业的移动设备策略团队应首先向部门经理解释要点,然后再向部门成员阐明。企业必须重视:通过什么手段告知用户,是通过电子邮件发送并告诉用户“请阅读重要邮件”吗?还是用户必须确认已经阅读并同意遵循策略呢?
在完成策略的制定并且所有用户已经知晓策略后,下一步就是实施策略。最佳的起点往往是先进行测试,对于新策略尤其如此。不妨从那些对使用BYOD感兴趣或已经在悄悄使用的员工开始。
建议企业先从代表企业内部不同用户的小部门开始,这有助于企业决定哪些策略有效,哪些无效。这样做还可以提供时间来收集数据,以衡量利益和成本。
8、应对不断发生的变化
保证移动策略可行的一个重要步骤是:经常检查和更新策略,确保策略能够继续满足最新的技术和业务需要。
结束语
在移动设备的控制策略问题上,预则立,不预则废。企业应根据循序渐进的步骤,确保BYOD既可以提高员工的工作效率,又能有效地保证企业应用和数据的安全。