BYOD
介绍
BYOD(Bring Your Own Device)[1]指携带自己的设备办公,这些设备包括个人电脑、手机、平板等(而更多的情况指手机或平板这样的移动智能终端设备。)在机场、酒店、咖啡厅等,登录公司邮箱、在线办公系统,不受时间、地点、设备、人员、网络环境的限制……BYOD向人们展现了一个美好的未来办公场景。
解决方案
许多企业开始考虑允许员工自带智能设备使用企业内部应用。企业的目标是在满足员工自身对于新科技和个性化追求的同时提高员工的工作效率,降低企业在移动终端上的成本和投入。
因为BYOD 项目对应的设备属于员工个人而非企业, 因此如何定义 BYOD项目中IT管理的范畴,精确区分企业数据与个人隐私就是非常重要的问题。 在技术方面,移动终端管理软件需要支持企业数据与个人数据的安全分割,在管理制度方面,企业需要与员工明确约定双方的责任和义务。
模式特点
BYOD模式是IT消费化的一个戏剧性结果。 这一模式的原动力来自于员工而非企业,员工对于新科技的喜好反过来驱动企业变更和适应新技术的变化。然而这些新技术在设计和开发初期并没有考虑企业的应用环境和要求,因此很多IT支持部门非常担心由此带来的安全和支持风险。
评估方法
BYOD不仅仅是简单的所有权转移的问题, 它包含了非常复杂的,甚至隐藏的问题和风险需要规避和解决。在具体的评估操作方面,移动终端管理厂商 思可信(MobileIron)定义的 8维评估方法是最为广泛采用的:
|
终端设备的选择:
|
用户体验和隐私保护:
|
|
分析和调查员工偏好,了解已经购买的设备品牌,型号。
定义企业和员工都能接受的底线:BYOD应该具体支持什么功能,采用何种安全策略
基于这个底线,评估操作系统,硬件和区域差异
开发和整理一个设备准入标准和门槛,为未来评估新的终端设备做好准备
与员工清楚的沟通,哪些终端设备是被允许使用的,而哪些不能,并说明原因
确保IT团队能够充分了解最新的产品,设备和相关信息
|
确认IT团队将监控何种用户活动和数据
确认IT团队在各种情况下,采取的标准措施和反应
定义BYOD隐私保护政策重点评估安全和限制策略的可持续性
部署核心服务(email,重要应用,WLAN)保持终端设备的原始应用体验
确保使用要求和规定被清楚无误的传达到员工
|
|
信任模式:
|
App 设计和管理:
|
|
确认和评估个人设备终端常见安全风险
定义补救和纠正措施选项,如:消息通知,访问控制,隔离,选择性擦除
设置阶梯式的策略建立用户和终端设备身份认证
随时谨慎关注安全策略政策的可持续性
|
设计移动Apps时,考虑对应个人终端设备的信任级别
根据终端设备的所有权,划分Apps的类别及对谁有效
在开发Apps过程中,确保投入资源,考虑个人终端设备的特点
更新可接受的Apps使用政策
定义App违规时的强制反应级别: 消息通知,访问控制,隔离,选择性擦除
|
|
责任和义务:
|
成本控制:
|
|
确定BYOD模式下,在个人设备上对企业数据进行保护的基本条目和底线
评估用户对网页访问和app使用的责任义务
分别评估设备在线和离线时的责任义务,以及上班时间和下班时间的责任义务
评估报销制度对用户责任义务的影响(例如:部分报销和全额报销)
评估和确认执行BYOD政策的监控、强制处理和审计成本
评估企业针对访问和损坏个人用户数据的风险,如:错误操作全部擦除命令而不是选择性擦除。
|
将硬件成本转移到员工,使用一个部分报销或补贴式的模式
通过为使用承担责任的方法,控制超出范围的费用
建立恰当的话费和流量计划,并认识因此造成的企业谈判和协商能力的流失
评估员工自带设备平台将如何影响工作效率
改变Helpdesk模式 (在BYOD模式下Helpdesk从过去的一线支持平台变成最后一道支持平台)
如果法务评估使用个人自带设备责任风险更低,那么将降低审计和遵循规则的成本评
估税务问题是否受到影响
|
|
可持续发展:
|
企业内部推广:
|
|
有效保护企业数据
降低执行成本
保障用户的使用体验不受影响
随时跟进和更新用户偏好和技术革新信息
|
介绍和解释为何我们会采用BYOD模式
需要了解BYOD模式是由HR和IT部门共同发起和承担的
定义和建立IT部门的角色,并以恰当的行动支持IT的角色
|
安全策略
现在更多的情况指手机或平板这样的移动智能终端设备。许多企业开始考虑允许员工自带智能设备使用企业内部应用。企业的目标是在满足员工自身对于新科技和个性化追求的同时提高员工的工作效率,降低企业在移动终端上的成本和投入。)背后的理念是用户可以将平板电脑之类的个人设备既用于工作也用于私人事务。可以想象一下,用户带着自己的设备连接公司网络,这样就可能让各种恶意软件通过公司网络传播。这样已经导致一些人把BYOD认为是自找麻烦。和IT行业的其他领域一样,你可以设置一些规则将BYOD的安全风险最小化。
为什么使用
许多用户现在都有乐于使用的设备。例如,有些用户可能使用装载Linux的Mac Book Pro上网本,iPad或智能手机。BYOD可以帮助公司减少IT设备的支出。员工可以使用自己的个人设备,如此一来,产能会提高。BYOD的增长受到平板电脑和智能手机普及的刺激。据称,这些设备将代表主流个人设备。
安全事项
BYOD存在大量与安全相关的问题。恶意软件和窃听(使用公共WIFI的情况下)是两个可能存在的风险。我们发帖的目的是了解一下部署BYOD所需的准备步骤。理想情况下,可以创建关于BYOD的策略文档,所有成员都应该可以访问策略文档。
支持哪些设备
围绕BYOD的一个好的基点在于:哪一类设备可以访问公司网络。从这一点开始,兼容的设备会在某种程度上按照应用的需求来驱动。以一个Windows 7应用为例,它或许就不能与iPad相提并论,如果是重要应用,那么用户将无法在公司网络中使用iPad,除非应用被放到iOS上。
允许访问级别
依据工种需要,用户的访问级别不一样。例如,销售人员可能使用平板电脑的几率多过使用台式机或PC的几率,技术支持的员工则更常在某段行程的途中使用笔记本或平板电脑。
这意味着技术支持员工对比销售人员而言就产生了不同的访问请求。技术支持员工或许需要访问内部知识库或是其他数据库。销售人员则可能只需要访问内网,邮件和信息。
这意味着技术支持员工对比销售人员而言就产生了不同的访问请求。技术支持员工或许需要访问内部知识库或是其他数据库。销售人员则可能只需要访问内网,邮件和信息。
需要企业应用
下一个方面是在用户设备上安装什么应用。根据用户群的需求,有些用户可能需要访问不同级别的数据。如上所述,技术支持人员通常需要访问技术支持数据库,而其他员工或许仅需访问邮件和和公司内网。
除了决定需要哪些企业应用外,或许你还需要抉择在设备上安装哪些反病毒的保护。其他可能需要安装的应用则有邮件客户端,即时通讯客户端和VPN软件。
除了决定需要哪些企业应用外,或许你还需要抉择在设备上安装哪些反病毒的保护。其他可能需要安装的应用则有邮件客户端,即时通讯客户端和VPN软件。
使用VPN访问
特殊情况下,在公共wifi网络中使用设备可能是最让人头痛的问题。这种情况下就需要用到VPN方案。而VPN需要验证,而且可以加密数据。从这一点上说,VPN客户端必须安装到用户设备上。可考虑Cisco VPN 客户端及AnyConnect。
设置密码
有一点在平板电脑和智能手机上多次被忽略:设置一个安全密码。这或许是BYOD最重要的部分,特别是对于经常使用公共wifi网络的人而言。盗取设备的人如果没有用户密码是无法随意使用设备的,所以设置密码应该是最基础的一层防御。
总而言之,你的BYOD策略需要涵盖以下内容:
1. 可以访问哪一类设备,如安卓,iPad,MacBook,Wintel;需要什么版本的操作系统。
2. 你的用户群需要什么级别的访问权限。
3. 用户需要安装什么应用。
4. 最重要的一点,需要使用公共wifi网络的个人用户要安装VPN。
5. 最后,要让用户知道设置密码的重要性。这些指导方针应该能在一定程度上保护企业数据的安全。
总而言之,你的BYOD策略需要涵盖以下内容:
1. 可以访问哪一类设备,如安卓,iPad,MacBook,Wintel;需要什么版本的操作系统。
2. 你的用户群需要什么级别的访问权限。
3. 用户需要安装什么应用。
4. 最重要的一点,需要使用公共wifi网络的个人用户要安装VPN。
5. 最后,要让用户知道设置密码的重要性。这些指导方针应该能在一定程度上保护企业数据的安全。