實施BYOD前要問的五個問題

盡管有69%的企業都會允許員工的個人設備連接到辦公網絡，但是，仍然有21%的企業并沒有在企業網絡上管理員工使用個人移動設備的策略，這一數字超過了所有接受調查樣本的1/5。

安全產品公司Courion最近所公布的這一調查數據清晰地表明，許多安全主管仍然無視員工移動設備所帶來的安全問題。

安全研究公司IANS研究和服務交付部門高級副總裁Chris Silva認為，要想避免個人移動設備所帶來的固有風險，最重要步驟就是要制定出移動設備的安全策略。

“BYOD（自帶設備辦公）的關鍵并不是你用了哪家廠商的管控產品，而是具體的策略。我們不能簡單粗暴地只是禁止某些設備，而是要根據誰在使用什么設備，以及利用設備在做什么事來區別對待。”Silva說。

那么，全面的移動安全策略應包括哪些方面？Silva認為這其中主要包括三個部分：明確定義用戶的風險狀況、什么樣的設備可以得到支持以及規定設備允許訪問的資源。他表示，企業制定自己的移動設備安全策略時，應考慮專家建議的這些問題。

支持哪些移動設備？

BYOD并非某個人、某家組織或者某個廠商推出的營銷方案，而是由實際應用所驅動的。我們可以看到，越來越多的員工都開始在辦公室使用自己的設備。Silva建議，企業應該放開對移動平臺的支持。

如果你只有一臺針對黑莓系統的服務器，那么如今還這么做就有點太落伍了。在智能終端普及的今天，企業應該添加支持多種不同移動操作系統的平臺。“這至少可以保證員工的設備大部分都可以得到兼容。”Silva表示。

盡管支持多種平臺可能很重要，不過，企業還是應該明確向員工規定，哪些設備可以接入辦公網絡、哪些設備不允許接入。很多企業都會犯這樣一個錯誤：試圖顧及員工想使用的任何一種個人設備和平臺。這樣一來，IT安全部門根本不可能完成支持這些設備的任務。

“IT安全部門只能確保一小部分平臺安全。”Silva說，“他們沒辦法對幾十種設備做出適配。同時，制定一個統一策略也不可能對所有平臺都適用。”

有些員工可能不喜歡被告知哪些能用、哪些不能用，Silva建議，至少在設備的年限和功能方面有一些最低標準。他表示說：“需要確保員工使用的是最新、最好的設備，因為會制訂出比較好的安全控制措施。比如說，你可以決定對iPhone 3G產品之前生產的任何蘋果設備不再提供支持。要知道，此前的任何蘋果設備都不支持設備級加密。”

如何訪問信息？

我們是要將信息存儲在設備上，還是存放在需要遠程訪問的數據中心？顯然，這對某些企業來說是個重要問題，而其重要程度取決于合規以及受監管的力度。

“很多企業都有這樣的要求：我們希望員工的iPad能夠顯示整個桌面以利于辦公，但是受到合規和監管規定，又不能在其上存儲任何信息。”Silva表示。他認為，這樣的企業對于移動設備的要求只是一種瀏覽平臺，而不是信息處理平臺。

因此，對于企業來說，存儲信息的每個設備都需要遵守合規要求。企業需要在這方面多加考慮。

怎樣劃分權限控制？

Silva表示，可以考慮根據員工的角色和職權來部署安全策略。這意味著，企業的BYOD策略要做到讓不同類型的員工從不同設備上訪問不同級別的信息。

“假設某企業有四種不同的員工角色，其中之一的信息泄漏風險很高。那么我相信任何企業都不希望這類員工用移動設備來處理除了打電話、發短信之外的事務。企業應該通過策略梳理出這類員工的特征，并且將這類員工分組標明，同時劃定相應的安全控制措施來和那些特性相匹配。”Silva說。

明確定義每一種風險狀況，能夠讓安全部門更容易應對和處理員工的移動設備，讓他們知道可以用設備來做什么、不可以做什么。“這能夠在某種程度上消除主觀因素。”Silva說。

怎樣才能積極主動？

如果某天有50個員工突然來找到IT部門，并且要求使用iPad，那么在這種倉促情況下制定出的安全策略很可能不盡如人意。因此，IT部門需要對未來趨勢做出展望。

Silva提到了兩年前的圣誕節，在當時，有一款經過了長期炒作的安卓設備即將投向市場。

“安全管理人員需要預先在思想上有所準備：當員工過完圣誕節回來工作時，會有許多人要求使用安卓設備。明智的IT部門會把事情安排得井井有條，并對安卓的安全問題提前做好準備，以便員工可以有條不紊地使用他們的新設備。”

何時對員工說不？

要想達到企業安全，相關策略一定要對某些要求說不。這在注重合規的企業至關重要。

“比如，對于證券公司來說，你不能讓交易員在他們自己的個人設備上執行交易。對這些員工需要有一定程度的約束和控制。”Silva認為。

如今，有越來越多的公司開始采用虛擬化技術，以保證在讓員工能夠正常訪問信息和應用程序的同時，不會在本地存儲信息。

如果企業必須要阻止員工使用移動設備的話，虛擬化技術將會有其用武之地。其為那些需遵守合規要求的行業帶來了大好機會。