盡管員工自帶設備辦公(BYOD)對企業(yè)來說是有好處的——比如說,提高員工工作效率和滿意度,并且因為減少了提供以及維護硬件設備終端的支出,從而降低企業(yè)成本。但是,由此產(chǎn)生的對企業(yè)安全的影響也讓IT部門面臨著巨大的挑戰(zhàn)。當每個人都在辦公室辦公并使用公司配備的手機和計算機時,IT部門能夠更好進行網(wǎng)絡安全控制?,F(xiàn)在,從各種平臺接入企業(yè)網(wǎng)絡的筆記本電腦、智能手機、平板電腦以及其它設備都成了惡意軟件侵入的渠道,以及企業(yè)數(shù)據(jù)外泄的路徑——所有這一切,IT部門可能毫不知情。
據(jù)Gartner最近發(fā)布的報告顯示,到2017年,半數(shù)雇主將要求員工使用自己的個人設備辦公,而38%的企業(yè)則有望在2016年之前停止為員工提供辦公設備。自帶設備上班的經(jīng)濟效益壓倒了安全問題,但是,在當今的全球化業(yè)務時代,關鍵是要部署一個不僅能保護企業(yè)數(shù)據(jù),還能遵守區(qū)域性法規(guī)從而尊重員工隱私權的自帶設備辦公(BYOD)政策。加密、PIN碼強制執(zhí)行、在設備上安裝防惡意軟件和病毒的保護措施,以及移動設備管理(MDM)工具——這些都有可能侵犯用戶隱私權。在大多數(shù)國家,如果未經(jīng)員工同意,企業(yè)不能合法執(zhí)行上述任何一項措施。
了解在工作和生活中使用同一臺電話的缺點
在制定一個企業(yè)強制執(zhí)行安全措施的自帶設備辦公(BYOD)政策時,你必須要明確告知員工公司政策對其應履行責任的要求。員工不僅必須簽署協(xié)議同意保護公司數(shù)據(jù),他們還必須了解他們所簽協(xié)議的內(nèi)容,并確認他們完全了解這項政策的含義。
換言之,通過簽署自帶設備辦公(BYOD)協(xié)議,員工要放棄一些對其個人設備的控制權,并有可能損失一些個人隱私。他們必須了解,通過訪問其個人設備,IT部門可以鎖定、禁用或從其設備擦除數(shù)據(jù)(或刪除手機上的所有數(shù)據(jù)),查看瀏覽記錄、聊天通訊記錄、照片、視頻及其它媒體。除了知道IT部門的權限,用戶還必須確切了解如果設備丟失、被盜,或者如果自己離職,將會發(fā)生什么。
跨國公司自帶設備辦公“一刀切”政策
跨國公司發(fā)現(xiàn),在全公司采用統(tǒng)一的、“一刀切”的自帶設備辦公(BYOD)政策尤其困難,因為每個國家的隱私法律法規(guī)都各不相同,美國各個州的相關法規(guī)也不盡相同。Ovum發(fā)布的一項名為“國際數(shù)據(jù)隱私立法研究:自帶設備辦公(BYOD)政策指南”的報告探討了數(shù)據(jù)隱私法在七個國家(分別為美國、英國、德國、中國、澳大利亞、法國和西班牙)的差異,但是對于以上所有國家而言,主要有兩點是一致的:
1. 企業(yè)必須采取充足的措施來確??蛻艋蚧颊咝畔?,以及他們所擁有的任何個人數(shù)據(jù)的安全性。
2. 員工必須同意其個人數(shù)據(jù)能被訪問和處理。
企業(yè)一直想方設法向終端用戶呈現(xiàn)一個可以同時從法律和技術上保護用戶隱私和企業(yè)安全的“協(xié)議”。由于許多用戶都在遠程辦公,因此法律協(xié)議的文書或驗證成本非常高。所幸現(xiàn)在可以通過向終端客戶提供一個動態(tài)遠程訪問使用協(xié)議來幫助企業(yè)授權或拒絕訪問。從一個完全遠程的位置來訪問網(wǎng)絡,企業(yè)能夠通過VPN連接來提供針對特定區(qū)域的協(xié)議——可以針對特定區(qū)域,并且按需更新。
真正能夠解決這個問題的方法不僅僅靠法律,還必須靠技術。企業(yè)采用“自帶設備辦公”政策時,必須從技術上確保登錄到個人設備時數(shù)據(jù)能夠得到保護。最重要的是,企業(yè)必須在保持較高成本效益的前提下確保數(shù)據(jù)得到保護。幸運的是,安全移動接入解決方案現(xiàn)在可支持一項名為per-app VPN的功能以及端點控制。這些技術讓已申請VPN的連接不僅能夠允許數(shù)據(jù)從定義網(wǎng)絡流向移動設備上的特定應用程序,而且能夠強制移動設備上必須存在或者必須不存在某些特定應用。
底線就是公司不僅需要在沒有高昂代價的互動或延遲的情況下獲得自身與用戶之間所有法律協(xié)議,還需要同時確保數(shù)據(jù)只在目標應用登陸——無論它們是通用應用還是客戶應用,或者是移動設備管理(MDM)解決方案。如果無需獲取特別的應用程序包就能完成這些任務,那么應用的挑戰(zhàn)將大大簡化。
確保企業(yè)數(shù)據(jù)安全,并防止違規(guī)行為
由于自帶設備辦公(BYOD)政策并沒有一個放諸四海皆準的模板,所以具備能夠以不同的方式對待每個用戶的能力顯得尤為重要。如果你的企業(yè)能夠定制從不同地區(qū)不同用戶那里獲取授權同意的方法,你將知道誰接受了哪些條款。如果這是工作流程中自動處理的部分,它還將通過確保審查跟蹤來保護企業(yè)。
遵守地區(qū)隱私法是每個在全球開展業(yè)務的企業(yè)都應嚴肅對待的事宜。盡管我們的第一要務是要保護企業(yè)數(shù)據(jù)中心里的數(shù)據(jù),當然還有那些正在使用和存儲在設備中的數(shù)據(jù)——以及保護你的網(wǎng)絡防御那些通過移動接入發(fā)起攻擊的惡意軟件——但是也不要忽視由于未獲得終端用戶許可便私自監(jiān)控其個人設備而帶來的財務風險——如不這么做,面臨的處罰成本可能相當之高,并會對業(yè)務產(chǎn)生極大負面影響。