智能手機(jī)在2000年代末獲得發(fā)展動(dòng)力時(shí),大部分組織尚不清楚BYOD的構(gòu)成,也不知道它對數(shù)據(jù)治理和安全會(huì)產(chǎn)生什么影響。然而在過去3年,許多IT不得不放棄。如果缺乏普遍性,不能令人驚嘆,今天的技術(shù)將一無是處,而到2015年可連接無線設(shè)備的數(shù)量將會(huì)翻3番。因此,許多組織已經(jīng)放棄有關(guān)員工上班時(shí)哪些設(shè)備可以帶哪些設(shè)備不可以帶的規(guī)定。
如果應(yīng)對得當(dāng)?shù)脑?,BYOD計(jì)劃可以為公司帶來好處。時(shí)間是很緊迫的,BYOD節(jié)省出來的時(shí)間有可能是非常巨大的。首先,IT不再需要提供手機(jī)了。不過跟其他趨勢一樣,這種好處必須與實(shí)實(shí)在在的壞處放到一起權(quán)衡。BYOD會(huì)帶來獨(dú)一無二的數(shù)據(jù)安全威脅,同樣也會(huì)給IT員工帶來負(fù)擔(dān)。
不論好壞,BYOD已經(jīng)成為現(xiàn)實(shí)。這也不僅僅是發(fā)生在私營企業(yè)當(dāng)中的趨勢。政府機(jī)構(gòu)顯然有許多數(shù)據(jù)治理和安全方面的問題要對付,但這并沒有阻止他們攙和進(jìn)BYOD之爭。
在面臨這些數(shù)據(jù)治理與安全擔(dān)憂時(shí),CTO能做是什么?他們可以引領(lǐng)潮流、可以跟隨腳步,也可以避而遠(yuǎn)之。在實(shí)施BYOD政策的同時(shí),維護(hù)數(shù)據(jù)隱私和安全并不簡單,在企業(yè)范圍內(nèi)有效部署移動(dòng)化方面還有許多需要考慮的事情。
了解業(yè)務(wù)環(huán)境
歐洲政府長期以來一直在推動(dòng)重視數(shù)據(jù)隱私的重要性—甚至比美國企業(yè)還要重視的多。歐盟的《數(shù)據(jù)保護(hù)指令(DPD)》溯源起來要回到1980年代,代表了執(zhí)行數(shù)據(jù)隱私和安全標(biāo)準(zhǔn)的早期努力。未來幾年之內(nèi),DPD將讓位于一般數(shù)據(jù)保護(hù)規(guī)程(General Data Protection Regulation,GDPR)。在歐洲開展運(yùn)營的企業(yè)在制定一定戰(zhàn)略時(shí)必須考慮這些規(guī)程,以確保監(jiān)控個(gè)人設(shè)備活動(dòng)時(shí)沒有侵犯隱私。
與歐盟相比,迄今為止,美國政府尚未通過一項(xiàng)統(tǒng)一的數(shù)據(jù)保護(hù)法律—而且這件事情看起來似乎也不會(huì)很快發(fā)生。相反,美國采取了更具行業(yè)針對性的辦法來進(jìn)行數(shù)據(jù)保護(hù)立法,每個(gè)行業(yè)必須制定并執(zhí)行自己的規(guī)程。
在實(shí)施BYOD計(jì)劃時(shí),這些規(guī)程必須是首要的,但因?yàn)槊绹煌袠I(yè)規(guī)程的差異,在合規(guī)性方面無法做到一體適用。比方說,在將近20年的時(shí)間里,健康保健組織都得跟1996年的《健康保險(xiǎn)可攜性和可歸責(zé)性法》打交道。該法案要求健康保健組織保護(hù)病人數(shù)據(jù)免受非法應(yīng)用、惡意軟件及信息威脅的侵犯。
另一方面,在金融行業(yè),其監(jiān)管又是另一番不同的光景。盡管薩班斯法案并沒有提及數(shù)據(jù)保護(hù),但在組織應(yīng)該如何描述數(shù)據(jù)安全責(zé)任方面已經(jīng)有了很多的分支。
愚蠢的是一個(gè)行業(yè)中的組織任意地將自己的BYOD政策構(gòu)建在對另一個(gè)不相關(guān)行業(yè)有效的規(guī)程基礎(chǔ)之上。組織必須仔細(xì)檢查適用的行業(yè)相關(guān)規(guī)則,然后形成移動(dòng)相關(guān)的數(shù)據(jù)流程來確保存放在個(gè)人設(shè)備上的公司信息能按照這些監(jiān)管措施正確存儲(chǔ)、維護(hù)并最終處理好。
了解員工
在此,部署B(yǎng)YOD政策時(shí),有一個(gè)問題需要組織考慮:公司員工是以千禧一代為主還是以嬰兒潮一代為主?統(tǒng)計(jì)數(shù)據(jù)表明,前者更有可能把最新潮的設(shè)備帶到公司來。
考慮兩家員工規(guī)模相當(dāng)?shù)墓荆汗続有一個(gè)穩(wěn)定、成熟的員工隊(duì)伍,平均任期達(dá)12年。公司B有一只流動(dòng)率高的員工隊(duì)伍,以千禧一代為主,其平均任期是3個(gè)月。我的看法是A公司對正式BYOD政策的需求要比B公司高得多。A公司成熟的員工隊(duì)伍意味著他不需要嚴(yán)厲的規(guī)則與規(guī)定。
另一個(gè)重要的問題是企業(yè)IT控制應(yīng)該聚焦于設(shè)備上還是用戶上。這是一個(gè)有趣的問題。Google Glass普及也許有待幾年的時(shí)間,但可穿戴技術(shù)已經(jīng)扎根,會(huì)顯著影響到工作場合的移動(dòng)技術(shù)。FitBit和Pebble Watch只是這個(gè)明顯趨勢的另外兩個(gè)例子:許多員工也許很快就會(huì)表現(xiàn)出自己不僅攜帶多種設(shè)備(其中很多都能連上互聯(lián)網(wǎng)),而且甚至還把它們穿上。隨著需要應(yīng)付的設(shè)備越來越多,數(shù)據(jù)隱私、安全和治理影響不能忽視。
最后,今年早些時(shí)候,安全公司開始重新思考其數(shù)據(jù)安全模式。有些公司已經(jīng)發(fā)布了BYOD相關(guān)的最終用戶保護(hù)計(jì)劃。這些計(jì)劃的前提與保護(hù)個(gè)體設(shè)備關(guān)系不大,更多的是保護(hù)個(gè)體用戶及其所有設(shè)備。這一全面的方案是合理的、明智的。預(yù)期許多安全公司會(huì)跟進(jìn),公司在制定BYOD政策時(shí)應(yīng)該考慮這些解決方案,以及相應(yīng)的數(shù)據(jù)安全流程。
實(shí)施安全的BYOD政策并不容易,而且制定預(yù)算也很難。這是因?yàn)橛?jì)算BYOD精確的ROI純屬徒勞之舉,尤其是在實(shí)施中考慮BYOD相應(yīng)帶來的成本節(jié)省與為了保證數(shù)據(jù)安全而必須追加的投資那些變數(shù)時(shí)。
組織必須仔細(xì)考慮BYOD對數(shù)據(jù)安全、治理及合規(guī)性的影響,計(jì)劃實(shí)施時(shí)保持靈活性至關(guān)重要。新技術(shù)總會(huì)層出不窮,員工總想把這些新玩意兒帶到工作當(dāng)中。確保他們這么做時(shí)不會(huì)讓敏感的公司信息泄露。