智能手机在2000年代末获得发展动力时,大部分组织尚不清楚BYOD的构成,也不知道它对数据治理和安全会产生什么影响。然而在过去3年,许多IT不得不放弃。如果缺乏普遍性,不能令人惊叹,今天的技术将一无是处,而到2015年可连接无线设备的数量将会翻3番。因此,许多组织已经放弃有关员工上班时哪些设备可以带哪些设备不可以带的规定。
如果应对得当的话,BYOD计划可以为公司带来好处。时间是很紧迫的,BYOD节省出来的时间有可能是非常巨大的。首先,IT不再需要提供手机了。不过跟其他趋势一样,这种好处必须与实实在在的坏处放到一起权衡。BYOD会带来独一无二的数据安全威胁,同样也会给IT员工带来负担。
不论好坏,BYOD已经成为现实。这也不仅仅是发生在私营企业当中的趋势。政府机构显然有许多数据治理和安全方面的问题要对付,但这并没有阻止他们搀和进BYOD之争。
在面临这些数据治理与安全担忧时,CTO能做是什么?他们可以引领潮流、可以跟随脚步,也可以避而远之。在实施BYOD政策的同时,维护数据隐私和安全并不简单,在企业范围内有效部署移动化方面还有许多需要考虑的事情。
了解业务环境
欧洲政府长期以来一直在推动重视数据隐私的重要性—甚至比美国企业还要重视的多。欧盟的《数据保护指令(DPD)》溯源起来要回到1980年代,代表了执行数据隐私和安全标准的早期努力。未来几年之内,DPD将让位于一般数据保护规程(General Data Protection Regulation,GDPR)。在欧洲开展运营的企业在制定一定战略时必须考虑这些规程,以确保监控个人设备活动时没有侵犯隐私。
与欧盟相比,迄今为止,美国政府尚未通过一项统一的数据保护法律—而且这件事情看起来似乎也不会很快发生。相反,美国采取了更具行业针对性的办法来进行数据保护立法,每个行业必须制定并执行自己的规程。
在实施BYOD计划时,这些规程必须是首要的,但因为美国不同行业规程的差异,在合规性方面无法做到一体适用。比方说,在将近20年的时间里,健康保健组织都得跟1996年的《健康保险可携性和可归责性法》打交道。该法案要求健康保健组织保护病人数据免受非法应用、恶意软件及信息威胁的侵犯。
另一方面,在金融行业,其监管又是另一番不同的光景。尽管萨班斯法案并没有提及数据保护,但在组织应该如何描述数据安全责任方面已经有了很多的分支。
愚蠢的是一个行业中的组织任意地将自己的BYOD政策构建在对另一个不相关行业有效的规程基础之上。组织必须仔细检查适用的行业相关规则,然后形成移动相关的数据流程来确保存放在个人设备上的公司信息能按照这些监管措施正确存储、维护并最终处理好。
了解员工
在此,部署BYOD政策时,有一个问题需要组织考虑:公司员工是以千禧一代为主还是以婴儿潮一代为主?统计数据表明,前者更有可能把最新潮的设备带到公司来。
考虑两家员工规模相当的公司:公司A有一个稳定、成熟的员工队伍,平均任期达12年。公司B有一只流动率高的员工队伍,以千禧一代为主,其平均任期是3个月。我的看法是A公司对正式BYOD政策的需求要比B公司高得多。A公司成熟的员工队伍意味着他不需要严厉的规则与规定。
另一个重要的问题是企业IT控制应该聚焦于设备上还是用户上。这是一个有趣的问题。Google Glass普及也许有待几年的时间,但可穿戴技术已经扎根,会显著影响到工作场合的移动技术。FitBit和Pebble Watch只是这个明显趋势的另外两个例子:许多员工也许很快就会表现出自己不仅携带多种设备(其中很多都能连上互联网),而且甚至还把它们穿上。随着需要应付的设备越来越多,数据隐私、安全和治理影响不能忽视。
最后,今年早些时候,安全公司开始重新思考其数据安全模式。有些公司已经发布了BYOD相关的最终用户保护计划。这些计划的前提与保护个体设备关系不大,更多的是保护个体用户及其所有设备。这一全面的方案是合理的、明智的。预期许多安全公司会跟进,公司在制定BYOD政策时应该考虑这些解决方案,以及相应的数据安全流程。
实施安全的BYOD政策并不容易,而且制定预算也很难。这是因为计算BYOD精确的ROI纯属徒劳之举,尤其是在实施中考虑BYOD相应带来的成本节省与为了保证数据安全而必须追加的投资那些变数时。
组织必须仔细考虑BYOD对数据安全、治理及合规性的影响,计划实施时保持灵活性至关重要。新技术总会层出不穷,员工总想把这些新玩意儿带到工作当中。确保他们这么做时不会让敏感的公司信息泄露。
原文发布时间为:2014年07月16日