这里Gold会继续谈及目前流行的BYOD与IT消费化趋势。对于那些可以帮助管理移动设备的工具,CIO们应该主要关注哪些?这些工具真的只是管理移动设备,还是更多地管理应用程序和数据?
Gold:公司应该首先制定一个访问策略。从构建一个用户级别的矩阵开始。特定级别的用户,比如经理,可以访问所有文件,所以他们需要最高级别的安全等级,最大限度地保证他们的设备和应用程序安全。低级别的员工可能只需要收取邮件,所以花费的精力要根据级别有所区分。
最为关键的是,不要像我们过去那样只是关注移动设备管理,那只是从资产管理的角度出发。要关注于设备上的数据:没有发生变化的数据、可用的数据和你将如何进行保护。关注从网络、VPN和加密通道进行传输的数据。关注于应用:谁在设备上创建和使用这些数据、如何进行使用。最后,以矩阵的方式进行实施以便其可以适用于所有不尽相同的数据。这是首要的。
其次是保证这些对于用户来说是透明的。你现在尝试的是部署工具和技术,所有这些都可以用三个字母的缩略词表示——MDM、MAM、MIM——不论碰巧发生什么,都不要从这些角度进行思考。要从以下的角度仔细思考:“我已经应用了策略,我已经成功地管理了许多用户,也成功地管理了许多设备,只有这时,我才明白我应该使用透明技术来重现用户所面临的问题,而不必将用户加入到流程当中。”坦率来说,如果你依靠终端用户来做这些事情,他们将会找到应付你的办法。大多数的最终用户不希望被打扰。这必须是一个对于用户透明的技术,由策略驱动的,适合多种用户使用模型的技术。
现在用户对于IT有很多自己的想法,但是安全是IT的工作。
你觉得携带私有设备(BYOD)和IT民主化(一些人称其为IT消费化)怎么样?它们是否能从一个新的视角来考虑哪些需要进行管理和如何实现安全?
Gold:这绝对是一个新视角。我更愿意称之为民主化而不是消费化,因为其不仅仅是一项关于消费者的技术。当然一部分上是,但其也包含了对于企业的影响。它是IT的民主化,其现在所做的是迫使公司和公司内的IT部门对于最终用户一视同仁,还有其他一些事情。在调查中我们发现三分之二的移动解决方案并不是由IT部门驱动或者支付的,而是由业务部门或者是最终用户进行承担。民主意味着这些人在公司的事物当中拥有大量话语权。
IT部门还应该占据主要的角色,特别是在安全方面,因为他们应该告诉用户哪些是可以接受的,而哪些不能,可能面临哪些风险。大多数用户只会想到使用应用程序来完成他们想做的事情。所以IT部门需要和他们交流,让他们明白哪些可以实现,哪些不可以以及原因。IT部门需要像合作伙伴那样对待业务部门里的最终用户群体。这是合作伙伴关系。业务部门将会决定使用什么来完成他们的工作。成为建议者还是合作伙伴由IT部门决定,“我们可以做这些,但是会存在风险,会存在安全问题,会有支持问题,会产生相应的花费。如果你从其他的方面进行,我们可以提供帮助,这样不会有这么多安全隐患并且也可以减少花费”
BYOD和民主不应该被简单地视为IT摆摆手说“我们什么都不能做”。它可以改变组织中的角色,但是对于维护来说,IT还需要扮演非常重要的角色。
你是否有一本安全或最佳实践目录,以帮助CIO管理这么多种类型的设备?
Gold:我们推出了许多针对移动安全的白皮书。其中一本是“7步实现企业需求:移动安全”,通过邮件或者访问我们的网站www.JGoldAssociates.com都可以进行获取;还可以发现其他的内容。但是并没有一本适合于所有的组织的目录。移动设备是一种通过不同方式、应用于不同组织的技术,所以每家公司都需要进行思考。这是一个不错的起点,我很高兴把这些材料发送给给位听众。
CIO之家 www.ciozj.com 公众号:imciow