BYOD究竟优劣与否,应该可以说是一种很复杂的情结,因为站在不同的立场会有不同的观点。首先从员工的观点说起,BYOD的优势是最显而易见的,使用自己喜爱或习惯的设备,想当然尔必能提高工作上的生产力,而且也能更弹性的安排时间,甚至能营造出“移动办公室”的实质效果。
特别是针对高阶主管、出门在外勤跑客户的业务人员,以及进客户机房比进办公室频率高的技术人员,“移动办公室”相信是个很值得喝彩的效益。再者,对于公司职务或观念趋向财务导向的人员如CFO等,公司相较之下省去了采买设备的成本。BYOD的观念一旦萌生,即便公司依旧采买并提供设备,员工未必会有想用公司设备的念头,即使用了也未必是其心目中适用好用的设备。照上述的观点听起来,BYOD好像是个必然“双赢”的概念。
谈完BYOD的优势,再来谈谈BYOD的劣势或缺点,但是笔者并不想着眼于“劣势”或“缺点”,因为其实这个面向在BYOD的架构下都可以用两个字代表,那就是“风险”。对于CIO或其他网管人员而言,BYOD的存在可能会是个梦魇。在操作上,CIO及网管人员必须从支援单一使用者界面系统,如Microsoft Windows转向支援多重使用者界面系统,象是又加上了Android、iOS等,这是技术资源消耗上的风险。
此外,信息安全上的风险则是评估BYOD时的重点,毕竟BYOD是移动式设备,是双重以上场合共享设备,CSO、CEO可能都曾为了BYOD伴随而来的资安问题头痛过。另外,千万别忽略了“兼容性”的问题,或许称之为“衔接性”比较洽当,例如公司应用软件的客户端程序,并没有办法延伸到全部或部份BYOD的设备上;或者是部署上有难度;又或是档案同步很难百分之百实现。总之“无缝衔接”无庸置疑的确实是一大挑战。
可能会有些较为传统的领导者或经营者会认为,BYOD这种方式可能让某些员工浪费工时在玩乐上。然而现代雇佣关系,其实已经较倾向于“合作模式”,而非传统的“指挥模式”。既然模式已逐渐改变,而合作的一方又多半倾向于BYOD自带设备,那么另一方又为何不乐观其成,索性建立可接受的游戏规则呢?如何制订符合企业特性及需求的BYOD策略,以下是几点步骤建议:
指派专人
建立BYOD策略首先是指派专人或团队小组管理。BYOD是因应人的特性而产生的观念,众人想要将自己善用惯用的设备彻彻底底的融入到自己生活中的每一吋,包含工作上。专人或专队管理当然是一个良好的开端。这个专人(队)需要评估目前企业内部的BYOD现况,需要有效的计划目标,需要发展制订策略,需要后续保持长期的运作。
了解市场概况与定义BYOD目标
其次,建立BYOD策略必先了解现今市场概况,然后定义企业或组织的BYOD目标,当然这个目标要与企业组织的整体目标相连系。例如维修部经理使用行事历软件来分配叫修任务,而同时企业的服务器也会自动排订每月的例行维护任务,那么这两者一人一机的指示就要能够整合发布于行事历上,BYOD的使用者也能轻易的随时用任何设备浏览及操作此行事历。
定义可接受方式
定义是否有需要排除的使用范围,也就是定义可接受的使用方式。例如极度机密资料是不被允许用BYOD设备存取的。
风险评估分析并建立相关的因应措施
一般而言,BYOD会涉及的风险可能包含了五大项:识别与存取控制(Identification & Access Control)、资料保护(Data Protection)、应用程序安全(Application Security)、完整性控制(Integrity Control)及规范与法务(Compliance & Legal)。
建立流程
有效率的流程才能创造出高产值。流程为组织内部不连续的部份做出了充份的沟通。举例而言,当一个新人到职后,BYOD的专人(队)应该经过一个被通知的流程,进而设置使这位新到职员工的BYOD移动装置能与公司的系统及网络相连结,并且安全性的政策(Policies)能够同时套用上。反之亦然,当员工离职时,让相关的Policies、相关的逻辑物件等等都能够失效或失去连结。
资源规划
资源是指在BYOD的策略中所有的元件,包含了各种供使用的IT软硬件工具及服务,部署各个工具服务的人员须依照其需求性和依存性,让各个存取资源的使用者及使用者群组和资源之间产生一定的规则。
教育训练
BYOD相关的教育训练应该是持续而定期更新的,就和信息安全认知(Security Awareness)类似。所涉及的层面可能包含了策略、流程、操作使用,当然还有最重要的就是安全性等等。要获取最有效益的教育训练成果,不外乎就是让接受教育训练者认同到这一切是和自身息息相关的。例如让受训者了解到万一BYOD的保全不周,导致资料外泄非但会揭露公司的机密性,亦会因个资被窃而损害到员工个人的权益。
重复检视BYOD策略
BYOD的领域包含了设备、软件、中间件(Middleware)、云端服务元件等等,包含的领域不但广阔而且都是属于快速演进发展的科技概念。一个企业或组织在历经过了本段所描述的Step 1 到 Step 7过程之后,BYOD的专员或专队很有必要定期或因事件性的重复检视并更新BYOD策略。
解决方案及整合商
不管接不接受、喜欢与否,BYOD正一步步的走进我们的生活,伴随而来的问题即是上一段所提到的策略建立及其背后隐含的管理方式。想要建构一套合适的BYOD管理方式,除了建立特色的BYOD策略之外,还有整合性工具的使用及整合系统商的选择。
整合性的工具或解决方案,举几个常见的例子,包含了MDM(Mobile Device Management)、Endpoint Security、NAC(Network Access Control)、Endpoint Virtualization、MCM(Mobile Content Management)、VDI(Virtual Desktop Infrastructure)等等。
MDM解决方案应该是对BYOD手持式移动设备最立即有效的管理及风险控制方式,也是个较为全面性的技术控制项目。依各家产品的不同,其可能满足客户加密、身份管理、安全性清除资料、手持式移动设备监控等等。
Endpoint Security和NAC在无线网络开始兴起的时期就已充斥整个IT营销市场,当然也是因为有其存在的必要性。而随着BYOD的推波助澜,客户对此二类型产品的需求必会有增无减。 Endpoint Security产品主要是延伸到端点(使用者端)的安全性措施,包括了防毒、Anti-spyware、IDPS、DLP之类。而NAC则是对设备接入时的安全性控管,当然对BYOD设备风险控制也有一定的助益。
Endpoint Virtualization与BYOD结合的重点,应该会归纳于一个区隔性的概念。包括应用平台的区隔、资料的区隔、个人性与公务性使用的区隔。
VDI,算是一个将各式桌面环境集中管理的好想法。非但提供了BYOD手持式移动设备一个好的操作互动,也顺带的迫使敏感资料停留在集中区域内。
至于整合BYOD技术的系统整合商,包含前文提及的BYOD策略与各类整合性工具及解决方案的套用,笔者猜测这很快又会是所谓的SI(System Integrated)厂商的角力战场。选择配合恰到好处的SI,也会是企业IT的安心依靠。
若要评估成功的IT整合技术,不外乎于对三大元素的熬炼,这三大元素包含了Engagement、Delivery、Trouble Shooting。好的Engagement能力靠的是“眼界”,当然要有丰富的知识才会有宽阔的眼界;好的Delivery能力靠的是“组织力”,当然要条理分明才会有缜密的组织力;而好的Trouble Shooting能力靠的是“耐心”,冷静的思维才是耐心的泉源。
展望
然而这样就结束了吗?其实不然,总觉得BYOD这个观念会象是自己带着自己的水杯去上班或是自己带着自己的环保筷出去用餐一样的蔓延。同理可证,职场人员无论是资方或劳方,在可见的未来要迎接的应该不只是BYOD,诸如BYOS(Bring Your Own Software)、 BYOT(Bring Your Own Techniques)大概也都在我们前方不远处闪烁着。
了解市场概况与定义BYOD目标
其次,建立BYOD策略必先了解现今市场概况,然后定义企业或组织的BYOD目标,当然这个目标要与企业组织的整体目标相连系。例如维修部经理使用行事历软件来分配叫修任务,而同时企业的服务器也会自动排订每月的例行维护任务,那么这两者一人一机的指示就要能够整合发布于行事历上,BYOD的使用者也能轻易的随时用任何设备浏览及操作此行事历。
定义可接受方式
定义是否有需要排除的使用范围,也就是定义可接受的使用方式。例如极度机密资料是不被允许用BYOD设备存取的。
风险评估分析并建立相关的因应措施
一般而言,BYOD会涉及的风险可能包含了五大项:识别与存取控制(Identification & Access Control)、资料保护(Data Protection)、应用程序安全(Application Security)、完整性控制(Integrity Control)及规范与法务(Compliance & Legal)。
建立流程
有效率的流程才能创造出高产值。流程为组织内部不连续的部份做出了充份的沟通。举例而言,当一个新人到职后,BYOD的专人(队)应该经过一个被通知的流程,进而设置使这位新到职员工的BYOD移动装置能与公司的系统及网络相连结,并且安全性的政策(Policies)能够同时套用上。反之亦然,当员工离职时,让相关的Policies、相关的逻辑物件等等都能够失效或失去连结。
资源规划
资源是指在BYOD的策略中所有的元件,包含了各种供使用的IT软硬件工具及服务,部署各个工具服务的人员须依照其需求性和依存性,让各个存取资源的使用者及使用者群组和资源之间产生一定的规则。
教育训练
BYOD相关的教育训练应该是持续而定期更新的,就和信息安全认知(Security Awareness)类似。所涉及的层面可能包含了策略、流程、操作使用,当然还有最重要的就是安全性等等。要获取最有效益的教育训练成果,不外乎就是让接受教育训练者认同到这一切是和自身息息相关的。例如让受训者了解到万一BYOD的保全不周,导致资料外泄非但会揭露公司的机密性,亦会因个资被窃而损害到员工个人的权益。
重复检视BYOD策略
BYOD的领域包含了设备、软件、中间件(Middleware)、云端服务元件等等,包含的领域不但广阔而且都是属于快速演进发展的科技概念。一个企业或组织在历经过了本段所描述的Step 1 到 Step 7过程之后,BYOD的专员或专队很有必要定期或因事件性的重复检视并更新BYOD策略。
解决方案及整合商
不管接不接受、喜欢与否,BYOD正一步步的走进我们的生活,伴随而来的问题即是上一段所提到的策略建立及其背后隐含的管理方式。想要建构一套合适的BYOD管理方式,除了建立特色的BYOD策略之外,还有整合性工具的使用及整合系统商的选择。
CIO之家 www.ciozj.com 公众号:imciow