不要太過樂觀!看看這些BYOD帶來的現實問題
譯文Erik Greenwood表示暑假的結束常常意味著惡意軟件肆虐的季節即將來臨
【51CTO專稿】大家不妨想象一下這樣一家企業,每位員工都能在一年中得到連續數月假期。聽起來像是在做夢,但隨著BYOD時代的來臨,這完全有可能成為現實,并且成為IT管理者最恐怖的噩夢。
阿納海姆聯合高中學區(簡稱AUHSD,其中包含加州21所學校以及33000名網絡訪問用戶)CTO Erik Greenwood表示,暑假的結束常常意味著惡意軟件肆虐的季節即將來臨。
教職員工們在悠閑的夏日中隨意瀏覽網頁、自由點擊鏈接、毫無顧忌地打開電子郵件附件并很少對軟件進行更新,Greenwood指出。如此一來,當員工帶著自有設備返回校園時,病毒也將尾行而至。
有一種病毒會強迫學區整套郵件系統進行全面重新安裝及更新。而在另一次狀況下,學區的IT部門不得不“隔離并斷開子網,借以嘗試對病毒加以定位,”Greenwood無奈地表示。
每次意外狀況的出現都導致技術部門拿出額外的“數百個小時”進行處理,他解釋道。“我們本可以把這部分時間和精力用在更具建設性的新項目上,但現在卻不得不用來處理爛攤子,”Greenwood補充稱。
Greenwood接下來又聊起網絡訪問控制話題。“我們遭遇到一種特定病毒,現有殺毒軟件在對其進行查殺以防止大規模爆發時面臨著嚴峻挑戰,”Greenwood表示。“而且我們已經開始將網絡訪問控制視為基礎設施中的必要組成部件,這不僅是為了解決員工帶來的安全隱患,希望在校園網絡中使用自有設備的新生也是我們關注的重點。”
但安全還不是Greenwood關注的惟一對象。他回憶稱學區網絡曾多次被惡意設備弄到崩潰——一所學校無法為接入設備提供足夠的IP地址。還有一回,一臺接入網絡的惡意設備開始取代DHCP服務器進行運作,成功將學區內的真正DHCP服務器擠到一邊并接手了IP地址的分配工作。
該學區部署了一套來自Bradford網絡公司的網絡訪問控制方案,并通過自定義調整讓這套方案適應學區的獨特需求。目前校區網絡需要接納來自一萬兩千多臺設備的訪問流量——對象從PC到打印機一應俱全——并需要有能力容納由外來設備接入所引發的流量波動狀況。
Greenwood指出最初這套方案只針對應用層,而后又將通信應用涵蓋了進來。該項目涉及到設定政策、限制哪些用戶可以通過哪些設備訪問網絡以及允許用戶訪問哪類內容等等。由于移動市場中新應用與內容交付格式始終處于變化之中,Greenwood表示他已經開始采取更加嚴格的規定,并通過擴展讓這些規定始終與用戶可能出現的新需求相契合。
“由于我們的規模仍在不斷擴大,因此系統對于帶寬的占用與爭奪也在持續加劇,”Greenwood表示。“這種趨勢無法改變,因此我們必須努力發展自身網絡,這將成為一項長期而艱巨的挑戰。”
#p#
失物招領
Greenwood并不是惟一一位肩負BYOD后續困擾的管理者。非營利組織人類發展資源(簡稱RHD)CTO Endre Walls也指出,員工個人智能手機丟失的現象屢屢發生,由于這些手機很可能通過業務賬戶進行后臺信息同步,這就使得許多重要數據面臨泄露的風險。
“設備丟失對我們來說顯然是個很大的安全問題,因為如果用戶在我們的MDM及管理政策實施之前就在移動設備上使用了業務郵件,那么由該設備發起的訪問活動將無法被有效監控,”Walls指出。“這對我們來說始終是個老大難問題。很多情況下我們需要通過講解幫助用戶將兩種情況結合起來進行理解——首先,我丟了設備;其次,這對于整個機構而言是個潛在的隱患:二者其實是一回事。”
但幾乎沒有多少丟過設備的員工會想到把情況匯報給IT部門,即使在設備已經與企業應用自動同步的情況下也是如此。對于這類員工,我們幾乎不能指望他們會在個人設備上設置驗證及解鎖機制,“因為沒有哪條政策會事無巨細地提醒員工‘為手機設定PIN碼’,”Walls解釋道。
“在軟件與相關政策落實到位之前,大家往往會花幾天時間進行討論,但卻根本不知道究竟會發生哪些意外情況,”Walls表示。
RHD目前已經有能力對員工個人設備上的業務數據及應用進行遠程清除,如果員工本人允許,管理者甚至能夠徹底清除設備上的所有資料。同樣重要的是,IT部門的所有員工都清醒地意識到,任何能夠與企業應用同步的設備——無論它屬于誰——都需要在丟失時得到嚴格而及時的處理。
然而,員工們的設備即使不發生丟失,也同時有可能將敏感業務數據泄露出去。MDM供應商MobileIron公司戰略部門副總裁Ojas Rege告訴我們,很多消費級設備會針對云端文檔的開啟、查看與保存進行優化。由此引發的風險可能根本不會引起消費者的絲毫防范。
“iPad上引發數據丟失的首要根源就是郵件附件,”Rege表示。“因此從傳統意義上講,當我們在iOS系統中使用電子郵件并點擊附件時,系統會自動將所打開的文檔信息保存在云端并展示給設備的所有使用者。因此只要我們點擊一下Dropbox,業務數據就已經面臨丟失風險了。每個郵件附件的泄露很可能都源于用戶的輕輕一點。”
當然,這些嚴峻問題已經引起了IT管理者的重視,技術團隊會抓緊部署移動設備管理、網絡訪問控制或移動數據保護軟件。不過要想部署軟件,首先得創建一套策略,而策略本身也會帶來安全風險。
#p#
法律問題
MobileIron公司客戶咨詢服務部經理Ann Marie Cullen指出,法律問題應該成為任何一家有計劃推出全新BYOD方案的企業所考慮的首要內容。Cullen與MobileIron公司的客戶們直接接觸,并幫助他們制定推出移動規劃的具體方案。
“我們看到客戶最常犯的一大錯誤在于沒有將確切的利益相關者納入到計劃制定中來,”Cullen指出。“因此他們需要借助外界IT資源,并由此引發了法律、人力資源、財務及項目開發合規性等一系列麻煩。”
在列舉的一個實例中,Cullen發現某個IT部門已經及時完成了策略的構建工作,但卻在著手部署之前被法律部門緊急叫停。
“這個項目給企業帶來太多責任負擔,因此IT部門不得不重新返回草案階段并在法律人士的介入下二次規劃,”她指出。
盡管這種回爐事件令人沮喪,但法律團隊的介入對IT部門而言未嘗不是一種幸運。在2012年《今日美國》發布的一份報告中,調查人員發現針對薪資及工作時長的訴訟案件數量從2008年到2012年增長了32%。員工們在家中通過個人智能手機訪問業務信息及應用的行為突然變成了加班活動,由于從未因此獲得經濟補償,很多人不惜將企業告上法庭。在去年的一次案件中,某位醫藥銷售代表甚至將東家告上了最高法院。
隱私問題也成為一大困擾。任何一款GPS監測應用,尤其是能夠追蹤員工位置的應用,都很可能從法律角度引發嚴重糾紛。Rege認為,任何一家尊重員工隱私的企業都應該提前將責任劃分清晰。
“用戶可能會擔心‘IT部門會不會看我的私人照片,或者讀我的短信內容,’”Rege表示。“其中很多顧慮從技術角度上看根本不存在。雖然不屬于技術問題,但這卻成為企業與員工之間的一層重要隔閡。”
另一項更具技術氣息的難題在于,企業該如何在合理范圍內使用遠程數據清除功能。設備丟失造成威脅,最常見的解決方案自然是采用遠程數據清除工具。它允許管理者將被員工遺失的設備中的所有數據加以刪除并關閉。在企業用戶大規模使用黑莓產品的時候,這項工作進行得非常順利,但在使用個人手機的員工群體中卻也引發過不少現實問題。
去年在組織家庭假期旅行時,Mimecast公司CEO Peter Bauer五歲大的女兒意外拿到了他的iPhone。他一直以來都使用這臺設備進行拍照并處理業務信息。悲劇的是,他的小女兒連續五次辦理錯了PIN碼,由Bauer親自批準的MDM方案毫不留情地發揮作用,把設備上的照片和數據一股腦刪了個精光。
雖然多數IT部門都傾向于只清除設備上的業務數據,但Bauer認為企業最好還是采取全部清除的方案,因為員工常常會把會議上的板書或演示報告中的屏幕內容直接拍照保存。在這種情況下,部分清除可能會遺漏掉移動設備上的某些敏感信息。
Bauer的遭遇雖然非常罕見,但它卻反映出了我們在制定BYOD策略時進行主動溝通的重要性。每家企業都有自身的特殊情況,這就需要以與眾不同的方式解決移動性難題。尤其是在處理與員工個人財產方面,溝通與反饋是實現成功部署的關鍵。處理BYOD事務時,IT部門不應懼怕變更自身在企業中的角色定位,Rege指出。
“一拍腦門就喊出‘我要給用戶更多自由空間、我要專注于培訓和溝通’根本不會IT部門任何實質性指導,”他解釋道。“我知道很多IT部門由于不了解如何設定條條框框而顯得步履維艱,但他們會在實踐中逐漸摸索出經驗并找到明確的執行方針。”
事實上,Walls認為BYOD戰略對于他的IT部門而言是個很好的機會,技術人員可以介此與機構中的其它部門開展前所未有的協作與交流。這種與IT部門之間的親密友誼在前BYOD時代幾乎是不可想象的,正是這種協作關系才能幫助整個機構免受移動員工所帶來的意外困擾。
“這正是安全意識、用戶培訓與交流溝通如此重要的原因所在。我認為無論怎么強調都不過分,”Walls補充道。“這是我第一次面對如此重要的戰略性專業機遇,我認為成功打造起BYOD運營體系將給企業帶來遠超過其它環境的優勢執行效率。”
