企业制定BYOD策略时须考虑的七大要点

企业制定BYOD策略时须考虑的七大要点

无论企业喜欢与否，“自带设备”(BYOD)趋势已然成了气候。据Juniper研究的调查，在工作中使用自带智能手机和平板电脑的员工人数到2014年将会增长一倍多，达到3.5亿人，今年的使用人数为1.5亿。

但如果你的企业和大多数企业一样的话，那就有可能尚未针对抵御BYOD的风险制定正规的策略。由安全意识培训公司KnowBe4和咨询公司ITIC联合进行的一份最新调查发现，有71%的企业允许使用BYOD，但尚未制定特殊的策略或程序以确保安全。

Nucleus研究公司首席分析师Hyoun Park认为，“企业必须要有某种基于策略层面的控制，要有某种文档、合约责任或者规章制度。”BYOD策略应当像员工必须签署的很多企业文档一样，规范清楚员工的责、权、利，以及员工们必须遵守的规章制度等。

有员工签字的策略合约还能授予企业以保护自身的权利，即在员工的移动设备出现被盗、丢失或误用的情况下采取必要措施的权利。“企业不能简单地擦除设备上的信息了事——因为这样做可能是违法的，”Park说。“在个人和企业之间必须要签署某种形式的协议才能这么做。”

Gartner研究副总裁Paul DeBeasi认为，必须要考虑的一些问题“应该像层层剥笋一样去思考”。“企业打算让员工利用自带设备连接企业级应用或者存储敏感信息吗?如果是，那么企业该如何控制这些设备?如果有员工把他的旧版本设备如旧版的iPhone给了他们家孩子或者在eBay上卖掉了，企业该如何控制，该怎么处理?”

所有这些问题都需要企业落实到纸面上，确定员工可以做什么，不可以做什么，并要求员工在上面签字。“这是启动BYOD计划的第一步，但很少有企业已经做好了这一步，”美国市场咨询公司J. Gold Associates创始人兼首席分析师Jack Gold说。

下面所列就是制定任何BYOD策略均须加以考虑的七大要点。

1、先策略，后工具

DeBeasi认为，企业容易犯的最大错误就是在制定BYOD策略之前就迫不及待地去购买移动设备管理(MDM)工具了。“出去买个工具回来十分容易，但工具必须是为了贯彻策略的。”

举例来说，并非所有的MDM系统都能为每一类移动设备(安卓、黑莓、iPhone等)提供相同的功能性。每种MDM工具都有其局限性——它们虽然可以管理设备、数据和应用访问，但却无法涵盖网络接入或费用管理，Park说。

2、企业“有权擦除数据”

BYOD的最大风险可能就是，一旦设备丢失或被盗，企业的敏感数据便会泄露。这也是为什么大多数企业制定的BYOD策略要求密码控制、设备锁定和加密，以及在特定情形下(如员工被解雇)有权远程擦除设备上的数据。有些企业会选择可区分设备上的业务数据及应用的管理技术，可根据企业的合规策略，选择性擦除必须擦除的数据。其他企业则选择擦除设备上的所有数据，其中可能还包括员工的个人数据。“如果你删掉了我们家孩子的300张照片，有可能会引来一场官司，除非员工签名认可这一策略，”Gold说。有些企业的策略更进了一步，只要移动设备被认定违背了企业制定的策略，就要执行远程擦除。

3、员工的责任

DeBeasi说，员工需要了解他们应承担的责任，例如需要满足最低要求的软硬件规格。不然的话，当企业需要推出某个企业级iPhone应用时，该应用在旧版本的iPhone上可能会跑得很慢。“企业可能得要求员工购买iPhone 4、4S或5，如果员工不升级，他们就无法获得新的应用。”美国麻省Needham Bank的IT副总裁James Gordon说，保证最低规格的另一个原因是可以保证所有设备同步打补丁。有些企业的策略则规定，如果某人的设备版本不符合规定的话，其移动接入就会自动被关闭。

4、可允许的行为

在移动设备上哪些行为是允许的，哪些是禁止的，策略必须明确。常见的限制包括下载企业文档的规定;限制网络或应用访问的规定;使用设备所带相机和USB端口的规定;设备越狱的规定;以及应用和网站的黑白名单等。限制访问的一些网站包括Dropbox和iCloud。虽然企业还可限制访问社交网站，但Park告诫称，对员工的个人功能限制过多可能会挫伤员工使用移动设备的积极性。

Gordon的MDM工具会在员工违反策略限制时示警，并禁止其接入，直到他们采取纠正行为为止。但是MDM工具无法强制执行所有的限制规定，例如禁止使用设备上的相机和网络接入。

5、可允许使用的设备

很多企业的策略没有限制可以使用哪些设备，但是Gold建议，企业应依据降低支持成本，执行安全控制的原则对可允许使用的设备进行规定限制。他认为，企业最起码也应该考虑不同类型设备的分层次使用原则。例如黑莓可以访问企业级应用;iPhone和iPad只能使用邮箱，上网浏览;而安卓则只能使用邮箱。“应该告诉员工为何要如此规定，这样他们在选购设备时也可作出明智的决定。”

6、谁提供支持?

有些企业规定，既然员工的设备自带，那他们就应该自己承担设备失灵的责任。Park认为，企业花在设备支持上的时间会损害生产力。“花半个小时拨打IT求助电话，企业就有可能损失数百美元。”

DeBeasi则建议责任分担。“如果企业自己开发的应用出了问题，或者思科的VPN客户端出了问题，那员工理应电话求助。但如果是硬件问题或者任何与业务无关的问题，那员工就自己去找苹果的天才吧解决。”

DeBeasi建议，无论采取哪种方式，策略都必须明确区分责任。企业可能需要考虑建立自我支持知识库和社区论坛，在内部网的门户上或SharePoint网站上发布。策略规定还需要澄清哪些情况提供支持的，哪些情况不提供支持。

7、谁来付费?

当企业要正式制定BYOD策略时，有关设备和后续使用费用账单的问题就会出现。“有了4G服务，千兆容量的下载非常轻松——那么谁来支付下载费用?”DeBeasi说。如果大多数下载都是与业务相关的，那么员工可以指望企业来支付费用。有些企业可能会设定一个费用上限。无论哪种方式，付费的细节必须在策略中做出明确规定。

Park指出了三种通用的选择：不报销;每月报销部分费用;一次性或持续发放补贴。企业也可以对不同级别的员工提供不同类型的费用计划，例如有些可以全报，有些只报销部分费用。

尽管BYOD可能导致企业系统瘫痪的因素多多，但最重要的还是要采取行动。DeBeasi说，“企业必须站出来，及时制定出一些简单的策略，哪怕是不完美的策略。更重要的是，BYOD是一件体验性的事物，而不是需要分析各种可能的因素之后便可一举成功的事物。”