随着BYOD以及BYOA的不断升温,都对企业CIO们的管理方法和理念提出了新挑战。正如马基雅维利在1532年所说的那样:“没有什么比负责引入事务的新秩序,更困难,更冒险的行为了,而它的成功也有更多的不确定性。”现在很多企业都在迎接移动化时代带来的各种不确定性。
站在企业文化的角度来看,BYOD改变一个公司的技术价值,从“.....我使用公司提供的设备,按规定使用,......”变化为“......只要我的用法是(大部分)与企业的政策和程序保持一致,我就可以随时随地,用我想要的方法使用设备......” 类似于远程办公带来的文化和社会影响,我们的企业和个人生活之间的界限变得更为模糊。 高效地,安全地访问和使用企业的资产和资源的责任,从传统上以IT部门为中心,以及附加一些员工义务,转变为更多由企业与员工之间共同承担的责任。这些文化和社会的变化,已经远远超出IT部门的覆盖范围,为了更好的管理,必须被看作是一个企业的责任。
另一方面,从运营模式角度来看,访问企业资产和资源的责任从“企业...支付,拥有和支持......”变化为“......主要由员工支付,拥有并支持。” 重要的是,企业的防火墙边界已经从终端转移到网络。显然,整个企业的网络,应用程序和数据管理能力的网络和信息安全体系架构在设计和实施时,都必须发生重大改变。因为员工的设备是受企业控制的,所以员工以电子方式访问企业(本地或远程)就是“安全的”假设,将不再是顺理成章的。
因此,全面的BYOD治理路线图必须包括目的,目标,价值,运营方针,政策,流程,标准和准则,并涵盖所需的文化和运营模式的变化范围。该路线图应该小心权衡设备管理策略,在执行时要注重良好的用户体验。下面我们根据ISACA Journal2013年发表的“企业中的BYOD整体方案”总结出几个要点:
1. 确定关键利益相关者,并使他们参与其中。客户,IT,人力资源,市场营销/销售,法务,管理/运营委员会,有时甚至包括董事会都应该参与进来,以确保整个企业的要求适当的得到完全阐明,理解和囊括。
2. 明确制定一个可持续发展的BYOD政策。该政策的主要内容应包括,例如:识别企业和个人的敏感信息,私有信息; 资产所有权成本的管理; 提供良好的(也许是区别对待的)用户体验; 随着技术或法规的变化,对政策提供定期的,无干扰的更新。
3. 包括监管和内部审计的合规性要求。除了保护敏感信息和私有信息,大多数辖区对电子证据发现和其他法律程序都有保留和报告要求。确保移动化BYOD政策包括对这些要求的规定。BYOD应作为企业的风险评估流程和政策的一部分,应明确符合有关企业风险偏好的所有声明。
4. 创建和维护整个企业支持设备的列表。保持对市场主流设备类型和操作系统的支持,并保持该列表随着最新的市场产品而不断更新。
5. 培训员工,保证他们能够理解BYOD的必要性。就和任何IT部署一样,充分准备和良好的培训是成功采用和有效使用的关键。这是一个CIO们必须及早并经常沟通的领域。 包含BYOD的好处和潜在隐患的持续沟通和培训,都是成功部署和使用的必要条件。
6. 创建一个移动应用程序商店。移动应用程序需要不同的技能,经验,操作平台和步骤进行开发部署和管理。要确保拥有合适的计划,以获取,培训和发展合适的人力资源,拥有后备实力,来满足你的BYOD战略路线图的要求。 之前,TechTarget曾报道戴尔公司在移动化战略中的内部应用商店。
7. 确保企业网络可以满足BYOD的实施过程。支持移动化设备通常会使连接设备的数量增加。尤其是,可能带来私人与工作中视频使用的增多,会对企业网络造成很大的压力。访客网络通常是提供给那些并不需要完全访问企业资源的网站访问者。在你的网络管理策略中,包含不间断监控和优化网络架构的流程,以满足这些不断变化的需求。
8. 执行停止设备支持的政策和流程。 当员工离开公司时,该企业必须有一个完善的流程和正确的方法,确保所有的企业信息从员工的设备中删除。同样的,如果设备丢失或被盗时,企业必须具有清除设备内容,有时甚至包括该雇员的个人信息的有效方法。
BYOD方案的实施过程就像一个旅行。每个企业都将会面对其独特的机遇和挑战,并且每一个实施过程都将是不同的。但从企业文化,员工个人和技术因素的角度综合考虑,CIO以及IT部门都要担任起重要的领导角色。