八步驟確保移動設備策略實效安全

 　　1、組建一個移動設備指導團隊。

　　要制定一套健全的移動設備策略，企業需要組織能夠代表多個部門專家的團隊。其中，三個部門扮演著特別重要的作用：IT、人力資源、業務線。有時，具體討論關於移動設備的問題可以為這些部門(尤其是人力資源和IT)帶來相互合作的新方法。

　　人力資源要為制定並發布策略負責，但其工作還包括創設受歡迎的雇員體驗，並在移動設備的相關利益和風險之間達到平衡。為了應對安全和管理風險，IT部門可以努力強化這些策略，而企業的經理可以確保策略能解決用戶的需要。

　　2、概述企業的目標

　　在深入研究具體策略之前，指導團隊必須定義企業用現代移動策略要應對的挑戰。

　　指導團隊需要考慮來自多個方面的問題，從剛買了一台平板電腦的CEO到要求企業支持安卓設備的終端用戶都屬於此范圍。還有，業務經理希望將公司數據交給外 出的員工，這也是一種需要考慮的現實業務模式。此外，如果企業沒有部署一套支持移動平台的系統，終端用戶會不會自己找到辦法呢?

　　多種因素可以促使企業展開行動。這些因素可能包括企業越來越接受BYOD模式(原因在於企業意識到，BYOD既可作為一種減少IT成本的機會，又能提升工作效率)、更好地保障企業數據和應用程序的安全以及確保員工為完成其工作而需要訪問的必要工具。

　　3、定義策略細節

　　不要奢望有萬全之策可以適應所有移動設備，但所有的企業，無論大小與行業類型，都需要處理常見的核心需求。這需要從指定策略所涉及的設備類型開始。

　　在某些情況下，企業可能需要合並新舊兩種策略。例如，多數企業可能已經有了管理筆記本電腦的規則。但是，如果最近沒有對這些規則進行更新，那麼，策略可能 會假定這些設備是由企業配備的。不過，在這種情況下，有些企業仍可能把BYOD從智能手機和平板電腦擴展到筆記本電腦和超級本。

　　關鍵是確定允許哪些設備類型和操作系統平台可以訪問數據，還要確定由於管理和安全問題而限制哪些設備和操作系統。

　　不同的領域需要不同的基礎架構和控制。我們建議企業將員工分成三大類。第一類是使用企業提供的設備和數據服務訪問企業數據庫的用戶。例如，經理和管理員等。對於這一類人員，企業需要一套健全的策略和管理基礎架構才能控制設備並保護敏感信息。這也意味著要部署移動設備管理(MDM)功能和數據加密以及移動 虛擬私有網絡(VPN)。

　　第二類員工也使用企業的設備和服務，但他們可能僅被授權訪問企業的電子郵件系統，不能直接訪問數據庫系統。對這類用戶未必很嚴格，但企業仍需要移動設備管理(MDM)來跟蹤設備的狀態和位置。

　　這類用戶可能不通過移動設備訪問數據庫，但仍有可能訪問電子郵件中的敏感數據。

　　第三類員工是將其個人設備用於工作的BYOD用戶，例如，他們將個人設備用於發送電子郵件或文本消息。這類人員的例子包括銷售經理或人力資源部的個人(他可能主要在辦公室工作，但在會議期間或下班後仍要保持連接)。

　　不同的人員分類可以決定是否要限制某些用戶訪問某些應用程序和數據。例如，策略有可能允許從特定入口下載經核准的軟件。但是任何用戶需要的其它軟件也都必須位於企業認可的軟件清單中。

　　用戶或用戶組對任何其它軟件的請求必須得到移動設備策略督導者的許可。企業的移動策略還應當表明，企業不會支持用戶擅自增加的軟件。

　　4、闡明財務條款

　　企業可以采用三種基本的財務模式。第一種是直接結賬，即企業購買設備並承擔所有費用。第二種模式是企業每月對移動設備提供固定的報銷數額。最後一種是，企業根據員工的費用報告進行報銷。

　　模式的選擇依賴於對幾個重要問題的回答。這些問題包括但不限於：企業或員工是否支付硬件的全部或一部分、數據訪問計劃、支持成本等。需要闡明的其它財務問題包括BYOD設備所有者負責的具體成本，甚至包括用於語音和數據通信的國際呼叫和國際漫游計劃等。

　　5、解決責任問題

　　責任問題針對的是受政府安全和私密要求約束的數據，也包括受制於企業最佳方法的數據。

　　談到責任問題，企業可能需要考慮一些棘手問題。例如，每家企業都有權利控制數據的訪問和使用，但策略的制定者必須決定如何處理用戶的個人信息，其中包括存放在由企業配給的設備上的聯系人信息。移動設備的策略團隊必須解決如何構建一個可以使個人信息的暴露最小化的系統。

　　最後，移動用戶應當確切地理解由於不遵守上述移動策略而遭受的懲罰，其中包括不同的策略違反面臨的不同懲罰。

　　6、鎖定安全

　　安全問題可能會花費移動策略制定團隊最多時間和努力。

　　新移動設備的湧入給安全操作增加了復雜性，同時影響了IT過去實施的一些嚴格控制。

　　情況已經發生了變化。過去，終端用戶受到IT部門的要求約束。但是，今天你想在移動設備上安裝安全軟件，首先要獲得用戶的同意。

　　因此，IT管理員必須接受幾個基本原則。你不能做任何攪亂本地終端用戶體驗的事情。例如，員工購買安卓設備都有其具體原因，安全控制不應當損害用戶的利益。

　　設計安全規則應從設置關於移動設備如何訪問數據的基本綱要開始。移動設備的監管團隊應深入分析具體的安全技術和使用策略。

　　一個重要的目標是：在內部數據不在企業物理邊界之內時，企業能夠實施保護。敏感信息在外部網絡傳輸時尤其容易遭受網絡竊取，而且如果設備丟失或被竊，非法用戶有可能訪問這些信息。

　　基於技術的安全措施包括對用戶和設備授權的方法，以及設備和數據加密、VPN、沙箱(隔離某些數據和應用，使其不易遭受入侵)。其它的基本措施包括設備端的反病毒軟件和管理配置和補丁的能力。

　　移動團隊還應准備好應急計劃，以便於在發生損害時能夠控制或減少破壞程度。從丟失設備上完全或部分刪除數據是一種常見的方法。如果企業保留在遠程清除丟失或被竊設備上的數據的權利，該策略就應當闡明是否會清除個人數據，或是否僅清除公司沙箱中的信息。

　　實施這種控制的方法之一是通過MDM(移動設備管理)方案，使企業可以集中強化策略。有些企業通過移動應用管理系統強化其對數據控制的努力，進一步增強了這種方法。通過移動應用管理(MAM)，企業強化了針對應用和數據的策略，而不是強化了設備自身。

　　從移動設備的策略方面來看，移動策略和規則還可以要求用戶下載指定的MDM或MAM系統。

　　7、管理

　　下一步是創建一套計劃，決定如何傳達策略，並教育員工策略對其意味著什麼。

　　企業的移動設備策略團隊應首先向部門經理解釋要點，然後再向部門成員闡明。企業必須重視：通過什麼手段告知用戶，是通過電子郵件發送並告訴用戶“請閱讀重要郵件”嗎?還是用戶必須確認已經閱讀並同意遵循策略呢?

　　在完成策略的制定並且所有用戶已經知曉策略後，下一步就是實施策略。最佳的起點往往是先進行測試，對於新策略尤其如此。不妨從那些對使用BYOD感興趣或已經在悄悄使用的員工開始。

　　建議企業先從代表企業內部不同用戶的小部門開始，這有助於企業決定哪些策略有效，哪些無效。這樣做還可以提供時間來收集數據，以衡量利益和成本。

　　8、應對不斷發生的變化

　　保證移動策略可行的一個重要步驟是：經常檢查和更新策略，確保策略能夠繼續滿足最新的技術和業務需要。

　　結束語

　　在移動設備的控制策略問題上，預則立，不預則廢。企業應根據循序漸進的步驟，確保BYOD既可以提高員工的工作效率，又能有效地保證企業應用和數據的安全。