評估風險、方案與整合 建立企業BYOD策略

憶起在國外吃飯的時候,經常會看到一些餐廳的門把上掛著大大的「BYO」字樣的牌子,一開始還沒有會意過來,後來才知道,原來是這種餐廳裡面沒有銷售酒類,可能在該地的法規下對該種規模的餐廳而言,申請售酒許可並不符效益,所以歡迎上門用餐的顧客BYO(Buy Your Own)——自帶自己喜歡的酒。

筆者總是不自禁的將BYO式餐廳的經營理念,和最近兩年遍地開花的BYOD(Bring Your Own Devices)在心裡做了某種程度的連結契合。近年來BYOD相關的想法、觀念與架構不但充斥在現今多數辦公室的環境,更邏輯性的延伸了辦公室的空間,也靈活了上班族大眾的時間。相信一些如Gartner、IDC(International Data corporation)等等機構所發佈的「數據性」調查報告,都經常在各式文章中被引用,可見BYOD的理念和相關市場結構已不斷的在成熟化中。

在此我們就不再關注研究機構的數據性調查報告,反而我們可以來看看一些龍頭廠商對BYOD的調查報告。

例如根據網路設備商的老大哥Cisco在2012年底的調查,有95%的企業同意員工以BYOD的方式使用自帶設備上班。另一個網路設備大哥Juniper在同段時期則發佈調查顯示,即使在各企業不允許的情況下,依舊有41%的員工在違背公司的政策下帶著自己的設備上班並使用在工作上。另外有一個較有趣的數字也指出有84%的受雇員工使用同一個手持設備來同時工作和娛樂。

不同角色的優勢與風險

至於BYOD究竟優劣與否,應該可以說是一種很複雜的情結,因為站在不同的立場會有不同的觀點。首先從員工的觀點說起,BYOD的優勢是最顯而易見的,使用自己喜愛或習慣的設備,想當然爾必能提高工作上的生產力,而且也能更彈性的安排時間,甚至能營造出「行動辦公室」的實質效果。

特別是針對高階主管、出門在外勤跑客戶的業務人員,以及進客戶機房比進辦公室頻率高的技術人員,「行動辦公室」相信是個很值得喝彩的效益。再者,對於公司職務或觀念趨向財務導向的人員如CFO等,公司相較之下省去了採買設備的成本。BYOD的觀念一旦萌生,即便公司依舊採買並提供設備,員工未必會有想用公司設備的念頭,即使用了也未必是其心目中適用好用的設備。照上述的觀點聽起來,BYOD好像是個必然「雙贏」的概念。

談完BYOD的優勢,再來談談BYOD的劣勢或缺點,但是筆者並不想著眼於「劣勢」或「缺點」,因為其實這個面向在BYOD的架構下都可以用兩個字代表,那就是「風險」。對於CIO或其他網管人員而言,BYOD的存在可能會是個夢魘。在操作上,CIO及網管人員必須從支援單一使用者介面系統,如Microsoft Windows轉向支援多重使用者介面系統,像是又加上了Android、iOS等,這是技術資源消耗上的風險。

此外,資訊安全上的風險則是評估BYOD時的重點,畢竟BYOD是移動式設備,是雙重以上場合共用設備,CSO、CEO可能都曾為了BYOD伴隨而來的資安問題頭痛過。另外,千萬別忽略了「相容性」的問題,或許稱之為「銜接性」比較洽當,例如公司應用軟體的客戶端程式,並沒有辦法延伸到全部或部份BYOD的設備上;或者是部署上有難度;又或是檔案同步很難百分之百實現。總之「無縫銜接」無庸置疑的確實是一大挑戰。

建立特色的BYOD策略

筆者猜測可能會有些較為傳統的領導者或經營者會認為,BYOD這種方式可能讓某些員工浪費工時在玩樂上。然而現代雇佣關係,其實已經較傾向於「合作模式」,而非傳統的「指揮模式」。既然模式已逐漸改變,而合作的一方又多半傾向於BYOD自帶設備,那麼另一方又為何不樂觀其成,索性建立可接受的遊戲規則呢?如何制訂符合企業特性及需求的BYOD策略,以下是幾點步驟建議:



指派專人

建立BYOD策略首先是指派專人或團隊小組管理。BYOD是因應人的特性而產生的觀念,眾人想要將自己善用慣用的設備徹徹底底的融入到自己生活中的每一吋,包含工作上。專人或專隊管理當然是一個良好的開端。這個專人(隊)需要評估目前企業內部的BYOD現況,需要有效的計畫目標,需要發展制訂策略,需要後續保持長期的運作。



了解市場概況與定義BYOD目標

其次,建立BYOD策略必先了解現今市場概況,然後定義企業或組織的BYOD目標,當然這個目標要與企業組織的整體目標相連繫。例如維修部經理使用行事曆軟體來分配叫修任務,而同時企業的伺服器也會自動排訂每月的例行維護任務,那麼這兩者一人一機的指示就要能夠整合發佈於行事曆上,BYOD的使用者也能輕易的隨時用任何設備瀏覽及操作此行事曆。



定義可接受方式

定義是否有需要排除的使用範圍,也就是定義可接受的使用方式。例如極度機密資料是不被允許用BYOD設備存取的。



風險評估分析並建立相關的因應措施

一般而言,BYOD會涉及的風險可能包含了五大項:識別與存取控制(Identification & Access Control)、資料保護(Data Protection)、應用程式安全(Application Security)、完整性控制(Integrity Control)及規範與法務(Compliance & Legal)。



建立流程

有效率的流程才能創造出高產值。流程為組織內部不連續的部份做出了充份的溝通。舉例而言,當一個新人到職後,BYOD的專人(隊)應該經過一個被通知的流程,進而設置使這位新到職員工的BYOD行動裝置能與公司的系統及網路相連結,並且安全性的政策(Policies)能夠同時套用上。反之亦然,當員工離職時,讓相關的Policies、相關的邏輯物件等等都能夠失效或失去連結。



資源規畫

資源是指在BYOD的策略中所有的元件,包含了各種供使用的IT軟硬體工具及服務,部署各個工具服務的人員須依照其需求性和依存性,讓各個存取資源的使用者及使用者群組和資源之間產生一定的規則。



教育訓練

BYOD相關的教育訓練應該是持續而定期更新的,就和資訊安全認知(Security Awareness)類似。所涉及的層面可能包含了策略、流程、操作使用,當然還有最重要的就是安全性等等。要獲取最有效益的教育訓練成果,不外乎就是讓接受教育訓練者認同到這一切是和自身息息相關的。例如讓受訓者了解到萬一BYOD的保全不周,導致資料外洩非但會揭露公司的機密性,亦會因個資被竊而損害到員工個人的權益。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!