BYOD以及BYOT(Bring Your Own Technology,帶自己的技術(shù)上班)已經(jīng)成為一股風潮。許多企業(yè)開始借此機會嘗試允許其員工使用私人的移動設(shè)備辦公,并訪問企業(yè)的私密商業(yè)信息,包括email、企業(yè)名錄、日志、文檔、應(yīng)用軟件以及其它內(nèi)容;但與此同時,這些移動設(shè)備上還保留著各種員工的私人信息、應(yīng)用軟件和社交賬戶等,不在企業(yè)IT的監(jiān)控范圍之內(nèi)。BYOD/BYOT的這種雙重使用特性意味著這些私人設(shè)備需要經(jīng)常穿梭于完全不同的IT策略域,由此IT經(jīng)理的工作變得更加復雜和艱巨:一方面,他們要為每一個員工制定一個安全的IT活動域,同時還要保護員工的個人隱私、保證他們能夠自由訪問處于不同IT域中的信息;另一方面,IT經(jīng)理還要考慮,企業(yè)怎樣才能制定一套商業(yè)策略,通過引入BYOD/BYOT的優(yōu)勢,實現(xiàn)降低IT成本、提高員工的生產(chǎn)率和滿意度的目標。
IT經(jīng)理感到“壓力山大”,而BYOD追捧者的要求卻有增無減。
- 他們希望總能夠即時地訪問自己想要的信息;
- 他們需要的不僅僅是文本信息,還包括視頻以及富媒體內(nèi)容;
- 他們無法忍受企業(yè)傳統(tǒng)的刻板的通信、協(xié)作和與客戶交流的方式;
- 他們還總想把帶有強烈消費性色彩的行為方式帶到辦公場合來……
受此影響,未來企業(yè)的辦公和運營需求也隨之改變:
- 未來企業(yè)的員工組成將更加全球化和虛擬化;
- IT運維成本將迫使企業(yè)特別是中小企業(yè)不得不允許員工使用私人設(shè)備辦公;
- 對企業(yè)信息的訪問將來自世界各個角落,經(jīng)由公網(wǎng)、私網(wǎng)、安全的或不安全的網(wǎng)絡(luò);
- 訪問者將從公司的經(jīng)理和雇員,擴展至集成商、合作伙伴、供應(yīng)商、客戶乃至普通公眾……
實際上,在應(yīng)對BYOD/BYOT所帶來的上述挑戰(zhàn)時,企業(yè)IT面臨的最大問題不在于技術(shù)能力的缺失,而是如何實行一系列正確和可行的原則和技術(shù),以達到自由訪問和嚴密控制的訪問策略之間的平衡。在“自由”與“控制”兩者之間尋找平衡,企業(yè)IT需要理清3個關(guān)鍵點:
- 員工和企業(yè)IT如何協(xié)商訪問模式?
- 考慮到實時變化的環(huán)境,員工和企業(yè)IT如何實現(xiàn)雙向的動態(tài)訪問管理?
- 如何讓企業(yè)IT能接納個人設(shè)備和技術(shù)的改變?
為了更加直觀地了解上述問題,我們不妨參考文后所附的一個真實的例子——《BYOD的一天》,看看訪客James Brown進入華為美研所(Santa Clara園區(qū))后是如何與IT系統(tǒng)互動的,這也是如何設(shè)計、管理以及實施企業(yè)動態(tài)安全策略的一個很好實例。其可行性成立的關(guān)鍵在于,采用一套雙邊的、動態(tài)的、顆粒狀的、可實時確定的信任機制。
事實上,企業(yè)以往基于鑒權(quán)以及公鑰基礎(chǔ)設(shè)施建立起來的靜態(tài)IT策略是BYOD/BYOT大規(guī)模實施的絆腳石。信任必須要持續(xù)地進行重新評估,而評估的依據(jù)來自于設(shè)備和基礎(chǔ)設(shè)施傳感器收集來的動態(tài)痕跡和相關(guān)信息。需要注意的是,動態(tài)推行的策略是需要根據(jù)用戶及其設(shè)備所處的環(huán)境、情況以及意圖持續(xù)地進行協(xié)商和再推行的。
總之,如果參考如下機制,那么,一個介于用戶以及企業(yè)間的健康的、雙邊的訪問策略是可以實現(xiàn)的:
- 動態(tài)化:未來企業(yè)的IT策略不可能面面俱到、無視終端用戶的角色差異而保持一成不變,它會是智能的、動態(tài)的,并且在核定終端用戶的接入能力前,就能夠識別用戶所處的動態(tài)環(huán)境。
- 可協(xié)商:用戶(及其設(shè)備)應(yīng)該可以和企業(yè)協(xié)商IT策略。在不經(jīng)過雙邊協(xié)商以及用戶同意的情況下,不能把IT策略強加于人。這意味著,IT系統(tǒng)在為某位員工制定個性化的網(wǎng)絡(luò)訪問策略之前,應(yīng)該充分考慮用戶隱私以及訪問需求。
- 個性化:IT策略應(yīng)該有能力根據(jù)輸入的用戶名確定用戶背后的“人”是誰——無論是通過企業(yè)內(nèi)部名錄數(shù)據(jù)還是公共數(shù)據(jù),它應(yīng)該有能力根據(jù)信息鑒別每一個用戶的身份,并提供選項可以把私人推薦作為上述確定流程的一部分。如此一來,IT策略為每個人量身打造,做到個性化,是為一個獨立個人而非一群人設(shè)定。
未來企業(yè)的BYOD策略需要緊跟并圍繞消費領(lǐng)域的諸多革新趨勢,這些革新在個人消費領(lǐng)域蔓延的速度往往比在企業(yè)市場要快。為了保護企業(yè)信息而進行的訪問授權(quán)必須基于睿智的決斷,由此能夠幫助終端用戶在正確的時間獲得正確的信息,而同時不會對企業(yè)的專有或者保密信息造成泄露。這些策略應(yīng)該是透明的、可協(xié)商的以及可快速實現(xiàn)的,以更好地滿足未來企業(yè)的用戶需求和技術(shù)需求。
BYOD的一天
人物:James Brown先生
地點:華為美研所
劇情:
James Brown先生是一位“社交達人”,他總是隨身攜帶自己的iPhone和iPad,以便能夠安全且無障礙地登陸社交網(wǎng)絡(luò),隨時隨地和親朋好友以及工作伙伴分享自己的一舉一動;與此同時,James還是一位工作狂,希望充分利用時間參與到工作中去,和合作伙伴交流、溝通、協(xié)作;當然,James也明白,他此次訪問的是華為的研發(fā)重地,關(guān)鍵問題上,必須遵從“主人家”的規(guī)矩,不能亂來,所以他也愿意入鄉(xiāng)隨俗。
因此,他給自己制定的目標是:通過Santa Clara園區(qū)中的公共Wi-Fi網(wǎng)絡(luò)使用電子郵箱、Skype、登陸Facebook以及參加華為召開的在線會議,與此同時,允許園區(qū)IT系統(tǒng)監(jiān)控他是否在未經(jīng)授權(quán)的情況下在研究室拍攝照片或做記錄。
那么,園區(qū)的IT策略管理系統(tǒng)又是如何與他互動的呢?
第1幕:識別
IT系統(tǒng)首先要識別James Brown的證書,確定其用戶分類以及角色(例如:員工、合作伙伴、供應(yīng)商、訪客)。經(jīng)過迅速的“望聞問切”,系統(tǒng)斷定James的屬性系——訪客。
第2幕:配置
根據(jù)James的訪客屬性,系統(tǒng)開始對James配置接入能力。允許的,開綠燈放行;不允許的,就亮紅燈阻止。IT系統(tǒng)是這樣填寫選項的:無線(允許);Gmail(允許);企業(yè)郵箱(不允許);公共Skype(允許);企業(yè)Skype(不允許);Facebook(允許);企業(yè)Facebook(不允許);攝像頭功能(不允許)。
允許與否取決于James的角色及其授權(quán)證書。可以看到,IT一方面充分保證了他訪問公共網(wǎng)絡(luò)的自由,與此同時,也對他使用企業(yè)服務(wù)的權(quán)限進行了限制。
第3幕:協(xié)商
與此同時,James的設(shè)備也毫不客氣,加入和IT的博弈,它的大門上也列著管理選項:訪問我的應(yīng)用數(shù)據(jù)(不允許);控制我的設(shè)備傳感器(允許)。也就是說,BYOD/BYOT能力的設(shè)計必須考慮企業(yè)與用戶雙方面的權(quán)益,雙方資源的開放與否都是可協(xié)商的。
如果James認為,自己的需求已經(jīng)能夠滿足,他可以選擇達成協(xié)議,接受被授予的訪問權(quán)限;如果他發(fā)現(xiàn)自己還需要更多的權(quán)限,而且也有資格拿到,他可以選擇提供更多的用戶授權(quán)證書,然后繼續(xù)申請。
第4幕:調(diào)整
James突然想到,自己還要參加華為的在線會議呢,這可是他來此的重要目的之一,而作為華為的合作伙伴,他應(yīng)該有這個權(quán)限。于是,他補充提供了這樣的信息:“我是華為重要的合作伙伴,我在華為的推薦聯(lián)系人是Susan Tran”。搬出Susan Tran這個“內(nèi)線”可謂是明智之舉,因為對于系統(tǒng)而言,內(nèi)部人員的舉薦非常重要。
接下來,系統(tǒng)就“傳喚”Susan來確認James的“重要合作伙伴”這一身份。Susan即刻對此事進行了確認,并要求系統(tǒng)給James增加額外的訪問權(quán)限——比如登錄企業(yè)在線會議系統(tǒng)等。
接下來,IT策略管理系統(tǒng)以及James的移動設(shè)備會將它們協(xié)商后的策略應(yīng)用下去。通過協(xié)商以及動態(tài)調(diào)整,James終于如愿以償,大功告成,通過BYOD在華為美研所渡過了開心、充實的一天。