BYOD需要MDM 兼顧安全及效率
- DIGITIMES企劃
-
根據資策會FIND在2013年的調查,在台灣持有平板電腦的人,達393萬(18.5%),持有智慧型手機的人,更高達916萬(43.1%),若考量其中同時持有智慧型手機及平板電腦者(12.1%),推估台灣行動族群約有1,053萬人,等於平均每2人就有1人持有智慧型載具,智慧型載具的普及,也象徵BYOD(Bring Your Own Device)的時代已正式來臨。
BYOD簡言之,就是讓員工透過自己的行動設備處理公司事務,大大提升工作效率及生產力。如史上最年輕行政院政務委員唐鳳,入閣後的唐鳳每週三、五都採取「遠距上班」,不僅創下內閣政務每週有兩天不在辦公室上班的首例,行政院長林全更在立法院備詢時指出,只要唐鳳有任務,在工作不受影響的情況下,利用電腦遠距離傳遞想法或指示政策,他認為還是可行的。
換言之,唐鳳等於就要使用自己的行動設備來處理政院事務,也就是BYOD。事實上,唐鳳在行政院使用的設備不只電腦或手機,也包括Oculus Rift的VR器材,在家則用HTC Vive。
唐鳳也表示,遠距工作的模式,不論在海內外,都有相當多的先例;上午9時至下午5時,她無論在哪個地點,都會執行公務,在辦公室(無論院內或是遠端)使用VR和回應網友,也都是她工作的一部份。
BYOD管理首重資安議題
事實上,中華電信也指出,目前已有9成的企業已經支持BYOD,或準備支持BYOD。BYOD不僅可以為企業和員工帶來不少好處,能讓員工獲得工作滿足感、提高工作效率,更有助公司節省購入和維護裝置的成本,減少營運開支,帶來龐大的商業價值。
但網友也抨擊唐鳳此舉,有可能會帶來資安問題,唐鳳也解釋:「資訊處已經提供加密網路連線,也原本就有遠端連網的資安機制,如同另一位網友說的,我認識的資訊主管出國考察時,多有這樣工作的例,並不是創舉。」但BYOD的背後,確實也可能為企業帶來更巨大的資訊安全的隱憂。
如員工離職能夠刪除手機上的公司資料?能夠限制不允許手機使用相機功能?私人與未加密的公司資料混在一起?能夠偵測員工是否安裝有害APP?員工手機不符合資安規定,能限制存取公司資料?資安上的漏洞,該如何有效管理,也成為BYOD管理的首要課題。
中華電信指出,據調查,企業十大資安威脅中,與行動裝置有關的就包括行動惡意程式、行動裝置遺失及個資外洩等3項,顯見行動辦公室雖然提升了企業效率,同時也把企業機密帶離企業安全防護網,行動裝置普及伴隨而來的資安風險,成了企業經營的隱憂。
因此企業在導入BYOD解決方案時,往往也需要特別的行動安全防護,讓企業可將傳統個人電腦上的防護延伸至行動裝置,保護智慧型手機和平板電腦的資料安全。
在資訊安全技術方面,一定要能夠有效落實,如採用雙重角色(Dual-Persona)技術,讓使用者可以直覺式的切換個人與公司資料區域,完整將所有公司資料保存於加密安全區(Safezone),確保僅已授權的用戶能在安全區內存取敏感的公司資料與企業網路。
郵件管理更是需要加以控管,如禁止附件或本文Copy/Paste,或是禁止公司郵件被搬到其他私人郵信中寄出,同時也要禁止公司信箱被其他APP存取。或是可以保護資料並強迫裝置設定密碼及加密,並可遠端清除遺失裝置的資料,避免資料外洩。
透過BYOD行動安全防護,可以大量減少IT人員的負擔,防止公司重要資料遺失,危及企業生存,提高行動裝置安全的保險措施,防止未授權行動裝置存取公司資源,同時也可避免行動裝置上的惡意病毒感染公司網路,讓企業在支援BYOD政策下,仍可確保公司資料的安全。
利用MDM管理BYOD
BYOD就像是兩面刃,雖然可以提升業務效率、降低企業採購成本,卻也同時為企業的資訊安全埋下了一顆顆不定時炸彈,稍有不慎,就可能讓企業陷入危機。企業IT人員最需要是一個安全且容易使用的行動裝置管理工具(Mobile Device Management;MDM),讓企業可以針對智慧行動裝置快速部署企業應用,同時有效管理行動裝置的安全,確保企業所有行動裝置都能夠遵循公司規範,達到企業資訊安全管理的目的。
此外,完整的MDM,至少要包括設定自動化與裝置資料安全、遠端APP派送自動化及主動管理行動裝置三個部分。在設定自動化與裝置資料安全部分,需要做到的功能包括自動監控裝置組態設定、自動化派送企業相關設定,並可配合企業安全政策,裝置遺失時,可查詢裝置最位置及遠端刪除企業資料,做好保全防護。
而在遠端APP派送自動化方面,除了APP應用程式派送要做到自動化外,MDM應該要提供企業內部in-hous App Store,節省應用系統上線、維護時間及成本。
至於主動管理行動裝置方面,MDM必須要能定時自動蒐集裝置軟硬體資訊、追蹤用戶APP使用情形,同時有效管制裝置配備,並可協助用戶遠端排除問題。由於行動裝置平台類型非常多樣,理想的MDM,應該要能夠做到全平台(iOS、Android、Windows、MAC、Linux)管控。
此外,MDM應該要將各種功能加以整合,包括「行動裝置管理」、「一般設備控管」、「內容過濾」、「機敏資料掃描」等模組於單一管理介面,讓IT人員可以從單一主控台來集中管理所有的使用者,提供易用性和可見度,才可有效解決企業內部各類型智慧行動裝置、PC及NB的資安管理問題。
理想的MDM,不僅要能讓IT人員便於管理,同時也要在智慧型手機和平板電腦上提供熟悉和流暢的體驗,讓員工能夠輕易地在他們的設備裡,安裝及使用應用程式內的各項功能。
除了行動裝置要做好資安防護外,主機系統的資安完整性,更是重要。因為BYOD往往也意味著,一旦主機系統遭到入侵感染,所有的行動裝置也會變得不安全。
在過去,傳統IT人員面對BYOD,可能需要非常繁複的設定過程,如先是要建立員工帳號,再手動設定郵件帳號、設定聯絡人、行事曆、WI-FI密碼,甚至還有可能需要設定VPN,再手動安裝員工工作時必要的APP,假如同時有100個新進員工,IT人員需要花費的時間心力,就相當可觀。
但如果有了MDM,IT人員可能只需要建立員工帳號,剩下的工作就可以交給MDM,自動完成行動裝置上所有設定與安裝APP,大量降低IT人員的負擔。
科技發展日新月異,員工採購行動設備的速度,恐怕會比任何企業採用的任何技術都要快。當使用者每人平均擁有兩個,甚至多達三個設備時,一定會希望無論使用哪種設備、無論在哪裡進行連接,都能無縫接入公司網路,而且連線速度要快,足以有效地運行應用,包括提供創新服務和運營業務新方式的新應用,而對企業而言,這也才是真正能讓員工可以隨時隨地為企業提供競爭力的未來關鍵。
