專訪 SolarWinds 副總裁、探討 BYOD 趨勢下企業應如何自保

問：記者
答：SolarWinds 副總裁兼市務部總監 Sanjay Castelino。

問：首先感謝你實貴的時間接受我們專訪，請你先簡單介紹一下自己的工作，你在 IT 行業工作了多少時間？現時主要負責甚麼？

答：我曾經在香港居住了 15 年時間，現時是 SolarWinds 的副總裁及市務部總監，主要針對端到端的 IT 方案，包括網絡、安全資訊、活動管理、存儲以及虛擬化管理方案等制定一套有效的產品策略，並協助產品更有效的進入目標市場。

問：隨著 BYOD 盛行，企業的網絡安全風險愈來愈高，你認為有甚麼政策、或方案能有效針對 BYOD 趨勢下，對企業所做成的網絡安全隱憂？可以簡單地介紹一下嗎？

答：近期我們舉行了一個名為 Future of the IT Pro Study 的市場調查，該調查成功訪問了 143 位香港 IT 專業人員，其中三分一受訪者表示 BYOD 將在未來的 3 至 5 年對他們做成一定的挑戰，同時調查結果亦清楚得見受訪者對網絡安全性及權限等方面存在一定的擔憂。

但對我來說，我認為 IT 管理員應在存取與安全之間取得一個平衡，事關現實問題是當你容許某人的流動裝置連入公司網絡，公司網絡便會受到一定程度的風險，因此我認為要令公司網絡安全，管理員可考慮完全禁止員工將個人的流動裝置連接到公司網絡，又或者為員工添置專用的流動裝置，並針對所提供的流動裝置安裝一些監控軟件，這樣便可比較確保到整個網絡的安全性。

老實說，沒有一套方案能 100％ 滿足所有企業需要，因此企業應在 BYOD 的問題上取得一個平衡點，究竟你需要進一步支援 BYOD 還是更注重網絡安全問題？這的確值得各位 IT 管理人員深思。

至於你的問題中提及訂立安全政策，這是一個較為複雜的問題；但假如在無需計較金錢的前題下，我會建議員工添置一部工作用的流動裝置，並要求員工向公司登記用來工作的流動裝置，這樣管理員便可在網絡層面設定只有已登記的流動裝置才能存取企業網絡及進行工作，而另一部私人使用的流動裝置則不能夠連入公司網絡之中，這樣便可得到更清晰的畫面，在訂立相關政策時亦更方便、簡單。不過相信很大部份員工均未能做到上述所說的例子，事關要這樣做的話員工需作一個頗為巨額的投資，很明顯員工並不太願意這樣做。

其實現時已經有一些企業使用了 SolarWinds 的方案，並為這些員工自攜的流動裝置建立一個 Guest 網絡，這樣便可令員工享受到 BYOD 的好處，同時亦可減低自攜裝置連接企業網絡時所帶來的安全風險。

問：BYOD 意思是自攜裝置，在普遍情形下這些裝置均屬於員工私人擁有，因此要完全管理這些設備似乎甚為困難。近幾年坊間便出現所謂的 MDM (Mobile Device Management) 方案，你認為這些方案能解決管理上的問題嗎？你認為 MDM 是否為過度方案？

答：MDM 方案有效控制流動裝置內的存取權限，而且我認為 MDM 絕對是一款非常有效的流動裝置管理方案，這類型的方案能讓管理員更準確地控制流動裝置內的種種活動，例如限制存取某些應用，因此假如你希望監格控制員工的流動裝置的話，MDM 會是不錯的選擇；然而員工開始使用自攜裝置時，他們便相應地要求 IT 部門作出更佳的支援服務，因此當本身安裝了 MDM Agent 的流動裝置出現問題時，員工便會將責任歸咎於 IT 部門，長遠對從事內部 IT 工作的員工做成一定壓力。

問：企業如何進行管理？在管理過程中，假如要在員工的流動裝置之內安裝管理軟件，是否會做成私隱問題？在這方面作為決策人有沒有方法可以避免？可以給她們一些建議嗎？

答：隨著企業進一步加強針對流動裝置的管理，私隱相關問題亦有上升之勢。我認為最有效的解決方法是訂立明確指引，並向員工說明於公司網絡環境內使用自攜裝置會有甚麼後果，那些資訊會有機會被存取等。

舉個例子，假設你的公司希望為員工提供專用手提電腦，同時你亦希望有效監控手提電腦中的一切行為；在你將手提電腦交給員工前便需要清楚解釋任何於手提電腦內所進行的任何動作，公司都會作出監控。話雖如此，但我們都了解到你的解釋並不代表員工完全明白，因此作為管理員便需要以一些可行的方法，證明你的員工已完全了解使用由公司提供的手提電腦時會被公司監控，所有存取的資料公司都會有機會看得到。

而假如你的公司並不打算針對這些流動裝置進行管理的話，亦請明確指出員工的自攜設備將不能存取公司網絡及任何機密資料，這樣對於員工與公司雙方都有好處，至少避開了麻煩的法律訴訟。

問：未來在管理流動裝置方面，虛擬桌面方案（Virtual Desktop）會否是主流發展及更能有效管理企業資料以避免機密資料外洩？

答：在現時看來，虛擬環境的確有一些幫助，但我不肯定虛擬桌面方案會否成為未來的流動裝置管理趨勢，因為流動裝置始終有一定的硬件限制，例如你不能輕易的在流動裝置中一次看到整個 PC 的桌面環境等；但我確信未來將會出現一些虛擬流動裝置，並且能讓用戶直接存取遠端環境並藉由虛擬流動裝置檢視流動裝置的虛擬畫面，這樣將能預防機密資料被下載到員工的私人裝置之中。

其實企業開始實施 BYOD 時必須小心地考慮各種情況，並在風險與管理上取得平衡；同時企業在實施 BYOD 政策時，亦要知道員工對此政策的期望，例如員工期望政策實施後將不會監控流動裝置內的 IM 通話紀錄，但實際情況卻會完成監控，這樣便將引起不堪設想的後果，因此取得平衡與了解員工期望對有效實施 BYOD 最為重要。

問：BYOD 趨勢之下，很多企業為了有效管理員工所攜帶的流動裝置，因此都會強制要求員工於私人的流動裝置之中安裝管理軟件，在這種情況下員工當然可以拒絕公司的要求；然而某些情況員工可能因工作需要而必須使用自己的流動裝置，這種情況下你認為公司可以強制員工將特定的軟件安裝到流動裝置之中嗎？

答：面對上述情況，員工當然可以說：「這是我的設備，我不希望以自己的設備處理工作」。作為企業管理層，如果認為流動裝置是必需使用的設備，我會建議企業為員工配置工作使用的流動裝置，這樣公司便可得到最充分的監控。

問：作為企業決策人，假如希望於企業之中落實 BYOD，你會有些甚麼意見提供給決策人令企業減少誤墮（私隱條例）的機會？

答：首先企業需要針對連到公司網絡的流動裝置訂立清晰的使用政策，並提早指出公司將會實施一定程度的監控工作。在訂立有關政策時亦需考慮到員工是否會接受公司安裝監控應用？會否接受公司在某些情況下遙距刪除所有流動裝置上的資料？公司會否開發一些應用，令機密資料不會儲存在設備上呢？這些都必須要考慮到的；其實如何訂立政策需視乎企業實際需要，例如某些公司會開發特製應用，令員工瀏覽到的所有資料均不會儲存到裝置之中，這樣便可完全解決機密資料外洩的問題。總之企業必須向員工說明，一旦設備遺失後將會遙距把設備中的所有資料一一刪除。

現時員工都會把日常生活照片及一些私人資料存放到的人的流動裝置之上，因此作為員工絕不喜歡自己的私人資料被第三方監視，就上述情況作考慮，現時員工很多時都會拒絕公司的要求，作為企業決策人必須要有心理準備及明白員工也有 Say No 的權利，並隨時準備為員工添置針對工作使用的流動裝置。

問：作為一家 IT 公司﹐你認為來年 (2013-2014) BYOD 的發展趨勢如何？BYOD 會做成更多安全問題及重大安全事故嗎？

答：老實說，在 BYOD 方面我並未見到將會出現一些全新的科技趨勢，反而我看到的是公司在相關方面的全新思路，在未來公司將需要在安全性與生產力兩方面作取捨，而且企業亦需為這兩大範疇定立一個更佳的平衡點。

值得一提的是就我所知，企業很多時都比較關注一旦流動裝置遺失後，儲存在流動裝置中的機密資料要如何處理？如何才可確保資料不被外洩？很多企業都認為一旦流動裝置遺失後，必定需要採用 wipe data 的方式將整部流動裝置的資料完全刪除！其實這亦非必然的，事關就我所知部份企業已開發所謂的 storage application tier（SAT）應用，這種應用將不會把資料下載到員工的流動裝置之中，員工每次瀏覽的資料均直接透過存取公司伺服器取得，這樣便可避免因遺失裝置而導致的資料外洩問題。

問：現時 BYOD 已愈趨流行，然而 BYOD 卻為企業帶來潛在的風險，作為（中小企）你認為要如何應對這個趨勢？應從那方面著手加強保安？

答：無論在任何時候，利用流動裝置存取公司的資料總帶著一定的風險，請讓我分享一下 SolarWinds 會如何處理這種問題。在 SolarWinds 的世界，我們會透過 SolarWinds 方案加入不同的使用政策，最常會做的便是劃分一個 Guest 網絡，凡使用流動裝置連接到公司的網絡時，將會自動連到新建的 Guest 網絡，這樣便可避免流動裝置直接存取到企業網絡，藉以提升整體安全性。

我認為有關方案已能滿足到中小企的需要，事關中小企的 IT 規模往往不會像跨國企業般大，除非中小企需更深入設定權限等，否則 SolarWinds 提供的方案基本上已足夠應付中小企的需要。

Sanjay Castelino

Sanjay Castelino為 SolarWinds 的副總裁兼市務部總監，他主要負責針對端到端的 IT 方案，包括網絡、安全資訊、活動管理、存儲以及虛擬化管理方案等制定一套有效的產品策略，並協助產品更有效的進入目標市場。在未加入 SolarWinds 之前，他曾於 NetStreams 從事市場及業務發展副總裁，並致力於一切市場推廣、產品管理、政策及 OEM 業務。