自打2000年起，康涅狄格大學斯托斯商學院便堅定地認為“BYOD”是一種趨勢。然而，在經(jīng)歷了數(shù)次錯誤的變化之舉，包括爭論究竟應該支持設備還是支持應用環(huán)境等之后，該大學的IT團隊開始重新思考其BYOD策略了。

“我們可以說處在BYOD運動的前沿，所以不像今天這樣有這么多資源可以用，”商學院的IT主任Jeremy Pollack說。“我倒希望我們今天才剛剛起步，這樣我們就可以從豐富的信息中獲益匪淺了。”

Gartner最新的調(diào)查稱，BYOD是全球眾多企業(yè)最為關切的企業(yè)級移動安全問題，這些企業(yè)中有很多已經(jīng)對個人設備提供技術支持，包括員工自有的智能手機(占受調(diào)查企業(yè)的32%)、平板電腦(37%)和筆記本電腦(44%)。“Gartner認為，BYOD是一種不可避免的需求，建議企業(yè)成立移動戰(zhàn)略團隊，作為IT部門從事數(shù)據(jù)管理和控制的一部分。”

在企業(yè)開始組建這一團隊之前，應考慮多種培訓選項。我們認為有五大關鍵資源選項可幫助企業(yè)把握BYOD的技術、法律和安全等各種問題，確保在推出BYOD計劃時溝通的順暢。

1、通過討論組尋找同行

沒人會比企業(yè)的IT負責人更懂BYOD，因為他們早已涉足其中了。在各種討論組里都會涉及到有關移動安全或者移動設備管理的話題，你會看到人們對于BYOD反反復復的討論。

Pollack就是通過其廠商VMware來尋找同行的。作為VMware View虛擬桌面基礎設施的用戶，他在其產(chǎn)品論壇里經(jīng)常需要提出問題，并解答問題。

LinkdeIn和其他社交媒體也能讓IT負責人在一個可控的環(huán)境中發(fā)起開放的BYOD話題與其他人討論，非盈利組織CompTIA的CIO Randy Gross稱。“有了BYOD，每天都會有新的事物出現(xiàn)，提出問題，然后從行業(yè)中的其他專家那里得到回應，這真是很好的事情。”

2、從行業(yè)會議尋求幫助

2012年，RSA大會首次增加了半天的移動安全分論壇，計劃委員會主席Hugh Thompson稱，“這算是開了條門縫。”幾乎每個分論壇的討論都會涉及到BYOD，包括如何應對移動惡意軟件、電子發(fā)現(xiàn)和扣押員工的個人設備等等。出于與會者的紛紛要求，2013年度的RSA大會將會把移動安全論壇延長為全天的會議，將閉門解決BYOD在企業(yè)中遇到的各種問題。

除了認真聽廠商與行業(yè)領袖們的演講外，各種行業(yè)會議還會給IT人士提供機會在茶歇或各類興趣小組中與同行們相互切磋。如果你沒機會參加這些會議的話，那么大多數(shù)行業(yè)會議都會提供在線資源或視頻記錄，這些也是同樣有價值的。

另一個值得關注的會議是ISACA的信息安全與風險管理大會，計劃今年11月14-16日在拉斯維加斯召開。

3、考慮課堂學習與認證

IT專業(yè)人員錯誤地認為BYOD只是一種實踐，背后沒有什么技術含量，但其實BYOD含有多種關鍵要素。Spiceworks的IT教育部就把BYOD做成了一門課程：“幫助臺101：如何運行一個搖滾幫助臺”，教授學生學習如何管理、支持和修復個人設備。

SANS協(xié)會也開設了一門兩天的課程“移動設備安全”，既有動手學習的內(nèi)容，也有關于BYOD策略制定和執(zhí)行的內(nèi)容。

4、留意行業(yè)知識中心和各類標準

一些重要的行業(yè)組織，包括SANS協(xié)會、NIST和CompTIA，都會發(fā)布各種標準、指引、白皮書、案例研究以及策略樣本等，幫助IT負責人了解BYOD在組織中的作用。

SANS協(xié)會的“安全操作意愿一致評價”對于BYOD從業(yè)者來說是一份相當完備的檢查清單。突出的是基本的安全行為、基準測試與評分工具、研究指南、事件處理格式，以及法律強制執(zhí)行問答等。

CompTIA提供了基本培訓指南，其中的論題如移動和IT安全都可免費獲得，還有更多高級的材料可為其成員提供。

美國國家標準與技術研究院(NIST)也在其特別出版物800-63中發(fā)布了它自己關于電子認證指南的建議。該報告的內(nèi)容涉及在開放網(wǎng)絡上訪問政府系統(tǒng)的用戶(如員工)、承包商以及與私營個體的遠程認證等問題。

隨著云逐漸成為很多BYOD戰(zhàn)略的中心，云安全聯(lián)盟(CSA)的移動工作組已將其工作范圍擴大到涵蓋BYOD了。

企業(yè)還應當熟悉一些垂直資源，例如美國律師協(xié)會也針對BYOD提出了司法建議。ISACA的安全顧問John Pironti說，“IT部門通常很少與律師打交道，除非之后的進程中不得不涉及司法問題時才會打交道。但實際上，他們應該與律師溝通，方能有機會了解到官方對于BYOD的立場。”

5、瀏覽分析師和廠商白皮書、調(diào)查報告、網(wǎng)絡廣播與案例研究

分析師和廠商經(jīng)常會研究BYOD對于IT方方面面的影響。例如Gartner就研究過BYOD對于托管桌面基礎設施的影響問題。Gartner還集合了一個工具集，可簡化移動設備使用策略及過程的創(chuàng)建。

Aberdeen、Forrester、Nemertes研究和其他資訊機構都會定期發(fā)布有關BYOD的調(diào)查、公告和博客等。

甚至一些跟移動設備管理或安全毫無干涉的廠商也會幫助其客戶收集各種信息，包括案例研究和調(diào)查。不過SANS協(xié)會高級總監(jiān)Joshua Wright說，在BYOD教育過程中最容易被忽略的一個領域就是操作系統(tǒng)安全。IT負責人首先必須確定其數(shù)據(jù)保護需求是否可以被某個移動設備平臺，如蘋果的iOS所滿足。所有的移動平臺都有一些獨特的功能，可能會與企業(yè)的安全策略相沖突。

想成為BYOD專家絕非一朝一夕之事——它需要采取主動性、持久性，并花費時間才行。這是一個不斷發(fā)展的學科，所以必須準備好對BYOD給予持續(xù)的關注。