在BYOD議題上,企業(yè)不要表現(xiàn)的象是在幫員工一個忙,而是要將移動安全視為整個企業(yè)安全的一環(huán)����。每一天都會看到一些聳動標(biāo)題,哭喊著移動運算造成重大安全威脅�����,例如網(wǎng)絡(luò)攻擊創(chuàng)下了天文數(shù)字�、Y世代員工就是不聽話、App商店成為惡意軟件的溫床等��。企業(yè)甚至因此另外分出一個專門會議���,來討論移動運算的安全問題。
在最新的移動安全調(diào)查中���,回應(yīng)的人數(shù)比去年大幅增加了32%��。許多公司推出攜帶自有設(shè)備(Bring your own device)計劃����,但也造成設(shè)備與平臺的多樣化��,諸多問題導(dǎo)致IT團隊干脆放棄現(xiàn)有服務(wù)器,把所有東西送到云端���,然后打包回家�����。
先等一等!移動安全可不是只用錢就可買來的東西���,企業(yè)應(yīng)該先放下支票簿、遠離移動設(shè)備管理系統(tǒng)��,然后搞清楚:現(xiàn)在企業(yè)面對的����,其實是流程與信任的問題。
建立資料分類流程
現(xiàn)在許多CIO彷彿就象是那只在深夜里看見車頭燈的鹿�����,這其實不能怪他們��。不過���,許多人認為移動化會讓安全變的與一般IT安全不一樣����,這就有問題了。如今大家的憂心明顯增加��,其實這反映出了過去十多年來安全團隊所做的糟糕流程���、溝通與抉擇�����。請看看下列移動與IT安全廠商的前5大注意事項:
1. 在所有移動設(shè)備上標(biāo)示使用者與公司信息�����。
2. 要求使用者利用安全密碼來認證移動設(shè)備���。
3. 定義認證功能,例如密碼過期時間���、輸入次數(shù)限制、密碼的長度與強度�����。
4. 確保所有移動設(shè)備都有逾時機制,在靜止活動一段時間后會自動要求用戶輸入密碼�。
5. 防止移動設(shè)備從無線網(wǎng)絡(luò)下載不安全的第三方應(yīng)用。
現(xiàn)在��,把移動這個字拿開�����。這些建議其實可適用于每一種可連網(wǎng)的IT資產(chǎn)���,包括筆記型計算機��、桌上型計算機與服務(wù)器����。所以�����,企業(yè)何必恐慌(有時候恐慌是為了達到某種策略目的)�?
大力渲染移動惡意軟件的風(fēng)險,對IT人員來說是件好事���,因為要讓使用者注意或讓主管花時間與金錢在一件從不認為是問題的事情上���,其實是很困難的�,所以第一步通常會先散播恐懼����。
舉例來說,幾年前��,有一家金控公司找上筆者的顧問公司做實體安全評估�,因為該公司一直有開后門的問題,員工沒有任何危機意識���、管理階層不愿改變���,僅表示公司的文化就是強調(diào)開放與客戶服務(wù),所以他們不想逼大家花時間等待許可��,即使CIO已經(jīng)明確指出����,攻擊者可以大搖大擺的進到網(wǎng)絡(luò)里。
這位CIO花了2年時間�,希望能建立最基本的安全運維流程�����,卻徒勞無功。于是該CIO做了件有點冒險的事:他要求筆者派出一位陌生人�,到大樓里偷一個錢包,筆者輕而易舉的照做了�。當(dāng)這位受害者找不到錢包和車鑰匙的時候,騷亂接踵而至��,消息很快傳開�����。當(dāng)然�,筆者15分鐘后就把錢包物歸原主;接下來,大家馬上開始用不同角度來看門戶大開這件事了����。
當(dāng)談?wù)撘苿影踩臅r候,在許多IT團隊眼中�,移動惡意軟件肆虐、造成企業(yè)資料外流的狀況����,其實就像偷皮包一樣;不過,這個問題可能太過小題大作��,特別是在美國。
Google的背上彷彿畫著一個標(biāo)靶���,因為Android被視為移動惡意軟件的溫床�。他們最近在2013年Virus Bulletin會議上發(fā)表演說����,而結(jié)論是,在所有Android使用者下載的應(yīng)用程序中�����,只有0.001%對下載的設(shè)備或設(shè)備中的資料產(chǎn)生風(fēng)險�。
喬治亞理工學(xué)院與網(wǎng)絡(luò)安全業(yè)內(nèi)人士Damballa的研究也呼應(yīng)Google的論點,研究人員發(fā)現(xiàn)��,移動惡意軟件只存在于非常少數(shù)的設(shè)備����。究竟有多少?在3.8億臺設(shè)備中�,只有3,492臺顯示出受感染跡象�����,這個比例比Google估計的更低。問問身邊的人或是IT專家吧���,看有沒有人的設(shè)備被移動惡意軟件入侵?恐怕不容易找到案例��。
這個故事的意義在于��,其實只有一種風(fēng)險是專屬于移動設(shè)備:那就是內(nèi)涵機密信息的設(shè)備遭竊����。IT單位都同意筆者做的《移動安全調(diào)查》中,有78%受訪者表示他們最大的疑慮是設(shè)備遺失或是設(shè)備遭竊���。
沒錯����,iPhone確實比服務(wù)器更容易失竊;但道理是一樣的:重點仍在于資料����。如果一臺平板計算機里沒有任何敏感信息,損失的只有硬件成本而已�。不幸的是,在筆者訪談過的公司中����,多數(shù)仍熱衷于安裝移動設(shè)備管理系統(tǒng)��。
如此一來�,要不就是這些公司把原本已經(jīng)很貧弱的資料安全措施延伸到智能型手機與平板計算機上;要不就是走向另一個極端���,也就是緊緊鎖住設(shè)備�,讓使用者大感不悅�。心生不悅的員工,很可能鋌而走險不聽指揮;企業(yè)也很可能無法讓移動設(shè)備提升生產(chǎn)效能��。
所以�����,正確答案絕不是移動設(shè)備管理或移動應(yīng)用管理��,也不是任何綁住設(shè)備的方法�。重點其實是要建立一套流程,將機密資料加以分類��,并確保其安全無虞�。貴公司可能會說,但是,讓員工使用自己的平板計算機與手機�����,幾乎讓企業(yè)不可能建立任何規(guī)范�����。
抱歉�����,看來貴公司可能還沒搞清楚移動性的重點:在任何地方��、任何時間都可擷取資料��,并不代表大家可以從公司的檔案服務(wù)器復(fù)制資料到移動設(shè)備中��。反之�,在99%的狀況中��,企業(yè)必須把檔案復(fù)制到云端服務(wù)���,然后透過企業(yè)的設(shè)備�����,到云端取得資料�����。
在建立一個統(tǒng)一的安全政策前����,貴公司得先弄清楚,員工究竟要怎樣才會有生產(chǎn)力��。他們希望使用何種云端服務(wù)����?他們想在哪里使用?他們希望儲存哪些資料�����?要怎么使用這些資料����?找出答案,然后制定一套符合這些需求的安全流程����,而不是一味地由IT發(fā)號施令�����,硬是推動移動設(shè)備管理系統(tǒng)�����,然后假裝使用者都很乖��,不會把資料存到Dropbox和Google Doc上面。
貴公司可以斷定��,有些人就是會這么做��。在《2013云端安全與風(fēng)險調(diào)查》顯示�����,有28%受訪者希望在未來24個月內(nèi)���,可在云端完成25%或更多的IT服務(wù)��,這只是官方說法���,真正的數(shù)字可能是2倍之多�����。在筆者的《Google in the Enterprise調(diào)查》中�,有69%受訪者表示���,他們喜歡Google Apps�����,只有28%不鼓勵或禁止使用Google的生產(chǎn)力產(chǎn)品����。
即使貴公司把移動設(shè)備管理或移動應(yīng)用管理強推到用戶設(shè)備上����,《iPass Global Mobile Workforce報告》也指出,大約有1/4員工會為了能夠完成工作�,而主動繞過IT人員強加的移動安全控制機制,他們不覺得這有什么不對��。
與其和使用者對抗��,不如提供企業(yè)級的Box賬戶,藉此適當(dāng)控制并建立政策���,不必再操煩使用者應(yīng)該在移動設(shè)備上安裝何種App��。滿足員工生產(chǎn)力需求的額外好處是�,IT人員可以遵循一個一致的政策(例如使用Box)�,讓在家工作的人可透過筆記本電腦與其它設(shè)備連到公司的虛擬私人網(wǎng)絡(luò)(VPN)。貴公司還記得那些PC對吧����?這些PC也可以擷取,而且也很可能被偷或不小心弄丟����。
信息發(fā)布:廣州名易軟件有限公司 http://m.jetlc.com
|
名易MyOA協(xié)同綜合辦公平臺
名易MyCRM客戶關(guān)系管理平臺
名易MyHR人力資源管理平臺
名易MyIDP智能開發(fā)平臺
名易MyIBP保險業(yè)務(wù)管理平臺
名易MyHMS酒店綜合管理系統(tǒng)
名易MyPM項目管理平臺
名易MyTMS物流運輸管理平臺
名易MyVMS汽車綜合管理系統(tǒng)
名易MyIMS貸款管理系統(tǒng)
名易MyEDU教育管理平臺
名易MyPCS生產(chǎn)事務(wù)協(xié)調(diào)系統(tǒng)
名易MyWIDP微信智能開發(fā)平臺
