移动的企业:保持安全性的四部曲

特约作者Vijay Dheap是IBM移动安全的战略专家

 

安全是平衡的艺术,尤其是当新兴的技术能发掘巨大的商业潜能时。每一次新的变革都需要企业调整它的安全策略,否则企业将要么冒着落后的风险,要么置身于不可控的风险之中。

移动变革也不例外。

曾经仅仅是面向个体用户的移动现象,如今却已快速地成为企业的头等业务要事。当个人、产品团队以及市场部门都在竭尽全力地去抓住移动变革所带来的利益时,安全组织则想尽办法地重新控制,或者说意识到需要重新控制企业所有与移动设备相关的活动。企业认识到迈向移动需要从战略的角度出发。

当下,定义一种移动的安全战略既重要又紧急。84%的用户在工作中都使用个人的智能手机,而自2010年来,移动设备上的恶意软件数量翻了四倍。最近的报告显示,51%的公司曾有过因为移动设备的不安全而丢失数据的经历,而由此带来的损失非常沉重,平均为550万美元。企业对减少由移动带来的风险有非常实际的需求,但是又不能影响到它们对于移动的业务目标。(这篇报道的最后,用图表的形式呈现了移动安全的统计数据)

鉴于移动互联网市场是动态发展变化的,企业非常难以去定义一种明确的风险管理策略,而如果按步就班地按照以前的风险管理策略,又会导致风险的增加。因此,一种方法是从以下四个方面聚焦于移动安全:

1、BYOD(bring your own device)

2、受保护的信息访问

3、安全的移动解决方案

4、移动安全情报

1. BYOD,也即自带设备,已经成为企业中移动安全策略的基本特征。尽管不仅限于智能手机和平板,这些新的移动设备已经非常迅速地、系统地渗透到了许多企业之中。但是,每一公司都可以通过制定适合于本公司的制度,来对员工如何使用这些自带的设备进行规定。BYOD政策应该体现出基于行业、规章制度和文化的企业风险偏好。政策可以限定可自带设备的范围,以及哪些人群会受到限制。当然,在企业执行BYOD政策之前,它需要获得对所有自带设备的掌握和控制。

2. 受保护的信息访问:移动设备使得雇员可以随时访问所需要的信息。不管已有多少企业数据在设备上了,雇员们总是经常需要更多的企业数据和资源。企业除了必须建立安全的信息联接渠道外,还必须管理与用户认证和授权相关的风险。用户通过移动设备对公司数据进行访问时,通常并不在公司内部,因此需要特别防范未经授权的信息访问,并减少冒险行为。另外,保护移动接口为安全团队提供了另一种思路去管理移动设备的使用者(比如,消费者、合伙人和不便管理的员工),在这种情况下,对移动设备本身进行监控并不是必要的。

3. 安全的移动解决方案:移动应用已成为对消费者、合伙人和员工发布移动解决方案的主要途径。应用程序开启了丰富的、面向任务的功能,以及移动消费者所需要的用户体验。一些移动解决方案是外包给第三方机构的,而另一些则是由企业内不同的部门共同打造的。安全性设计需要在软件研发过程的每一步都被考虑在内。移动应用的开发者们通常不具有较高的安全意识,他们需要工具和方法来帮助贯彻企业的安全标准和最佳实践。另外,企业必须在发展移动解决方案的全过程中,制定并执行安全标准的基线。

 

4. 通过风险管理实现移动安全需要持续地警惕性。快速的创新带来新的能力,而后者又会催生新的行为。随着移动战略的加速,它将会越来越成为侵略者的目标。由于移动设备已成为主要的社交平台,以个人或组织为目标的安全威胁将会越来越多。为了识别风险并采取合适的缓冲手段,企业需要在移动设备被使用的所有环节上收集情报。情报收集应该包括来自设备、用户、应用程序和网络的安全信息,并对它们进行汇总和分析,这同时也需要遵守现行的风险管理政策。

移动是一项革命性的技术,它在参与某项活动的专业性和个性上,赋予了个体前所未有的自由与灵活性。企业负担不了固步自封的代价,但是又绝不能盲目地、不做任何防范地拥抱这一新技术。通过聚焦于BYOD,保护接口,保证移动解决方案的安全和发展移动安全情报,企业能够将雇员与组织作为一个整体,做到对风险与回报的平衡。

更多有关移动的企业安全,请看下面的图表。

199it编译自ReadWriteWeb,译者:Hanlin

感谢支持199IT
我们致力为中国互联网研究和咨询及IT行业数据专业人员和决策者提供一个数据共享平台。

要继续访问我们的网站,只需关闭您的广告拦截器并刷新页面。
滚动到顶部