監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 甲方項(xiàng)目管理系統(tǒng) | 簽約案例 | 客戶案例 | 在線試用
X 關(guān)閉

移動(dòng)信息化毫無(wú)設(shè)防 CIO如何控制局面

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

       在BYOD議題上,企業(yè)不要表現(xiàn)的象是在幫員工一個(gè)忙,而是要將移動(dòng)安全視為整個(gè)企業(yè)安全的一環(huán)。每一天都會(huì)看到一些聳動(dòng)標(biāo)題,哭喊著移動(dòng)運(yùn)算造成重大安全威脅,例如網(wǎng)絡(luò)攻擊創(chuàng)下了天文數(shù)字、Y世代員工就是不聽話、App商店成為惡意軟件的溫床等。企業(yè)甚至因此另外分出一個(gè)專門會(huì)議,來(lái)討論移動(dòng)運(yùn)算的安全問(wèn)題。

       在最新的移動(dòng)安全調(diào)查中,回應(yīng)的人數(shù)比去年大幅增加了32%。許多公司推出“攜帶自有設(shè)備”(Bring your own device)計(jì)劃,但也造成設(shè)備與平臺(tái)的多樣化,諸多問(wèn)題導(dǎo)致IT團(tuán)隊(duì)干脆放棄現(xiàn)有服務(wù)器,把所有東西送到云端,然后打包回家。

       先等一等!移動(dòng)安全可不是只用錢就可買來(lái)的東西,企業(yè)應(yīng)該先放下支票簿、遠(yuǎn)離移動(dòng)設(shè)備管理系統(tǒng),然后搞清楚:現(xiàn)在企業(yè)面對(duì)的,其實(shí)是流程與信任的問(wèn)題。

建立資料分類流程

    現(xiàn)在許多CIO彷彿就象是那只在深夜里看見(jiàn)車頭燈的鹿,這其實(shí)不能怪他們。不過(guò),許多人認(rèn)為“移動(dòng)化”會(huì)讓安全變的與一般IT安全不一樣,這就有問(wèn)題了。如今大家的憂心明顯增加,其實(shí)這反映出了過(guò)去十多年來(lái)安全團(tuán)隊(duì)所做的糟糕流程、溝通與抉擇。請(qǐng)看看下列移動(dòng)與IT安全廠商的前5大注意事項(xiàng):
1. 在所有移動(dòng)設(shè)備上標(biāo)示使用者與公司信息。
2. 要求使用者利用安全密碼來(lái)認(rèn)證移動(dòng)設(shè)備。
3. 定義認(rèn)證功能,例如密碼過(guò)期時(shí)間、輸入次數(shù)限制、密碼的長(zhǎng)度與強(qiáng)度。
4. 確保所有移動(dòng)設(shè)備都有逾時(shí)機(jī)制,在靜止活動(dòng)一段時(shí)間后會(huì)自動(dòng)要求用戶輸入密碼。
5. 防止移動(dòng)設(shè)備從無(wú)線網(wǎng)絡(luò)下載不安全的第三方應(yīng)用。

    現(xiàn)在,把“移動(dòng)”這個(gè)字拿開。這些建議其實(shí)可適用于每一種可連網(wǎng)的IT資產(chǎn),包括筆記型計(jì)算機(jī)、桌上型計(jì)算機(jī)與服務(wù)器。所以,企業(yè)何必恐慌(有時(shí)候恐慌是為了達(dá)到某種策略目的)?

    大力渲染移動(dòng)惡意軟件的風(fēng)險(xiǎn),對(duì)IT人員來(lái)說(shuō)是件好事,因?yàn)橐屖褂谜咦⒁饣蜃屩鞴芑〞r(shí)間與金錢在一件從不認(rèn)為是問(wèn)題的事情上,其實(shí)是很困難的,所以第一步通常會(huì)先散播恐懼。

    舉例來(lái)說(shuō),幾年前,有一家金控公司找上筆者的顧問(wèn)公司做實(shí)體安全評(píng)估,因?yàn)樵摴疽恢庇虚_后門的問(wèn)題,員工沒(méi)有任何危機(jī)意識(shí)、管理階層不愿改變,僅表示公司的文化就是強(qiáng)調(diào)開放與客戶服務(wù),所以他們不想逼大家花時(shí)間等待許可,即使CIO已經(jīng)明確指出,攻擊者可以大搖大擺的進(jìn)到網(wǎng)絡(luò)里。

    這位CIO花了2年時(shí)間,希望能建立最基本的安全運(yùn)維流程,卻徒勞無(wú)功。于是該CIO做了件有點(diǎn)冒險(xiǎn)的事:他要求筆者派出一位陌生人,到大樓里偷一個(gè)“錢包”,筆者輕而易舉的照做了。當(dāng)這位“受害者”找不到“錢包”和“車鑰匙”的時(shí)候,騷亂接踵而至,消息很快傳開。當(dāng)然,筆者15分鐘后就把“錢包”物歸原主;接下來(lái),大家馬上開始用不同角度來(lái)看門戶大開這件事了。

    當(dāng)談?wù)撘苿?dòng)安全的時(shí)候,在許多IT團(tuán)隊(duì)眼中,移動(dòng)惡意軟件肆虐、造成企業(yè)資料外流的狀況,其實(shí)就像偷皮包一樣;不過(guò),這個(gè)問(wèn)題可能太過(guò)小題大作,特別是在美國(guó)。

    Google的背上彷彿畫著一個(gè)標(biāo)靶,因?yàn)锳ndroid被視為移動(dòng)惡意軟件的溫床。他們最近在2013年Virus Bulletin會(huì)議上發(fā)表演說(shuō),而結(jié)論是,在所有Android使用者下載的應(yīng)用程序中,只有0.001%對(duì)下載的設(shè)備或設(shè)備中的資料產(chǎn)生風(fēng)險(xiǎn)。

     喬治亞理工學(xué)院與網(wǎng)絡(luò)安全業(yè)內(nèi)人士Damballa的研究也呼應(yīng)Google的論點(diǎn),研究人員發(fā)現(xiàn),移動(dòng)惡意軟件只存在于非常少數(shù)的設(shè)備。究竟有多少?在3.8億臺(tái)設(shè)備中,只有3,492臺(tái)顯示出受感染跡象,這個(gè)比例比Google估計(jì)的更低。問(wèn)問(wèn)身邊的人或是IT專家吧,看有沒(méi)有人的設(shè)備被移動(dòng)惡意軟件入侵?恐怕不容易找到案例。

    這個(gè)故事的意義在于,其實(shí)只有一種風(fēng)險(xiǎn)是專屬于移動(dòng)設(shè)備:那就是內(nèi)涵機(jī)密信息的設(shè)備遭竊。IT單位都同意筆者做的《移動(dòng)安全調(diào)查》中,有78%受訪者表示他們最大的疑慮是設(shè)備遺失或是設(shè)備遭竊。

    沒(méi)錯(cuò),iPhone確實(shí)比服務(wù)器更容易失竊;但道理是一樣的:重點(diǎn)仍在于資料。如果一臺(tái)平板計(jì)算機(jī)里沒(méi)有任何敏感信息,損失的只有硬件成本而已。不幸的是,在筆者訪談過(guò)的公司中,多數(shù)仍熱衷于安裝移動(dòng)設(shè)備管理系統(tǒng)。

    如此一來(lái),要不就是這些公司把原本已經(jīng)很貧弱的資料安全措施延伸到智能型手機(jī)與平板計(jì)算機(jī)上;要不就是走向另一個(gè)極端,也就是緊緊鎖住設(shè)備,讓使用者大感不悅。心生不悅的員工,很可能鋌而走險(xiǎn)不聽指揮;企業(yè)也很可能無(wú)法讓移動(dòng)設(shè)備提升生產(chǎn)效能。

    所以,正確答案絕不是移動(dòng)設(shè)備管理或移動(dòng)應(yīng)用管理,也不是任何綁住設(shè)備的方法。重點(diǎn)其實(shí)是要建立一套流程,將機(jī)密資料加以分類,并確保其安全無(wú)虞。貴公司可能會(huì)說(shuō),“但是,讓員工使用自己的平板計(jì)算機(jī)與手機(jī),幾乎讓企業(yè)不可能建立任何規(guī)范。”

    抱歉,看來(lái)貴公司可能還沒(méi)搞清楚移動(dòng)性的重點(diǎn):在任何地方、任何時(shí)間都可擷取資料,并不代表大家可以從公司的檔案服務(wù)器復(fù)制資料到移動(dòng)設(shè)備中。反之,在99%的狀況中,企業(yè)必須把檔案復(fù)制到云端服務(wù),然后透過(guò)企業(yè)的設(shè)備,到云端取得資料。

    在建立一個(gè)統(tǒng)一的安全政策前,貴公司得先弄清楚,員工究竟要怎樣才會(huì)有生產(chǎn)力。他們希望使用何種云端服務(wù)?他們想在哪里使用?他們希望儲(chǔ)存哪些資料?要怎么使用這些資料?找出答案,然后制定一套符合這些需求的安全流程,而不是一味地由IT發(fā)號(hào)施令,硬是推動(dòng)移動(dòng)設(shè)備管理系統(tǒng),然后假裝使用者都很乖,不會(huì)把資料存到Dropbox和Google Doc上面。

    貴公司可以斷定,有些人就是會(huì)這么做。在《2013云端安全與風(fēng)險(xiǎn)調(diào)查》顯示,有28%受訪者希望在未來(lái)24個(gè)月內(nèi),可在云端完成25%或更多的IT服務(wù),這只是官方說(shuō)法,真正的數(shù)字可能是2倍之多。在筆者的《Google in the Enterprise調(diào)查》中,有69%受訪者表示,他們喜歡Google Apps,只有28%不鼓勵(lì)或禁止使用Google的生產(chǎn)力產(chǎn)品。

    即使貴公司把移動(dòng)設(shè)備管理或移動(dòng)應(yīng)用管理強(qiáng)推到用戶設(shè)備上,《iPass Global Mobile Workforce報(bào)告》也指出,大約有1/4員工會(huì)為了能夠完成工作,而主動(dòng)繞過(guò)IT人員“強(qiáng)加”的移動(dòng)安全控制機(jī)制,他們不覺(jué)得這有什么不對(duì)。

    與其和使用者對(duì)抗,不如提供企業(yè)級(jí)的Box賬戶,藉此適當(dāng)控制并建立政策,不必再操煩使用者應(yīng)該在移動(dòng)設(shè)備上安裝何種App。滿足員工生產(chǎn)力需求的額外好處是,IT人員可以遵循一個(gè)一致的政策(例如使用Box),讓在家工作的人可透過(guò)筆記本電腦與其它設(shè)備連到公司的虛擬私人網(wǎng)絡(luò)(VPN)。貴公司還記得那些PC對(duì)吧?這些PC也可以擷取企業(yè)信息,而且也很可能被偷或不小心弄丟。
發(fā)布:2007-03-27 14:29    編輯:泛普軟件 · xiaona    [打印此頁(yè)]    [關(guān)閉]
相關(guān)文章:
相關(guān)軟件
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費(fèi)獲取試用系統(tǒng)

QQ在線咨詢