IT風險管理因移動技術(shù)而改變

申請免費試用、咨詢電話：400-8352-114

近來一系列調(diào)查報告已經(jīng)證實，大多數(shù)企業(yè)都在考慮將移動設(shè)備管理（簡稱MDM）與其它安全類方案納入業(yè)務(wù)環(huán)境。雖然共識已經(jīng)達成，但只有少數(shù)企業(yè)真正著手部署，顯然大多數(shù)從業(yè)者仍然在與移動安全問題苦苦斗爭。那么，移動技術(shù)使設(shè)備管理系統(tǒng)風險管理有哪些改變呢？

 透徹理解移動問題、以量化標準評估風險狀況是技術(shù)產(chǎn)業(yè)的當務(wù)之急。

遺憾的是，許多企業(yè)尚沒有勇氣率先對移動技術(shù)與BYOD給業(yè)務(wù)帶來的影響做出量化評估并尋求最佳實踐與技術(shù)方案，他們大多仍然在如何進行預(yù)算分配而舉棋不定。不過專家們提醒稱，一味將資金投入到新型安全產(chǎn)品中而缺乏對采購對象的透徹理解與必要性分析，很可能導(dǎo)致企業(yè)一邊花著冤枉錢、一邊承受著高風險。 “管理員們通常都無法向管理層準確并詳盡傳達技術(shù)信息，他們說不出我們到底‘為什么要買這個或是買那個’。歸根結(jié)底，設(shè)備管理系統(tǒng)團隊自身都沒能準確量化移動風險，”移動風險管理企業(yè)Fixmo公司CSO Dan Ford指出，他的博士結(jié)業(yè)論文正準備以iOS在企業(yè)領(lǐng)域中的風險評估方案為題。   最新的MDM部署狀況統(tǒng)計數(shù)據(jù)也證實了Ford的結(jié)論。盡管Gartner公司的分析師們預(yù)計在未來五年內(nèi)，將有三分之二的企業(yè)正式將MDM解決方案作為員工用戶的必備工具，但就目前來看企業(yè)仍然沒搞清楚自己到底應(yīng)該如何選擇合適的產(chǎn)品。InfromationWeek網(wǎng)站剛剛公布的一篇分析文章《四十家BYOD供應(yīng)商，一片良莠不齊的市場》就明確指出，只有四分之一左右的企業(yè)當下已經(jīng)完成MDM方案的部署。   Ford認為，對不同移動風險加以量化能夠幫助企業(yè)正確選擇適合自身情況的技術(shù)類型以及政策需要支持的實踐方案，這恰恰是風險管理工作中最重要的一環(huán)。換言之，與其簡單將潛在風險劃分為高、中、低或者紅、橙、綠級別，倒不如下番工夫弄清楚到底有多少種風險存在。評估工作的問題在于，如果安全機制能夠?qū)⒛撤N高危事態(tài)的風險程度降低10%，那么處理之后的風險仍然屬于高危范疇——設(shè)備管理系統(tǒng)部門將很難同管理層交代，為什么在花了那么多預(yù)算之后，高危問題仍然“高危”。而在以密碼政策為代表的各類MRM（即移動資源管理）實際規(guī)劃中，最重要的就是功能的專一性與確定性。   “如果我使用四位數(shù)字PIN碼會帶來多大風險？如果我只使用六位長度的密碼又會引發(fā)何種麻煩？”他問道，并解釋稱這正是企業(yè)在管理中應(yīng)該詢問并努力追求量化效果的典型議題。   Perimeter E-Security公司首席技術(shù)官Andrew Jaquith指出，企業(yè)應(yīng)該馬上著手對移動實踐進行風險評估，并針對主要安全問題進行三個層面的探討。   “移動風險決策應(yīng)該圍繞三大核心展開，即技術(shù)、政策與法律，”他表示。“要保證業(yè)務(wù)的順利運轉(zhuǎn)，企業(yè)必須盡早解決這三大問題。”   而從技術(shù)的角度看，企業(yè)應(yīng)該考慮如何為設(shè)備管理系統(tǒng)基礎(chǔ)設(shè)施的全局安全狀況選擇有針對性的設(shè)備、設(shè)定以及網(wǎng)絡(luò)配置方案。另外，企業(yè)還需要格外關(guān)注風險評估與控制工作，把包括身份驗證、數(shù)據(jù)訪問驗證以及加密等機制部署到位，F(xiàn)ord建議道。   “風險評估中的一大重點在于了解讓我們所使用的應(yīng)用程序與MDM工具如何保存許可證書，這是驗證機制中的關(guān)鍵性環(huán)節(jié)，”他表示。   舉例來說，那些完全將證書存儲交給iOS密鑰或者Android密碼功能的企業(yè)等于是在無形中把敏感數(shù)據(jù)暴露在了薄弱的安全環(huán)境之下，他提醒稱。即使是部署了MDM產(chǎn)品的企業(yè)也還遠不能高枕無憂——很多工具與上述密碼功能聯(lián)系緊密，這就使得驗證管理政策出現(xiàn)了嚴重漏洞，他補充道。   在對移動技術(shù)的安全風險進行整體評估時，F(xiàn)ord建議企業(yè)參考NIST（即美國國家標準暨技術(shù)學(xué)會）發(fā)布的《企業(yè)級移動設(shè)備管理與保護指南》一文。雖然這篇文章尚未最終完成，但主體部分已經(jīng)撰寫完畢，并為企業(yè)提供了一套優(yōu)秀的風險因素考量及決策框架。   而在政策風險方面，企業(yè)需要考慮究竟什么樣的移動政策會真正給風險帶來影響——無論是拉高還是降低——政策是否允許員工持有的設(shè)備訪問網(wǎng)絡(luò)資源、是否會根據(jù)設(shè)備來源限制其訪問權(quán)限或者說設(shè)備內(nèi)置政策是否能實現(xiàn)包括屏幕鎖定及應(yīng)用使用情況監(jiān)控等功能。   “大家是不是直接把臺式機那一套安全理論直接搬過來扔給移動手機，希望同樣的密碼管理等政策能夠發(fā)揮相近的作用？”Jaquith提問道。“答案恐怕是否定的。這就需要我們來為移動風險的最佳實踐摸索出一套準確的定義。”   有一種最佳安全實踐可能長久以來始終被企業(yè)所忽視，這就是歸納開發(fā)實踐如何將風險帶入移動應(yīng)用（包括面向客戶或企業(yè)內(nèi)部應(yīng)用）環(huán)境當中。如果企業(yè)沒能準確量化由高危應(yīng)用所帶來的風險，他們將很難制定出明確的預(yù)算分配策略、并最終在降低應(yīng)用開發(fā)漏洞方面一敗涂地。   “大家不妨考慮這樣一個問題：在我們創(chuàng)建應(yīng)用程序時，什么樣的風險管理會引發(fā)殺雞用牛刀之嫌？而什么樣的風險管理手段又會導(dǎo)致安保力度不足？”Jaquith如是說。“多少才是太多、多少才是太少，這是個大問題。”   最后再來聊聊法律風險。移動技術(shù)所帶來的并不僅僅是對元數(shù)據(jù)管理合規(guī)性方面的影響，更可能令許多試圖通過追蹤來實現(xiàn)BYOD控制的技術(shù)團隊吃個違反隱私權(quán)的官司。   “法律風險同樣不容小覷；舉例來說，當管理者同意將企業(yè)數(shù)據(jù)保存在個人持有的設(shè)備中時，整套法律環(huán)境真的足夠完備嗎？用戶對這些業(yè)務(wù)數(shù)據(jù)是否擁有所有權(quán)及使用權(quán)？”他提出疑問，并以此來解釋風險評估在法律層面上的重要性。我們必須理解執(zhí)法者對于企業(yè)與員工在個人設(shè)備處置權(quán)方面的思路，并以此為基礎(chǔ)建立嚴密、完善的管理政策。

【推薦閱讀】

◆設(shè)備管理軟件軟件專區(qū)

◆移動設(shè)備管理領(lǐng)域緣何進展緩慢

◆設(shè)備管理系統(tǒng)：移動裝置上惡意軟件探討

◆BYOD面臨井噴 設(shè)備管理系統(tǒng)如何應(yīng)對大挑戰(zhàn)

◆設(shè)備管理系統(tǒng)運維管理專區(qū)

本文來自互聯(lián)網(wǎng)，僅供參考