移动安全安全管理 应用案例 网络威胁 系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 安全管理 >

展望2013:建立移动风险管理策略

时间:2013-03-11 15:10来源: 点击:
随着移动设备大量涌入企业环境,企业的IT管理者们需要通过各种方法来管理其中带来的安全风险。在这种情况下,企业拥有一个正式的移动设备风险策略,并将其作为企业信息安全指导的一部
Tags移动设备(55)风险管理(18)SaaS(47)移(4)  

  随着移动设备大量涌入环境,企业的者们需要通过各种方法来管理其中带来的安全风险。聪明的IT管理者们正在为企业计划建立针对移动设备管理的策略,以便能充分激发移动设备所带来的办公优势,同时降低其中潜在的安全风险。

  如果你是某家大型企业的或者小公司的网管,你都会注意到使用和电脑的员工数量呈直线上升趋势。

  这种趋势的积极方面是,如果员工使用自己的移动设备在访问企业数据、与同事协作办公、与客户沟通方面觉得更加舒适,那么这将会极大的提高员工的办公效率。但是我们也要注意到,移动设备的增加也会带来安全风险。

  聪明的IT管理者们正在为企业计划建立针对移动设备管理的策略,以便能充分激发移动设备所带来的办公优势,同时降低其中潜在的安全风险。根据ZDNet展望2013系列调查显示,334个被调查IT管理者中,有超过半数(52%)表示他们正在加大力度解决移动设备风险管理问题,有超过三分之一(38%)表示他们正在寻求第三方机构的协助。

  不过该调查也显示出,仍然有不少企业还没有开始建立自己的移动设备管理策略。调查中,只有46%的企业表示他们有计划建立MDM策略。

  移动设备所带来的风险对于那些已经实施移动设备管理策略的企业来说,正处于管控之下。美国马萨诸塞州奇科皮储蓄银行,在马萨诸塞州西部有七家分行,该银行从五年前就开始对于基于WindowsCE系统的智能进行风险控制,如今已经将MDM策略重点转移到了安卓设备上。

  该银行IT部门副总经理Darlene Libiszewski 表示:“我们最初采用Windows智能手机的目的是为了能够保证企业邮件、合同和日程安排及时送达我们的经理、销售人员和支持人员手中,不论他们是在办公室还是外出办事。”

  银行最初建立了一个评估机制来评估移动设备的风险和收益情况,Libiszewski说:“当我们对企业资源进行投资时,就有一个正式的风险管理原则。”

  移动设备中的机密信息是个安全风险,她说:“为了最小化这个风险,我们意识到我们需要拥有这些移动设备,并将其处于自己的管理和控制之下。”

  但是为了降低购置智能手机的成本,银行现在决定考虑采用BYOD(自带设备办公)项目。Libiszewski认为,对于风险的管控是一个持续的过程,她还认为:“未来将有更多的针对移动设备的风险管理策略出台,因为现在人们对于移动设备的依赖度大大增加了,而这个领域还是一个函待开发的新安全领域。”

  技术是执行者

  对于IT部门管理设备和维护企业来说,技术扮演者重要的角色。南卡罗来纳州乔治敦的Georgetown Hospital System公司是当地一家医疗服务供应商,该公司严重依赖与多种技术,如BlackBerry Enterprise Server, Exchange Server 以及来自AirWatch 公司的移动设备管理技术,来保护和iPhones、以及的安全。

  公司CIO Frank Scafidi 表示:“公司员工使用手机和移动设备的首要用途是收发电子邮件和访问日程安排,而这些功能的使用者是公司高级管理层、经理以及被临时授权的员工,比如出差或出诊的人员。”平板电脑的使用者主要是公司经理级以上的人员,现在很多医生也开始使用平板电脑访问公司的各种应用。

  Georgetown 在2010年开始采用的AirWatch公司的产品,可以让IT管理者对于移动设备进行限制、应用安全策略、远程杀毒以及清空移动设备内存、监视设备使用情况等。公司还计划将目前的黑莓手机用户都迁移到AirWatch管理环境,从而淘汰BlackBerry,实现统一化的管理环境。

  除了采用先进的安全技术,公司还在开发帮助用户正确使用移动设备的策略。佛吉尼亚州罗诺克的HomeTown Bank 在四年前实施了客户信息安全和一套可接受的银行移动设备策略。银行IT部门副经理Michael Wright 表示,法律要求银行每年都要对员工进行安全策略教育和确认。

  他说:“这个策略实际上是教育员工正确对待客户信息和提高安全意识的。同时还要求员工需要掌握一些功能,比如对特定信息进行锁定和加密。”

  使用移动设备,比如iPad的银行员工必须同意银行在必要情况下可以远程重置和删除设备中存储的敏感信息。而只有那些需要访问公司邮件才能完成工作的人员可以通过移动设备访问企业网络。而所有接入公司邮箱的移动设备都会被设置一个锁定机制,如果多次重复尝试错误,设备中的信息将会被自动删除。

  BYOD成2013企业安全关注重点

  展望2013,IT执行者们将会继续努力使用现有工具和服务降低移动设备带来的安全风险。Libiszewski表示:“我预计BYOD将成为2013年企业安全关注的重点,而我可能会利用各种协助完成我的工作,比如编写策略,评估和实施移动设备、工具以及管理软件。”

  Wright 表示,HomeTown Bank正计划通过类型的移动设备管理工具确保所有移动设备能够正常工作。该软件可以让银行强制移动设备输入密码,移除移动设备中的特定程序或将移动设备中的全部信息擦除。

  银行还会每年对于设备的最低安全要求进行审查,并对员工进行设备。另外,银行还会提供有关社交引擎、恶意软件等方面的安全培训。

  451 Research的移动服务分析师Vishal Jain表示,在2013年,企业将更多的通过管理工具帮助他们确保文档和网络的安全,同时又不会侵犯到员工的隐私或要求员工修改他们常规的设备使用习惯。他说:“我们认为,移动设备安全,应用管理,智能化以及威胁检测都是未来企业所需要的。”

  随着越来越多的人将他们自己的移动设备带入公司进行办公,与移动设备相关联的风险只会不断的增加,并且日趋复杂。Jain认为:“企业所面临的最大威胁是存储有企业数据的移动设备丢失或被盗。”

  Jain认为,既然员工已经将自己的设备带入了工作环境,就自然的形成了一个未经管理的BYOD项目。在这种情况下,企业拥有一个正式的移动设备风险策略,并将其作为企业信息安全指导的一部分,是非常重要的。

------分隔线----------------------------

推荐内容