最好的移動(dòng)安全計(jì)劃:先檢查風(fēng)險(xiǎn) 再對(duì)癥下藥

責(zé)任編輯:editor005

作者:Niel Nickolaisen

2016-08-08 14:33:04

摘自:TechTarget中國

與此同時(shí),我們必須考慮某種程度的控制,應(yīng)對(duì)有害行為的風(fēng)險(xiǎn)。另一方面,如果沒有人能夠在手機(jī)上接收或存儲(chǔ)關(guān)鍵的PII,可能性-影響組合就較小,我們可能就不需要控制用戶的生活。

CIO們?nèi)绾螌?shí)施最好的移動(dòng)安全? CTO Niel Nickolaisen認(rèn)為可以從偉大的心理學(xué)家Abraham Maslown那里找到答案。

Maslow的需求層次理論從最基本的需求開始(“生理”需求和“安全”),然后達(dá)到人類需求的最高層次——自我實(shí)現(xiàn)。其中還包括歸屬感,愛和尊重。歸屬感,愛和尊重都是雙向模式——我們期望與他人溝通,相愛,我們希望他人與我們溝通,愛我們。我們想要有自尊,并獲得尊重。

作為IT領(lǐng)導(dǎo)人,破壞我們與客戶之間的關(guān)系,失去他們的喜愛和尊重的最快方式,就是對(duì)渴望自我實(shí)現(xiàn)的人,強(qiáng)加太多控制。具體來說,CIO們的IT計(jì)劃充斥著,限制內(nèi)部用戶使用技術(shù),能做什么和不能做什么。我很久以前就意識(shí)到影子IT的存在,因?yàn)槲业挠脩魺o法從我的團(tuán)隊(duì),得到他們真正需要的。

最好的移動(dòng)安全沒有簡(jiǎn)單的答案

與此同時(shí),我們必須考慮某種程度的控制,應(yīng)對(duì)有害行為的風(fēng)險(xiǎn)。我們需要阻止,有人從街上撿到一個(gè)U盤,插入U(xiǎn)SB硬盤驅(qū)動(dòng)器,然后釋放病毒或勒索軟件。我們需要有適當(dāng)?shù)目刂?,這樣才不會(huì)丟失關(guān)鍵的客戶或雇員數(shù)據(jù)。

應(yīng)用到移動(dòng)設(shè)備,更需要考慮風(fēng)險(xiǎn)和控制之間的平衡。移動(dòng)設(shè)備(智能手機(jī)和平板電腦),從本質(zhì)上講, 旨在混合企業(yè)和個(gè)人的計(jì)算機(jī)體驗(yàn)。我的手機(jī)存儲(chǔ)了個(gè)人照片,架構(gòu)圖和流程圖。我的應(yīng)用包括企業(yè)電子郵件和費(fèi)用審批,也有我的個(gè)人手機(jī)銀行。

我們?nèi)绾翁峁┳詈玫囊苿?dòng)安全,而不讓企業(yè)中的每個(gè)人覺得移動(dòng)計(jì)算體驗(yàn)是噩夢(mèng)呢?應(yīng)該允許什么,阻止什么呢?

當(dāng)我面對(duì)模棱兩可,看似無法雙贏的局面,我試著回到一些基本原則。其中之一就是,在評(píng)估風(fēng)險(xiǎn)后,才做出決定。我承認(rèn),聽起來有點(diǎn)老生常談,但往往我會(huì)做出平等對(duì)待所有風(fēng)險(xiǎn)的決定。

最好的移動(dòng)安全評(píng)估風(fēng)險(xiǎn)可能性/影響

移動(dòng)設(shè)備,會(huì)帶來什么風(fēng)險(xiǎn)?是否在設(shè)備上存儲(chǔ)機(jī)密或關(guān)鍵數(shù)據(jù)?如果有,什么數(shù)據(jù)?如果有人可以獲取這些數(shù)據(jù),他們能做些什么來危害企業(yè)?我們的電子郵件包含什么類型的信息?如果有人獲取那些業(yè)務(wù)流程的圖片,會(huì)危害企業(yè)嗎?如果有人能夠訪問我的費(fèi)用報(bào)告應(yīng)用,能干些什么?

當(dāng)評(píng)估風(fēng)險(xiǎn)時(shí),我首先確定特定的風(fēng)險(xiǎn),然后對(duì)每個(gè)風(fēng)險(xiǎn),定義風(fēng)險(xiǎn)的可能性和影響。然后,找出最好的,最實(shí)用的方法來減輕風(fēng)險(xiǎn),使用最高可能性-影響的組合。

例如,在手機(jī)上可以存儲(chǔ)哪些員工或用戶的個(gè)人身份信息(PII)?如果可以存儲(chǔ)很多,我們就有可能丟失數(shù)據(jù),并且根據(jù)PII的深度和廣度,影響可能是巨大的。在這種情況下,最佳的移動(dòng)安全計(jì)劃必須有強(qiáng)大的PII風(fēng)險(xiǎn)緩解措施,可能要求我們進(jìn)行適當(dāng)控制。但至少,通過描述可能性-影響組合,我們可以清楚風(fēng)險(xiǎn),并進(jìn)行減緩控制。

另一方面,如果沒有人能夠在手機(jī)上接收或存儲(chǔ)關(guān)鍵的PII,可能性-影響組合就較小,我們可能就不需要控制用戶的生活。這種方法將我們的安全對(duì)策與用戶對(duì)于個(gè)人控制的需求相契合。并且,如果你受到信息安全審計(jì)時(shí),這種方法,你可以向任何審計(jì)員解釋(雖然,根據(jù)我的個(gè)人經(jīng)驗(yàn),一些審計(jì)人員不了解這種在風(fēng)險(xiǎn)緩解前,進(jìn)行風(fēng)險(xiǎn)評(píng)估的方法)。

這些風(fēng)險(xiǎn)是因?yàn)樵诖_保移動(dòng)設(shè)備安全上做的不夠,但是也有風(fēng)險(xiǎn)是因?yàn)樽龅奶?。使用這種基于風(fēng)險(xiǎn)的方法,一直幫助我找到正確的平衡。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)