移动设备迅猛发展 安全问题不容小视数据应用
你的企业中,IT部门的员工如何处理移动设备和平板安全问题呢?是否使用了内部安全标准和政策呢?你的公司是否处于“任何事都可能发生”的情况中呢?很多公司告诉员工根本没有移动计算。关键在于,就移动设备安全而论,业务一触即发,这很可怕。
我一直想在信息安全成为主流之前写一些关于移动设备安全的东西。在过去的十年中并没有太多改变,但是我相信IT需要认真地对待移动安全。不只是企业级IT工作站除了桌面之外还必须支持移动设备,这些设备还应该承担巨大的业务责任。
企业无法承担忽视移动安全的后果,下面我将列出十条理由:
1.我所在的企业中有无数的移动设备,这代表着安全妥协的难得机会。这些设备创建了大量需要保护的信息。
2.在移动设备中没人准确地知道什么信息在什么位置。公司律师和合规经理会热切地向你展示他们的信息分类策略,但是现实是情况并不那么简单。
3.很多员工称,他们的移动设备上没什么实质性的东西,同样地,这肯定不是真的。
4.执行人没有完全了解移动设备上有多少信息处于危险情况中。机密的商业资产被带到它们之前从未去过的地方,从浴室和游乐场到足球场和出租车上。现今社会中的数据暴露比以往任何时候都要更多。
5.很多管理层的人称,他们的移动设备有密码保护,因此是安全的。但是黑客有很多工具能让智能手机的密码保护失效,而更多的情况下,他们甚至根本不需要这些工具就能获得手机中的信息。
6.当谈到员工处理移动设备和信息安全时,企业通常会相信员工是负责任的,但它们本不该如此。
7.尽管你的IT工作站可能支持一个或两个移动操作系统,工作人员可能使用多个平台。除了利用标准的移动设备安全管理制度之外,确保全盘检查这些东西很难。
8.员工、合约商和顾问都使用他们的私人手机和平板用于商业目的,尽管很多人表示他们没有这么做。他们的“非商业使用”将电子邮件、非结构化文件。虚拟私有网络连接以及相关的信息和系统置于危险之中。
9.一般的假定认为移动设备安全是其他人的责任。管理人员说它是IT部门的责任,IT部门说这是用户的责任,而人力资源只想让每个人都和睦相处。像Merle Martin说的,如果对一个错误负责的人超过一个,那么就等于没人要负责任。责任制度缺乏会继续前行。
10.你的商业信息不只是在移动设备上面有危险,它还会零散地分布在不计其数的家用PC、云备份和文件同步系统中。用户可能会说他们的计算机受到保护了,云提供商会将他们的SAS 70 Type II审计报告摆在你面前,但是这些都不表示你的信息真得安全。
说到移动计算,IT人员、用户和管理层的每一个都有新的一套责任。我们知道传统的桌面需要强化,我们只需要用移动设备来得到它。