【TechTarget中国原创】随着联合规则变得严格和需要一致的移动设备,移动一致问题也变得复杂。下面来介绍一些关于移动一致的最佳实践。
在《管理一致》一文中,我们研究像HIPAA、GLBA和CA SB 1386这样的保密规则对于移动员工的影响。但是一旦你理解了这些规则,你如何检查、实施和论证移动设备一致性呢?
首要目标
根据Ponemon研究所的调查,许多IT专业技术人员认识到一致性的重要性,但是很难开发出有效的实践。例如百分之五十八监控和测试人员不使用软件工具,虽然百分之八十六的执行人员粗糙的分配任务,这样部门之间的分布职责就缺乏对于风险管理的理解。在长期的运行中,一个集中式的,自动化的过程将证明更加合适和有效。
这个一般原则应用在移动员工和他们携带的设备上。今天,越来越多的公司认为PDA、智能手机和其他无线移动手持设备正在被他们的员工使用,很多公司已经制定了针对工作用途使用这些设备的安全原则,包括为了减少商业风险而必须部署的措施。但是还是有一小部分建立了一个完全自动和综合的过程进行文档的管理,而不管移动设备什么时候和如何接触公司资产和潜在的管理数据。
识别用户
如果你公司的CFO丢失了手机,你如何知道——最少证明——他的移动设备在email、附件和联系人中不包含未加密的财务数据?我们不是在这里挑选iPhone或CFO,我们正在论证在已经存在的一致性努力中的一个一般但是关键视角。很多公司正在创建或已经建立在笔记本电脑安全状态方面设置、检查和报告联网的流程,包括位于VPN通道末端的笔记本。但是有多少以笔记本为中心的安全流程包含了像员工拥有的PDA这样的手持移动设备呢?
建立一个包含机密数据的完整设备列表很重要,不仅指服务器和台式机,也不仅是离线的Windows笔记本电脑,而是每一个和你的网络和系统联系的设备。不要依赖员工为IT注册和设置而紧握他们的PDA和电话,买入集中、自动的工具来全面的监控网络附件的所有方面,从网卡和Wi-Fi接入点到面向互联网的VPN和应用网关。
紧记相同的移动设备会以很多的方式访问你的网络,同一个用户会通过多种设备访问你的网络,从所有的入口点收集访问记录并且修复容器的缺口而不仅仅是监视(例如移动笔记本通过USB或蓝牙的连接)。然后使用指纹识别和相关技术建立一个移动设备、访问方法和相关用户识别的完整目录。
建立和增强移动安全策略
一旦移动用户和设备被列举出来,检查保密数据如何传输和敏感信息可能被存储在哪里,无论临时的还是永久的。
通过整理好的移动使用方案,你可以看到一个关于潜在的问题和相关商务风险的具体描述,但是移动硬件和无线技术将继续以很快的速度进行改变,为了开发一个可用的移动安全策略,关注移动用户、群体和他们访问需要和全线,尝试鉴别风险在哪里以及规则该应用在哪里,不依赖特定的硬件生产商、无线载体或设备模型。
当然,以上的细节会在以后起作用,把你的策略转换为行动需要新的工具和流程,一件事情就是一个策略,这在你的CFO携带设备中需要加密交换和存储的邮件信息。但是在CFO的手持设备上实现空中下载和文件夹加密,可能涉及购买新的产品或应用特性到特定的容器、模型或OS版本。
为了促进一致,寻找可以适用已有设备和数据的机会,找出可能和已经存在的数据库、复用库存管理和软件分布式系统可以集成的移动安全平台。当确定进行新的移动投资,一些公司会集中在一个移动品牌或无线载体(例如IT购买者BlackBerrys通过AT&T无线进行连接),禁止商业使用其他设备和阻止所有未经同意的接口的访问。其他则喜欢功能完善的移动安全平台,它可以支持很多移动设备和无线技术。
或者,寻找可以自动检测的系统,可能自动提供基于集中设定策略的新设备。选择可以验证安全措施(例如移动设备访问控制、数据加密、防病毒、OS补丁等)是否需要的工具是首要的,正确的操作和配置,又记录更新和背离集中的策略。依赖用户来保密他们的手持设备,和保持他们安全,是一个失败的方法。我们还没有完整的适合笔记本的策略,移动设备就更少被理解而更倾向于重置。
不断评定移动一致性
虽然这些措施可以使你的移动员工离一致状态近一些,很多的规则需要公司论证一致性。例如,你需要产生报告来证明,一个丢失的移动设备是加密的或证明那个移动设备没有访问过你的客户记录数据库。事实上,一致性和实现好的安全措施关系不大,其实它是关于证明你已经建立和遵守了必须的规则和程序。
到最后,确保移动一致性的一个最重要的方面是保持警惕和保持记录。这里,自动和集中可以真正减少成本和增加有效性——例如,通过重复执行相同的测试来验证移动设备仍然按照规则执行和从上次检查依赖新的漏洞还没有出现。
最后,对待移动评估像已经存在的笔记本电脑实践的扩展。甚至如果你不能使用相同的工具进行详细的检查,你需要和结果一起绘制一个简单的“大图像”。毕竟,很多保密规则是关于保护敏感数据的,而不管这些数据是存在在哪里的。