最好的移动安全计划:先检查风险 再对症下药

日期:2016-8-8作者:Niel Nickolaisen翻译:余彦来源:TechTarget中国 英文

【TechTarget中国原创】

CIO们如何实施最好的移动安全? CTO Niel Nickolaisen认为可以从伟大的心理学家Abraham Maslown那里找到答案。

Maslow的需求层次理论从最基本的需求开始(“生理”需求和“安全”),然后达到人类需求的最高层次——自我实现。其中还包括归属感、爱和尊重。归属感,爱和尊重都是双向模式——我们期望与他人沟通,相爱,我们希望他人与我们沟通,爱我们。我们想要有自尊,并获得尊重。

作为IT领导人,破坏我们与客户之间的关系,失去他们的喜爱和尊重的最快方式,就是对渴望自我实现的人,强加太多控制。具体来说,CIO们的IT计划充斥着,限制内部用户使用技术,能做什么和不能做什么。我很久以前就意识到影子IT的存在,因为我的用户无法从我的团队,得到他们真正需要的。

最好的移动安全没有简单的答案

与此同时,我们必须考虑某种程度的控制,应对有害行为的风险。我们需要阻止,有人从街上捡到一个U盘,插入USB硬盘驱动器,然后释放病毒或勒索软件。我们需要有适当的控制,这样才不会丢失关键的客户或雇员数据。

应用到移动设备,更需要考虑风险和控制之间的平衡。移动设备(智能手机和平板电脑),从本质上讲, 旨在混合企业和个人的计算机体验。我的手机存储了个人照片,架构图和流程图。我的应用包括企业电子邮件和费用审批,也有我的个人手机银行。

我们如何提供最好的移动安全,而不让企业中的每个人觉得移动计算体验是噩梦呢?应该允许什么,阻止什么呢?

当我面对模棱两可,看似无法双赢的局面,我试着回到一些基本原则。其中之一就是,在评估风险后,才做出决定。我承认,听起来有点老生常谈,但往往我会做出平等对待所有风险的决定。

最好的移动安全评估风险可能性/影响

移动设备,会带来什么风险?是否在设备上存储机密或关键数据?如果有,什么数据?如果有人可以获取这些数据,他们能做些什么来危害企业?我们的电子邮件包含什么类型的信息?如果有人获取那些业务流程的图片,会危害企业吗?如果有人能够访问我的费用报告应用,能干些什么?

当评估风险时,我首先确定特定的风险,然后对每个风险,定义风险的可能性和影响。然后,找出最好的,最实用的方法来减轻风险,使用最高可能性-影响的组合。

例如,在手机上可以存储哪些员工或用户的个人身份信息(PII)?如果可以存储很多,我们就有可能丢失数据,并且根据PII的深度和广度,影响可能是巨大的。在这种情况下,最佳的移动安全计划必须有强大的PII风险缓解措施,可能要求我们进行适当控制。但至少,通过描述可能性-影响组合,我们可以清楚风险,并进行减缓控制。

另一方面,如果没有人能够在手机上接收或存储关键的PII,可能性-影响组合就较小,我们可能就不需要控制用户的生活。这种方法将我们的安全对策与用户对于个人控制的需求相契合。并且,如果你受到信息安全审计时,这种方法,你可以向任何审计员解释(虽然,根据我的个人经验,一些审计人员不了解这种在风险缓解前,进行风险评估的方法)。

这些风险是因为在确保移动设备安全上做的不够,但是也有风险是因为做的太多。使用这种基于风险的方法,一直帮助我找到正确的平衡。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Niel Nickolaisen
Niel Nickolaisen

人力资源咨询公司O.C. Tanner Co.的CTO。该公司坐落于盐湖城,负责设计和执行员工识别程序。他是改造IT和IT领导力方面的高产作家和演讲者。他获得了MIT工程硕士,以及犹他州立大学的物理学学士和MBA。

信息安全管理>更多

相关推荐

  • 移动安全培训迫在眉睫

    移动安全威胁,包括因用户使用习惯而导致的问题,如今已经无处不在。因此,让用户学会相应的防护措施,已迫在眉睫。

  • 保障企业移动安全从何做起?

    无论规模大小,移动计算的管理是任何企业都必须面对的一个课题。J. Gold Associates LLC的总裁和首席分析师Jack Gold讨论了终端安全的挑战,本文针对所有规模的企业,Gold提出一些移动安全管理的事项清单。

  • MTC报告:网络攻击者商业思维日益提升

    瞻博网络发布的第三份年度移动威胁报告显示:移动恶意软件正在快速增长和演变,成为对攻击者而言有利可图的业务,从2012年3月到2013年3月,移动恶意软件威胁呈现指数级增长,增长率为614%。

  • 安全买不来!六个高性价比管理措施

    为了让投资物有所值、切实保护公司安全,与其购置新方案不如从现有安全措施着手,寻求最低成本下的提升途径。

技术手册>更多

  • 企业数据中心管理指南

    企业CIO都在和大量数据中心的问题作斗争。最好的是维护自己的数据中心吗?要不要考虑数据中心整合?还是转向云计算更灵活地满足需求?这些决策都不容易,而且在今天的形势下,在CIO制定长期的企业数据中心策略的时候,留给他们犯错误的空间也很小。在本技术手册中,将介绍在整合数据中心、选择公有云和私有云、自建和租用数据中心的ROI分析,以及最终创建下一代数据中心的时候,IT高管应该如何衡量自己的选择。

  • 高效IT创新策略的四个标准

    IT创新策略是根据行业领域、客户需求 和业务目标确立和制定的,所以每个公司的创新策略都不同。但是,对CIO们的采访证明创新的IT组织都有某些共同的特征。在本技术手册中,IT高管们列出了IT创新策略背后的驱动因素,谈到了如何制定高效而可持续的方法进行不断IT创新,探究了IT高管移除障碍促进IT创新的方法,涉及到了在需要解决短期和长期挑战的情况下,IT创新策略如何引入并蓬勃发展, 还体现了IT创新在创造业务价值和领导业务转型中的作用。

  • IT精益思想认识手册

    精益原则(Lean principles)过去上是制造类企业用于帮助改善生产流程并向客户提供价值的,现在已经在很多基于服务的领域中应用,例如卫生保健、金融服务甚至在IT业中。在大部分企业还仍然用更少的钱做更多事情的时候,精益思想可以让其评估浪费状况并提高生产力。但是精益原则不止是关于成本削减和做更多事情的。精益原则更多是关于这种持续改善的方法如何让公司和各种组织创建有益于公司的可持续变更的。

  • 企业数据保护管理指南

    数据作为信息的重要载体,其安全问题在信息安全中占有非常重要的地位。数据的保密性、可用性、可控性和完整性是数据安全技术的主要研究内容。

TechTarget

最新资源
  • 安全
  • 数据库
  • 虚拟化
  • 数据中心
  • 云计算
  • 商务智能