最好的移动安全计划:先检查风险 再对症下药

日期:2016-8-8作者:Niel Nickolaisen翻译:余彦 来源:TechTarget中国 英文

【TechTarget中国原创】

CIO们如何实施最好的移动安全? CTO Niel Nickolaisen认为可以从伟大的心理学家Abraham Maslown那里找到答案。

Maslow的需求层次理论从最基本的需求开始(“生理”需求和“安全”),然后达到人类需求的最高层次——自我实现。其中还包括归属感、爱和尊重。归属感,爱和尊重都是双向模式——我们期望与他人沟通,相爱,我们希望他人与我们沟通,爱我们。我们想要有自尊,并获得尊重。

作为IT领导人,破坏我们与客户之间的关系,失去他们的喜爱和尊重的最快方式,就是对渴望自我实现的人,强加太多控制。具体来说,CIO们的IT计划充斥着,限制内部用户使用技术,能做什么和不能做什么。我很久以前就意识到影子IT的存在,因为我的用户无法从我的团队,得到他们真正需要的。

最好的移动安全没有简单的答案

与此同时,我们必须考虑某种程度的控制,应对有害行为的风险。我们需要阻止,有人从街上捡到一个U盘,插入USB硬盘驱动器,然后释放病毒或勒索软件。我们需要有适当的控制,这样才不会丢失关键的客户或雇员数据。

应用到移动设备,更需要考虑风险和控制之间的平衡。移动设备(智能手机和平板电脑),从本质上讲, 旨在混合企业和个人的计算机体验。我的手机存储了个人照片,架构图和流程图。我的应用包括企业电子邮件和费用审批,也有我的个人手机银行。

我们如何提供最好的移动安全,而不让企业中的每个人觉得移动计算体验是噩梦呢?应该允许什么,阻止什么呢?

当我面对模棱两可,看似无法双赢的局面,我试着回到一些基本原则。其中之一就是,在评估风险后,才做出决定。我承认,听起来有点老生常谈,但往往我会做出平等对待所有风险的决定。

最好的移动安全评估风险可能性/影响

移动设备,会带来什么风险?是否在设备上存储机密或关键数据?如果有,什么数据?如果有人可以获取这些数据,他们能做些什么来危害企业?我们的电子邮件包含什么类型的信息?如果有人获取那些业务流程的图片,会危害企业吗?如果有人能够访问我的费用报告应用,能干些什么?

当评估风险时,我首先确定特定的风险,然后对每个风险,定义风险的可能性和影响。然后,找出最好的,最实用的方法来减轻风险,使用最高可能性-影响的组合。

例如,在手机上可以存储哪些员工或用户的个人身份信息(PII)?如果可以存储很多,我们就有可能丢失数据,并且根据PII的深度和广度,影响可能是巨大的。在这种情况下,最佳的移动安全计划必须有强大的PII风险缓解措施,可能要求我们进行适当控制。但至少,通过描述可能性-影响组合,我们可以清楚风险,并进行减缓控制。

另一方面,如果没有人能够在手机上接收或存储关键的PII,可能性-影响组合就较小,我们可能就不需要控制用户的生活。这种方法将我们的安全对策与用户对于个人控制的需求相契合。并且,如果你受到信息安全审计时,这种方法,你可以向任何审计员解释(虽然,根据我的个人经验,一些审计人员不了解这种在风险缓解前,进行风险评估的方法)。

这些风险是因为在确保移动设备安全上做的不够,但是也有风险是因为做的太多。使用这种基于风险的方法,一直帮助我找到正确的平衡。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Niel Nickolaisen
Niel Nickolaisen

人力资源咨询公司O.C. Tanner Co.的CTO。该公司坐落于盐湖城,负责设计和执行员工识别程序。他是改造IT和IT领导力方面的高产作家和演讲者。他获得了MIT工程硕士,以及犹他州立大学的物理学学士和MBA。

信息安全管理>更多

  • 守护物联网的边界:从设备开始从设备结束

    物联网设备缺乏安全性预示着一个勇敢的新世界。企业必须快速弄清楚如何注意连接到他们网络的物联网设备动向,以及如何保护往返于这些设备的数据传送。

  • 2017预测:如何应对物联网安全威胁

    物联网带来了一整套新的安全挑战。专家认为,2017年将会有比以往更易受影响的设备被黑客盯上。

  • 安全与隐私:公司应该做什么?

    亚利桑那州选民登记数据库不像是俄罗斯人明显的目标。但是在八月,FBI揭秘俄罗斯黑客装扮成亚利桑那州选举工作人员,并在该州安全系统上戳了个洞。

  • 区块链技术试水工程:碳资产开发平台部署

    区块链技术,最初是比特币的基础技术,也被称之为分布式账本技术,其特点是去中心化、公开透明,让每个人均可参与数据库记录。虽然,目前还在火热研究中,但也有企业已经开始试水使用。

相关推荐

  • 移动安全培训迫在眉睫

    移动安全威胁,包括因用户使用习惯而导致的问题,如今已经无处不在。因此,让用户学会相应的防护措施,已迫在眉睫。

  • 保障企业移动安全从何做起?

    无论规模大小,移动计算的管理是任何企业都必须面对的一个课题。J. Gold Associates LLC的总裁和首席分析师Jack Gold讨论了终端安全的挑战,本文针对所有规模的企业,Gold提出一些移动安全管理的事项清单。

  • MTC报告:网络攻击者商业思维日益提升

    瞻博网络发布的第三份年度移动威胁报告显示:移动恶意软件正在快速增长和演变,成为对攻击者而言有利可图的业务,从2012年3月到2013年3月,移动恶意软件威胁呈现指数级增长,增长率为614%。

  • 安全买不来!六个高性价比管理措施

    为了让投资物有所值、切实保护公司安全,与其购置新方案不如从现有安全措施着手,寻求最低成本下的提升途径。

技术手册>更多

  • CIO手册:企业风险管理解决方案

    在本技术手册中,将会介绍企业和企业CIO如何全面地执行企业风险管理,包括恰当的风险管理方法、数据保护方案、网络访问控制、云计算安全和法规风险管理。其中的新闻趋势、案例分析等等资源都与企业风险管理方案密切相关,可以帮助你综合企业的各种因素做出明智的决定。

  • 因势利导 让移动应用更适合企业发展

    移动应用对智能手机的作用就像互联网对浏览器的作用一样,他们可以在为用户提供更好的整体体验的同时使用更多的业务应用。移动体验对企业来说存在限制,但移动应用已经获得了企业的认可。本文将介绍移动应用如何助力企业发展,以及移动应用与云计算的结合使用等。

  • 多种移动设备上的应用选择和开发

    随着移动互联网的普及,企业越来越需要开发适用于多种移动平台的应用程序,从而深化其客户体验,扩展其顾客购买产品的方式方法。但复杂的移动设备和平台加大了移动开发的难度,本技术手册将会分析多种平台上的移动应用开发和选择。

  • 运用信息化 提高企业ROI

    信息化的实施是企业提高管理水平的重要途径,对市场竞争和市场机会作出迅速反应,采取有效的信息化手段可以为企业带来巨大的经济效益,带来较高的ROI。在信息化的时代,企业要在竞争的环境中生存、发展、领先,必须发掘、借助和利用有效信息。

TechTarget

最新资源
  • 安全
  • 数据库
  • 虚拟化
  • 数据中心
  • 云计算
  • 商务智能