最好的移动安全计划:先检查风险 再对症下药

日期:2016-8-8作者:Niel Nickolaisen翻译:余彦来源:TechTarget中国 英文

【TechTarget中国原创】

CIO们如何实施最好的移动安全? CTO Niel Nickolaisen认为可以从伟大的心理学家Abraham Maslown那里找到答案。

Maslow的需求层次理论从最基本的需求开始(“生理”需求和“安全”),然后达到人类需求的最高层次——自我实现。其中还包括归属感、爱和尊重。归属感,爱和尊重都是双向模式——我们期望与他人沟通,相爱,我们希望他人与我们沟通,爱我们。我们想要有自尊,并获得尊重。

作为IT领导人,破坏我们与客户之间的关系,失去他们的喜爱和尊重的最快方式,就是对渴望自我实现的人,强加太多控制。具体来说,CIO们的IT计划充斥着,限制内部用户使用技术,能做什么和不能做什么。我很久以前就意识到影子IT的存在,因为我的用户无法从我的团队,得到他们真正需要的。

最好的移动安全没有简单的答案

与此同时,我们必须考虑某种程度的控制,应对有害行为的风险。我们需要阻止,有人从街上捡到一个U盘,插入USB硬盘驱动器,然后释放病毒或勒索软件。我们需要有适当的控制,这样才不会丢失关键的客户或雇员数据。

应用到移动设备,更需要考虑风险和控制之间的平衡。移动设备(智能手机和平板电脑),从本质上讲, 旨在混合企业和个人的计算机体验。我的手机存储了个人照片,架构图和流程图。我的应用包括企业电子邮件和费用审批,也有我的个人手机银行。

我们如何提供最好的移动安全,而不让企业中的每个人觉得移动计算体验是噩梦呢?应该允许什么,阻止什么呢?

当我面对模棱两可,看似无法双赢的局面,我试着回到一些基本原则。其中之一就是,在评估风险后,才做出决定。我承认,听起来有点老生常谈,但往往我会做出平等对待所有风险的决定。

最好的移动安全评估风险可能性/影响

移动设备,会带来什么风险?是否在设备上存储机密或关键数据?如果有,什么数据?如果有人可以获取这些数据,他们能做些什么来危害企业?我们的电子邮件包含什么类型的信息?如果有人获取那些业务流程的图片,会危害企业吗?如果有人能够访问我的费用报告应用,能干些什么?

当评估风险时,我首先确定特定的风险,然后对每个风险,定义风险的可能性和影响。然后,找出最好的,最实用的方法来减轻风险,使用最高可能性-影响的组合。

例如,在手机上可以存储哪些员工或用户的个人身份信息(PII)?如果可以存储很多,我们就有可能丢失数据,并且根据PII的深度和广度,影响可能是巨大的。在这种情况下,最佳的移动安全计划必须有强大的PII风险缓解措施,可能要求我们进行适当控制。但至少,通过描述可能性-影响组合,我们可以清楚风险,并进行减缓控制。

另一方面,如果没有人能够在手机上接收或存储关键的PII,可能性-影响组合就较小,我们可能就不需要控制用户的生活。这种方法将我们的安全对策与用户对于个人控制的需求相契合。并且,如果你受到信息安全审计时,这种方法,你可以向任何审计员解释(虽然,根据我的个人经验,一些审计人员不了解这种在风险缓解前,进行风险评估的方法)。

这些风险是因为在确保移动设备安全上做的不够,但是也有风险是因为做的太多。使用这种基于风险的方法,一直帮助我找到正确的平衡。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

作者>更多

Niel Nickolaisen
Niel Nickolaisen

人力资源咨询公司O.C. Tanner Co.的CTO。该公司坐落于盐湖城,负责设计和执行员工识别程序。他是改造IT和IT领导力方面的高产作家和演讲者。他获得了MIT工程硕士,以及犹他州立大学的物理学学士和MBA。

信息安全管理>更多

  • 【专家建议】如何减轻新兴技术带来的安全隐患

    公司都在寻求尖端技术带来的好处,但减轻安全风险往往得不到重视。CIO需要做出改变。高管们面临一个困难的选择:利用新技术来获得竞争优势,同时会增加新的安全风险,或者暂缓实施,直到新兴技术的风险得以解决,但在市场上处于落后。

  • 确保工业物联网安全:万亿美元的困境

    IIoT为工业设备和相关系统的制造商和供应商提供了巨大的机会。但是,对于可以通过无线网络远程连接而受益的机器和设备,能否安全地桥接操作技术(机器)与IT系统(云)之间的空隙,是阻碍IIoT发展的一个重大挑战。

  • 新的云安全工作需要新老技能并进

    随着黑客威胁上升,CISO的职位变得热门。现在,云供应商正在寻找技能更全面的IT人才。

  • 守护物联网的边界:从设备开始从设备结束

    物联网设备缺乏安全性预示着一个勇敢的新世界。企业必须快速弄清楚如何注意连接到他们网络的物联网设备动向,以及如何保护往返于这些设备的数据传送。

相关推荐

  • 移动安全培训迫在眉睫

    移动安全威胁,包括因用户使用习惯而导致的问题,如今已经无处不在。因此,让用户学会相应的防护措施,已迫在眉睫。

  • 保障企业移动安全从何做起?

    无论规模大小,移动计算的管理是任何企业都必须面对的一个课题。J. Gold Associates LLC的总裁和首席分析师Jack Gold讨论了终端安全的挑战,本文针对所有规模的企业,Gold提出一些移动安全管理的事项清单。

  • MTC报告:网络攻击者商业思维日益提升

    瞻博网络发布的第三份年度移动威胁报告显示:移动恶意软件正在快速增长和演变,成为对攻击者而言有利可图的业务,从2012年3月到2013年3月,移动恶意软件威胁呈现指数级增长,增长率为614%。

  • 安全买不来!六个高性价比管理措施

    为了让投资物有所值、切实保护公司安全,与其购置新方案不如从现有安全措施着手,寻求最低成本下的提升途径。

技术手册>更多

  • CIO经验借鉴:企业外包和IT离岸外包

    经过了预算紧张,CIO们都想到了企业外包甚至离岸外包来解决难题。在此期间,寻找一家与你的企业文章相似的外包供应商非常重要,但是要警惕,不要把自己束缚到长期的合约中,限制灵活性。甚至可以考虑把以前外包的基础架构或者应用工作收回。企业外包和IT离岸外包经验丰富的CIO如何创建外包策略、如何选择和评审外包供应商、如何把IT外包整合到他们的企业中、如何外包企业的特殊领域,这些问题将在本技术手册中一一回答。

  • 如何选择合适的移动平台

    移动经理在决定采用哪种移动平台来调动工作性的时候往往很难作出决定。可以选择的操作系统有BlackBerry、Windows Mobile、Palm OS、 Symbian、Linux和J2ME等。我们希望能帮助简化这种选择,所以TechTarget组织专家团队,并请他们衡量每个移动平台的优势和劣势。在本手册中,我们希望能帮助你选择适合你公司的平台,帮你剔除那些不太适合你们需要的。

  • CIO指南:企业业务服务管理

    企业业务服务可以吸引和保留新客户,从而为企业创造新价值。他们还可以让内部的IT流程更加顺畅,改善企业的投资回报率(ROI)。无论如何,开始一个项目并持续下去并不是那么简单的:它需要CIO和其他的IT高管执行强大的IT业务服务管理。你知道怎么开发新的企业业务服务、重新规划现有项目增加业务价值,并用新理念实现成功吗?本技术手册将涉及这些问题。

  • 移动服务管理指南

    在《移动服务管理指南》技术手册中,TechTarget的专家研究了设备管理、电子邮件、企业应用和手持设备技术等的管理服务。此外,本手册中还提供了一系列服务管理的最佳实践。

TechTarget

最新资源
  • 安全
  • 存储
  • 数据库
  • 虚拟化
  • 网络
  • 数据中心