最好的移动安全计划:先检查风险 再对症下药

日期:2016-8-8作者:Niel Nickolaisen翻译:余彦来源:TechTarget中国 英文

【TechTarget中国原创】

CIO们如何实施最好的移动安全? CTO Niel Nickolaisen认为可以从伟大的心理学家Abraham Maslown那里找到答案。

Maslow的需求层次理论从最基本的需求开始(“生理”需求和“安全”),然后达到人类需求的最高层次——自我实现。其中还包括归属感、爱和尊重。归属感,爱和尊重都是双向模式——我们期望与他人沟通,相爱,我们希望他人与我们沟通,爱我们。我们想要有自尊,并获得尊重。

作为IT领导人,破坏我们与客户之间的关系,失去他们的喜爱和尊重的最快方式,就是对渴望自我实现的人,强加太多控制。具体来说,CIO们的IT计划充斥着,限制内部用户使用技术,能做什么和不能做什么。我很久以前就意识到影子IT的存在,因为我的用户无法从我的团队,得到他们真正需要的。

最好的移动安全没有简单的答案

与此同时,我们必须考虑某种程度的控制,应对有害行为的风险。我们需要阻止,有人从街上捡到一个U盘,插入USB硬盘驱动器,然后释放病毒或勒索软件。我们需要有适当的控制,这样才不会丢失关键的客户或雇员数据。

应用到移动设备,更需要考虑风险和控制之间的平衡。移动设备(智能手机和平板电脑),从本质上讲, 旨在混合企业和个人的计算机体验。我的手机存储了个人照片,架构图和流程图。我的应用包括企业电子邮件和费用审批,也有我的个人手机银行。

我们如何提供最好的移动安全,而不让企业中的每个人觉得移动计算体验是噩梦呢?应该允许什么,阻止什么呢?

当我面对模棱两可,看似无法双赢的局面,我试着回到一些基本原则。其中之一就是,在评估风险后,才做出决定。我承认,听起来有点老生常谈,但往往我会做出平等对待所有风险的决定。

最好的移动安全评估风险可能性/影响

移动设备,会带来什么风险?是否在设备上存储机密或关键数据?如果有,什么数据?如果有人可以获取这些数据,他们能做些什么来危害企业?我们的电子邮件包含什么类型的信息?如果有人获取那些业务流程的图片,会危害企业吗?如果有人能够访问我的费用报告应用,能干些什么?

当评估风险时,我首先确定特定的风险,然后对每个风险,定义风险的可能性和影响。然后,找出最好的,最实用的方法来减轻风险,使用最高可能性-影响的组合。

例如,在手机上可以存储哪些员工或用户的个人身份信息(PII)?如果可以存储很多,我们就有可能丢失数据,并且根据PII的深度和广度,影响可能是巨大的。在这种情况下,最佳的移动安全计划必须有强大的PII风险缓解措施,可能要求我们进行适当控制。但至少,通过描述可能性-影响组合,我们可以清楚风险,并进行减缓控制。

另一方面,如果没有人能够在手机上接收或存储关键的PII,可能性-影响组合就较小,我们可能就不需要控制用户的生活。这种方法将我们的安全对策与用户对于个人控制的需求相契合。并且,如果你受到信息安全审计时,这种方法,你可以向任何审计员解释(虽然,根据我的个人经验,一些审计人员不了解这种在风险缓解前,进行风险评估的方法)。

这些风险是因为在确保移动设备安全上做的不够,但是也有风险是因为做的太多。使用这种基于风险的方法,一直帮助我找到正确的平衡。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Niel Nickolaisen
Niel Nickolaisen

人力资源咨询公司O.C. Tanner Co.的CTO。该公司坐落于盐湖城,负责设计和执行员工识别程序。他是改造IT和IT领导力方面的高产作家和演讲者。他获得了MIT工程硕士,以及犹他州立大学的物理学学士和MBA。

信息安全管理>更多

  • 安全与隐私:公司应该做什么?

    亚利桑那州选民登记数据库不像是俄罗斯人明显的目标。但是在八月,FBI揭秘俄罗斯黑客装扮成亚利桑那州选举工作人员,并在该州安全系统上戳了个洞。

  • 区块链技术试水工程:碳资产开发平台部署

    区块链技术,最初是比特币的基础技术,也被称之为分布式账本技术,其特点是去中心化、公开透明,让每个人均可参与数据库记录。虽然,目前还在火热研究中,但也有企业已经开始试水使用。

  • Dropbox侵入和密码安全难题

    四年可以发生很多事。一名总统可以服务满他/她的任期;一项全新的技术可以浮现;一个发型可以回到某个造型,;或者在Dropbox侵入的案例里,你的密码可以在暗网上流通。

  • Stuart Madnick:黑暗网络的黑客更乐于分享信息

    在持续进行的,越来越多的针对世界知名企业的恶意网络攻击中,坏人占据上风。是什么原因造就了这样的的局面?

相关推荐

  • 移动安全培训迫在眉睫

    移动安全威胁,包括因用户使用习惯而导致的问题,如今已经无处不在。因此,让用户学会相应的防护措施,已迫在眉睫。

  • 保障企业移动安全从何做起?

    无论规模大小,移动计算的管理是任何企业都必须面对的一个课题。J. Gold Associates LLC的总裁和首席分析师Jack Gold讨论了终端安全的挑战,本文针对所有规模的企业,Gold提出一些移动安全管理的事项清单。

  • MTC报告:网络攻击者商业思维日益提升

    瞻博网络发布的第三份年度移动威胁报告显示:移动恶意软件正在快速增长和演变,成为对攻击者而言有利可图的业务,从2012年3月到2013年3月,移动恶意软件威胁呈现指数级增长,增长率为614%。

  • 安全买不来!六个高性价比管理措施

    为了让投资物有所值、切实保护公司安全,与其购置新方案不如从现有安全措施着手,寻求最低成本下的提升途径。

技术手册>更多

  • CIO外包业务指南

    外包就是企业扬已所长,做自己最能干的事情;同时避已之短,把其它的工作外包给能做好这些事情的专业组织。外包业是新近兴起的一个行业,它为企业带来了新的活力。外包将您解放出来以更专注于核心业务。外包合作伙伴为您带来知识,增加后备管理时间。一项研究显示,外包协议使企事业单位节省9%的成本,而能力与质量则上升了15%。

  • 企业如何更好地实施ERP系统

    ERP(Enterprise Resource Planning)企业资源计划系统,是指建立在信息技术基础上,以系统化的管理思想,为企业决策层及员工提供决策运行手段的管理平台。ERP通过运用最佳业务制度规范、业务实践以及集成企业关键业务流程来发问和提高企业利润和市场需求反应速度。

  • 商业智能手册:选型、实践技巧和新趋势

    商业智能(BI)是推动业务变革和提升业绩的最重要因素之一。近来在商业智能软硬件方面的技术进步使得以往如同科幻小说一般的场景即将变为现实。本技术手册涵盖了介绍了商业智能的实践技巧、选型以及包括云计算、SaaS和移动BI在内的新趋势。

  • 企业治理方法讨论和案例借鉴

    CIO应该不只是技术专家,他们还应该是战略家,可以为IT机构构建最好的治理架构。企业治理项目包含日常的IT运行,也包括总体的企业规划。治理在IT决策、员工和资源分配以及特别技术项目的维护等方面发挥着重要的作用。本技术手册将会介绍如何寻求适合您企业的最佳的IT治理架构,如何建立IT数据治理策略,公共部门的治理项目如何为洲政府节约时间和资金等。

TechTarget

最新资源
  • 安全
  • 数据库
  • 虚拟化
  • 数据中心
  • 云计算
  • 商务智能