【51CTO译文】近来一系列调查报告已经证实,大多数企业都在考虑将移动设备管理(简称MDM)与其它安全类方案纳入业务环境。虽然共识已经达成,但只有少数企业真正着手部署,显然大多数从业者仍然在与移动安全问题苦苦斗争。
遗憾的是,许多企业尚没有勇气率先对移动技术与BYOD给业务带来的影响做出量化评估并寻求最佳实践与技术方案,他们大多仍然在如何进行预算分配而举棋不定。不过专家们提醒称,一味将资金投入到新型安全产品中而缺乏对采购对象的透彻理解与必要性分析,很可能导致企业一边花着冤枉钱、一边承受着高风险。
“管理员们通常都无法向管理层准确并详尽传达技术信息,他们说不出我们到底‘为什么要买这个或是买那个’。归根结底,IT团队自身都没能准确量化移动风险,”移动风险管理企业Fixmo公司CSO Dan Ford指出,他的博士结业论文正准备以iOS在企业领域中的风险评估方案为题。
最新的MDM部署状况统计数据也证实了Ford的结论。尽管Gartner公司的分析师们预计在未来五年内,将有三分之二的企业正式将MDM解决方案作为员工用户的必备工具,但就目前来看企业仍然没搞清楚自己到底应该如何选择合适的产品。InfromationWeek网站刚刚公布的一篇分析文章《四十家BYOD供应商,一片良莠不齐的市场》就明确指出,只有四分之一左右的企业当下已经完成MDM方案的部署。
Ford认为,对不同移动风险加以量化能够帮助企业正确选择适合自身情况的技术类型以及政策需要支持的实践方案,这恰恰是风险管理工作中最重要的一环。换言之,与其简单将潜在风险划分为高、中、低或者红、橙、绿级别,倒不如下番工夫弄清楚到底有多少种风险存在。评估工作的问题在于,如果安全机制能够将某种高危事态的风险程度降低10%,那么处理之后的风险仍然属于高危范畴——IT部门将很难同管理层交代,为什么在花了那么多预算之后,高危问题仍然“高危”。而在以密码政策为代表的各类MRM(即移动资源管理)实际规划中,最重要的就是功能的专一性与确定性。
“如果我使用四位数字PIN码会带来多大风险?如果我只使用六位长度的密码又会引发何种麻烦?”他问道,并解释称这正是企业在管理中应该询问并努力追求量化效果的典型议题。
Perimeter E-Security公司首席技术官Andrew Jaquith指出,企业应该马上着手对移动实践进行风险评估,并针对主要安全问题进行三个层面的探讨。
“移动风险决策应该围绕三大核心展开,即技术、政策与法律,”他表示。“要保证业务的顺利运转,企业必须尽早解决这三大问题。”
而从技术的角度看,企业应该考虑如何为IT基础设施的全局安全状况选择有针对性的设备、设定以及网络配置方案。另外,企业还需要格外关注风险评估与控制工作,把包括身份验证、数据访问验证以及加密等机制部署到位,Ford建议道。
“风险评估中的一大重点在于了解让我们所使用的应用程序与MDM工具如何保存许可证书,这是验证机制中的关键性环节,”他表示。
举例来说,那些完全将证书存储交给iOS密钥或者Android密码功能的企业等于是在无形中把敏感数据暴露在了薄弱的安全环境之下,他提醒称。即使是部署了MDM产品的企业也还远不能高枕无忧——很多工具与上述密码功能联系紧密,这就使得验证管理政策出现了严重漏洞,他补充道。
在对移动技术的安全风险进行整体评估时,Ford建议企业参考NIST(即美国国家标准暨技术学会)发布的《企业级移动设备管理与保护指南》一文。虽然这篇文章尚未最终完成,但主体部分已经撰写完毕,并为企业提供了一套优秀的风险因素考量及决策框架。
而在政策风险方面,企业需要考虑究竟什么样的移动政策会真正给风险带来影响——无论是拉高还是降低——政策是否允许员工持有的设备访问网络资源、是否会根据设备来源限制其访问权限或者说设备内置政策是否能实现包括屏幕锁定及应用使用情况监控等功能。
“大家是不是直接把台式机那一套安全理论直接搬过来扔给移动手机,希望同样的密码管理等政策能够发挥相近的作用?”Jaquith提问道。“答案恐怕是否定的。这就需要我们来为移动风险的最佳实践摸索出一套准确的定义。”
有一种最佳安全实践可能长久以来始终被企业所忽视,这就是归纳开发实践如何将风险带入移动应用(包括面向客户或企业内部应用)环境当中。如果企业没能准确量化由高危应用所带来的风险,他们将很难制定出明确的预算分配策略、并最终在降低应用开发漏洞方面一败涂地。
“大家不妨考虑这样一个问题:在我们创建应用程序时,什么样的风险管理会引发杀鸡用牛刀之嫌?而什么样的风险管理手段又会导致安保力度不足?”Jaquith如是说。“多少才是太多、多少才是太少,这是个大问题。”
最后再来聊聊法律风险。移动技术所带来的并不仅仅是对元数据管理合规性方面的影响,更可能令许多试图通过追踪来实现BYOD控制的技术团队吃个违反隐私权的官司。
“法律风险同样不容小觑;举例来说,当管理者同意将企业数据保存在个人持有的设备中时,整套法律环境真的足够完备吗?用户对这些业务数据是否拥有所有权及使用权?”他提出疑问,并以此来解释风险评估在法律层面上的重要性。我们必须理解执法者对于企业与员工在个人设备处置权方面的思路,并以此为基础建立严密、完善的管理政策。
原文:How Does Mobility Change IT Risk Management?
