企业中的所有人都应该共同努力打击攻击者的入侵和数据丢失,特别是对于中小型企业来说尤其如此。移动技术给各行各业的企业带来了全新的安全风险,很多大型企业有资源来加强防御措施以抵御这些风险,而资源有限的较小型企业则受到很大的冲击。
这里有三个步骤来帮助中小企业制定更智能的移动安全策略来应对这个不断变化的威胁环境。
第一步:政策
制定一个安全和移动设备政策,明确分离设备上的个人数据和企业数据。员工需要明确知道他们在自己的手机上能做什么和不能做什么。你应该制定一份用户行为准则文档,让所有员工在访问网络前仔细了解并签名。
第二步:教育、访问控制和审计
重要的是要让用户了解移动设备给企业带来的风险以及企业对用户行为的要求。企业政策还应该一致地反映在访问权限、发布的审计报告以及其他制裁措施。同时,企业应该反复提醒用户正确的移动设备使用行为,并创建对数字化设备和网络资源的良好管理文化。
用户还应该了解一些基本预防措施,来帮助他们减低遗失或被盗设备相关的风险,以及如何保持个人和企业资源更加安全。这些步骤包括:
· 至少使用8到10个字符长度的高强度密码来作为锁屏密码
· 安装防病毒/反恶意软件应用程序
· 部署数据加密
· 安全地备份所有数据
· 安装设备定位和远程擦除功能
· 保持操作系统和应用程序的更新
第三步:持续的监控
为应对已知和新出现的威胁,我们将需要进行持续的监控和测量。这方面的工作需要专注、纪律、领导力以及创新,这涉及:
· 人力:训练有素、技术精湛的信息员工
· 文化:真正关心如何保护员工数据
· 领导力:更大的蓝图,优先级设置
· 过程:你不能改进你无法衡量的东西。
· 技术:是否得到正确部署?你正在监控它?它是否整合到这个企业?
监控和评估设备及其数据的战略应该包括确定所有访问你IT资产的移动设备、实时监控和关联所有活动,以及对安全政策违规行为、用户隐私和合规违规行为发出警报和报告。
对于任何规模的企业,尤其是中小企业,目前最重要和最紧迫的任务是通过强大的详细的公司政策以及一贯的执行(从底层员工到首席执行官),来建立一个设备和数据的良好管理文化。企业的每个人都应该努力打击入侵和数据丢失。
