开发企业的移动安全策略
研究表明,由于手机安全带来了新的挑战,所以IT安全从业人员需要一个整体的战略方针,以管理风险,威胁和漏洞。在用户生产力和成本不受影响的情况下,解决的办法是不限制使用这些移动设备,因为企业现在需要接受这样的事实,那就是移动设备已经成为现代生活的一种方式。移动设备可以提高工人的工作效率,在部署新的应用程序的灵活性和速度,增加最终用户的方便性和降低运营成本。所以企业要创建一个战略,对组织内的笔记本电脑和其他移动设备的使用进行审核管制。但由于在大多数组织中的设备数量不确定,所以需要增加限制访问机制或传输敏感和机密信息的等级机制。
通过对敏感数据进行分层级管理,如受规管的数据(如信用卡,健康数据,驾驶执照号),非受规管的客户数据(如购买历史记录,电子邮件地址列表,航运信息),非受规管商业机密数据(如IP,业务计划和财务记录),并此分类上的雇员有义务负责数据的安全性。此外,需要对数据的泄漏做风险评估,制定适当的安全策略以保证数据再存储,处理,传输过程中没有被盗。最后,创建一个丢失的移动设备的响应团队来监控笔记本电脑,智能手机和其他移动设备。
为所有员工在工作场所使用的移动设备创建一个全面的政策
制定针对每个设备和安全程序的安全准则。准则的范围可以以什么类型的数据不应该存储在这些设备中,如何使一个应用程序怎样安全地下载丢失或被盗的设备上。
此外,建立严格的监控措施以确保严格执行政策和指导方针。全面的安全政策创建和执行可能是一个挑战,因为在使用移动设备的品种和数量。为此相关机构建议把设备和类型的数据存储在他们的库存中。
最直接的做法是对手机进行安全设置。Ponemon Institute对116家企业的跟踪研究显示,这些公司三分之二的报告说,其10%或以上的员工经常关闭移动设备上的安全功能。所以,在工作场所的移动设备,员工需要包括确保安全性设置不会关闭。
案例:一个生活在纽约市的助理医师,在地铁里面无意中丢失了他的IPad,而这个Ipad里面保持着她的病人的详细信息,甚至敏感信息。不幸的是,她没有打开他的安全设置。
正如上面提到的,员工的设备需要有安全验证机制。而企业也应该制定相应的规则和规范。如在下列情况下,销售人员可能面临着法律责任。
案例:一家经纪公司的销售经理听到公司有传言称,要进行一次裁员。他很有可能在这批裁员中。于是他在公司的内网中下载了客户资料,数周后,这家经纪公司的竞争对手拿到了这些资料。
建立组织问责制
企业有责任为员工提供必要在工作场和提供移动设备的安全政策。反过来,员工也必须了解移动设备的重要性。以此作为出发点,建立员工安全意识,制定清晰、简明的安全政策,规定的雇员的责任和义务显得尤为重要。根据我们的安全跟踪研究显示,91%的公司的员工下载的网页应用程序的存在病毒,恶意代码,僵尸网络。
案例:一家零售公司的雇员的智能手机安装了多种应用程序,而且该员工安装了公司的财务应用程序,以帮助管理支付账单和进行采购。员工在不知不觉中下载恶意软件窃取信用卡信息。三个月后,该员工收到了数千美元购买信用卡账单。此外,智能手机的信息还存有客户信息,存在潜在的风险数据
对员工设备进行风险评估,以确定可能被盗的情况下数据存储,处理或传输的风险。设计适当的安全措施以保护数据和笔记本电脑的安全。最后,创建一个丢失的设备响应团队来监控笔记本电脑,智能手机和其他移动设备。