面对移动设备的威胁 CIO该如何应对

在过去的十年中,我们的工作场所发生了很多变化,其中最大变化之一就是企业的大量信息可以离开办公室,并在雇员的笔记本电脑和智能电话中不断地移动。十年前,雇员很少在家中或是在路上工作,当然不会背着笔记本电脑到处跑。随着企业移动设备的激增,伴随而来的是信息遭受外部窃取和恶意访问。

更糟的是,攻击者都理解存储在移动设备中的企业信息的价值,并开始采取针对性的手段。

由于企业信息的价值要远远超过设备自身的价值,所以专家们建议,IT管理者要有一套移动设备的管理计划,要能够在设备被盗时恢复信息。

在企业准许用户将其移动设备连接到网络,并下载机密的企业数据时,不管这种数据是内部信息或是客户的数据,我们都需要一套安全策略,最起码要规定设备应当如何加密。

建立策略

企业需要为移动设备的安全进行预算,因为在发生硬件丢失时,IT部门需要认证工具及类似的专业软件来跟踪设备并删除其中的数据。

IT管理者应当重视设备内部和外部的认证。许多可用的企业级移动设备平台包括了比普通设备自身内部所安装的认证更为强健的认证。相同的认证策略可用于所有不同类型的设备,并可推广到整个网络。

这种认证意味着在雇员每次访问设备时都必须输入口令。IT管理者必须确保口令难以猜测,并且雇员不会将口令粘贴在某个明显的位置(如笔记本的电脑包上等)。

也许要求雇员在每次检查新邮件时都需要输入口令有点儿麻烦,但是这样做可以提醒雇员:你正在使用包含着机密信息的设备进行工作。

当然,企业的移动设备安全策略需要最适用的规则,要提供充分的帮助信息。IT管理者要警告雇员不能将移动设备随意放置在饭店或酒吧的桌子上,而应当随身携带。在旅馆住宿时,如果不使用设备,要将其锁在保险箱或其它安全设备中。

要警告雇员,无论是工作用的笔记本电脑还是智能手机,都不要轻易允许他人使用。

设备被盗怎么办?

企业的移动设备安全策略还应当概述雇员丢失设备后应当采取的措施。通常,这种措施意味着与响应中心联系,或与IT部门或公司中的负责人联系,以便于及时关闭设备。

移动设备的安全策略还应当要求IT部门在笔记本电脑上安装设备保护机制,要安装能够远程擦除失窃设备数据的软件。谨记,移动设备的跟踪软件依赖于主要芯片厂商生产的芯片中所嵌入的技术。

在笔记本电脑丢失或被盗后,在该设备连接到互联网时,跟踪软件应当与包含GPS功能的设备芯片保持同步,从而可以跟踪并定位设备。跟踪软件还可以远程擦除所有的机密企业信息。此外,这种跟踪功能也可用于智能电话。

安全策略未必过分苛刻。通常,这种策略只需规定一些可行的关于设备使用的常识,并与特定的硬件和软件相结合,在IT部门的帮助下保护企业的敏感信息。