根據(jù)《經(jīng)濟(jì)學(xué)人》顯示，到2015年年底，全球范圍內(nèi)使用的智能手機(jī)和平板電腦數(shù)量將會(huì)超過30億臺(tái)。同時(shí)，兩位專家在2013中國互聯(lián)網(wǎng)安全大會(huì)(ISC)上表示，最終用戶將繼續(xù)攜帶高風(fēng)險(xiǎn)移動(dòng)技術(shù)涌入企業(yè)。不過，基于以數(shù)據(jù)為中心的方法構(gòu)建的移動(dòng)風(fēng)險(xiǎn)管理機(jī)制將幫助企業(yè)降低這種風(fēng)險(xiǎn)。

來自普華永道會(huì)計(jì)師事務(wù)所(PwC)IT風(fēng)險(xiǎn)及安全部門的兩位代表—主管Dan Fitzgerald和經(jīng)理Nikita Reva在周三圍繞移動(dòng)安全的會(huì)議上分享了PwC最新的全球安全調(diào)查數(shù)據(jù)。

其中一個(gè)很關(guān)鍵的數(shù)據(jù)是：只有40%的受訪企業(yè)安全專家部署了移動(dòng)安全策略。而當(dāng)Fitzgerald問與會(huì)者“你們有多少人會(huì)說自己有移動(dòng)安全戰(zhàn)略?”時(shí)，只有約20%的觀眾舉了手。

這兩位專家接著列出了成功部署移動(dòng)風(fēng)險(xiǎn)管理計(jì)劃所需要的因素，其中重點(diǎn)是以數(shù)據(jù)為中心的方法，這種方法側(cè)重于保護(hù)移動(dòng)數(shù)據(jù)，而不是設(shè)備本身。

為了說明這種方法，兩位專家描繪了這樣一個(gè)場(chǎng)景，一家總部在美國的企業(yè)收購了歐盟國家內(nèi)的一家公司，歐盟對(duì)消費(fèi)者的數(shù)據(jù)隱私有著非常高的監(jiān)管水平。Fitzgerald和Reva稱，在完成這個(gè)收購之前，這家美國企業(yè)需要計(jì)劃如何管理與應(yīng)對(duì)這種數(shù)據(jù)隱私監(jiān)管相關(guān)的風(fēng)險(xiǎn)。

Reva強(qiáng)調(diào)了基于多種因素選擇和部署正確的移動(dòng)設(shè)備安全控制的重要性，而利用威脅建?？梢詭椭髽I(yè)定義這些因素。例如，移動(dòng)威脅有很多形式，并以多種方式瞄準(zhǔn)數(shù)據(jù)，不過，通過了解企業(yè)垂直行業(yè)最有可能面臨的威脅，企業(yè)可以更好地理解其可能面對(duì)的威脅，從而建立適當(dāng)?shù)囊苿?dòng)安全控制。

Fitzgerald認(rèn)為加密是符合以數(shù)據(jù)為中心理念的最好安全控制之一。為了強(qiáng)調(diào)這一點(diǎn)，他談到了非常棘手的收集和存儲(chǔ)個(gè)人識(shí)別信息(PII)的問題。雖然Fitzgerald表示反對(duì)收集移動(dòng)設(shè)備上的PII，但他認(rèn)為，企業(yè)在發(fā)送這種敏感信息時(shí)，應(yīng)該確保PII加密了，并且，只有在正確的位置進(jìn)行加密，就能確保這些信息的安全。

即使企業(yè)部署了有效的移動(dòng)安全機(jī)制，F(xiàn)itzgerald和Reva建議企業(yè)仍應(yīng)保持足夠的靈活性，以根據(jù)其環(huán)境的變化來對(duì)控制進(jìn)行重新評(píng)估。這種變化的例子包括近期發(fā)布的蘋果iPhone 5S，它包含的指紋技術(shù)可以用來解鎖設(shè)備和某些應(yīng)用。Reva表示企業(yè)需要考慮他們應(yīng)該如何應(yīng)對(duì)這種技術(shù)帶來的潛在風(fēng)險(xiǎn)，例如企業(yè)是否應(yīng)該對(duì)用戶手機(jī)上存儲(chǔ)的生物識(shí)別數(shù)據(jù)承擔(dān)責(zé)任。

一些擁有大筆安全預(yù)算的企業(yè)可能會(huì)投錢來解決移動(dòng)安全問題，但根據(jù)這兩位專家表示，簡單的購買“新的光鮮的移動(dòng)安全產(chǎn)品產(chǎn)品”并不會(huì)帶來理想的結(jié)果。相反地，企業(yè)應(yīng)該將目光投向現(xiàn)有的移動(dòng)控制框架，例如最終修訂版的NIST Special Publication 800-124，以及制定容易理解的可接受使用政策來獲得最終用戶的支持。

Reva強(qiáng)調(diào)：“購買最好的技術(shù)并不一定能帶來最好的結(jié)果。”

與會(huì)者的討論

在會(huì)議的最后，F(xiàn)itzgerald和Reva邀請(qǐng)與會(huì)者分享他們部署移動(dòng)安全控制和評(píng)估移動(dòng)設(shè)備管理(MDM)產(chǎn)品的想法和經(jīng)驗(yàn)。結(jié)果會(huì)議上出現(xiàn)了漫無目標(biāo)的談話，他們都在強(qiáng)調(diào)移動(dòng)安全需要更標(biāo)準(zhǔn)化的方法。

很多與會(huì)者提到他們部署了來自Good Technology公司的MDM產(chǎn)品，其中一名與會(huì)者稱其公司將該產(chǎn)品作為可接受使用政策的一部分，這樣移動(dòng)設(shè)備可以被清除，而不需要擔(dān)憂最終用戶。另一名與會(huì)者指出，她的公司使用Good Technology產(chǎn)品來管理個(gè)人設(shè)備約一年之久，但隨后用戶的反對(duì)意見讓他們轉(zhuǎn)而使用來自供應(yīng)商AirWatch的MDM產(chǎn)品。

還有一名與會(huì)者稱其需要保護(hù)全球范圍內(nèi)約7000臺(tái)設(shè)備，他們也在使用AirWatch產(chǎn)品來管理這些設(shè)備，但從他們跨越國界使用MDM技術(shù)的經(jīng)驗(yàn)來看，當(dāng)部署這種產(chǎn)品時(shí)，你將需要考慮法律問題。

她表示：“你需要與你的法律團(tuán)隊(duì)以及這些國家合作，弄清楚你可以對(duì)這些設(shè)備做些什么。”從這一點(diǎn)來看，俄羅斯和韓國是特別棘手的國家。

在會(huì)議結(jié)束后接受采訪時(shí)，Reva認(rèn)同與會(huì)者對(duì)各種法規(guī)制度的關(guān)注，特別是圍繞數(shù)據(jù)存儲(chǔ)。他表示，數(shù)據(jù)分類以及安全控制可以作為這些問題的答案。

而對(duì)于Fitzgerald而言，與觀眾的討論說明了為什么企業(yè)在處理移動(dòng)設(shè)備風(fēng)險(xiǎn)管理時(shí)，最好已經(jīng)部署了“成熟的安全功能”。雖然這兩位專家提到部署安全措施可以作為現(xiàn)有安全方案的催化劑，但他表示如果企業(yè)還沒有部署安全功能的話，可能會(huì)遇到麻煩。

“我們?cè)谶@里有點(diǎn)白費(fèi)唇舌，”Fitzgerald談到觀眾時(shí)表示，并補(bǔ)充說，“我有一個(gè)客戶，部署著不太成熟的安全機(jī)制，而其CEO稱，‘我要攜帶我想要的任何設(shè)備。’”