移動(dòng)信息化毫無設(shè)防 CIO如何控制局面

申請免費(fèi)試用、咨詢電話：400-8352-114

       在BYOD議題上，企業(yè)不要表現(xiàn)的象是在幫員工一個(gè)忙，而是要將移動(dòng)安全視為整個(gè)企業(yè)安全的一環(huán)。每一天都會(huì)看到一些聳動(dòng)標(biāo)題，哭喊著移動(dòng)運(yùn)算造成重大安全威脅，例如網(wǎng)絡(luò)攻擊創(chuàng)下了天文數(shù)字、Y世代員工就是不聽話、App商店成為惡意軟件的溫床等。企業(yè)甚至因此另外分出一個(gè)專門會(huì)議，來討論移動(dòng)運(yùn)算的安全問題。

       在最新的移動(dòng)安全調(diào)查中，回應(yīng)的人數(shù)比去年大幅增加了32%。許多公司推出“攜帶自有設(shè)備”(Bring your own device)計(jì)劃，但也造成設(shè)備與平臺(tái)的多樣化，諸多問題導(dǎo)致IT團(tuán)隊(duì)干脆放棄現(xiàn)有服務(wù)器，把所有東西送到云端，然后打包回家。

       先等一等!移動(dòng)安全可不是只用錢就可買來的東西，企業(yè)應(yīng)該先放下支票簿、遠(yuǎn)離移動(dòng)設(shè)備管理系統(tǒng)，然后搞清楚：現(xiàn)在企業(yè)面對的，其實(shí)是流程與信任的問題。

建立資料分類流程

    現(xiàn)在許多CIO彷彿就象是那只在深夜里看見車頭燈的鹿，這其實(shí)不能怪他們。不過，許多人認(rèn)為“移動(dòng)化”會(huì)讓安全變的與一般IT安全不一樣，這就有問題了。如今大家的憂心明顯增加，其實(shí)這反映出了過去十多年來安全團(tuán)隊(duì)所做的糟糕流程、溝通與抉擇。請看看下列移動(dòng)與IT安全廠商的前5大注意事項(xiàng)：
1. 在所有移動(dòng)設(shè)備上標(biāo)示使用者與公司信息。
2. 要求使用者利用安全密碼來認(rèn)證移動(dòng)設(shè)備。
3. 定義認(rèn)證功能，例如密碼過期時(shí)間、輸入次數(shù)限制、密碼的長度與強(qiáng)度。
4. 確保所有移動(dòng)設(shè)備都有逾時(shí)機(jī)制，在靜止活動(dòng)一段時(shí)間后會(huì)自動(dòng)要求用戶輸入密碼。
5. 防止移動(dòng)設(shè)備從無線網(wǎng)絡(luò)下載不安全的第三方應(yīng)用。

    現(xiàn)在，把“移動(dòng)”這個(gè)字拿開。這些建議其實(shí)可適用于每一種可連網(wǎng)的IT資產(chǎn)，包括筆記型計(jì)算機(jī)、桌上型計(jì)算機(jī)與服務(wù)器。所以，企業(yè)何必恐慌(有時(shí)候恐慌是為了達(dá)到某種策略目的)？

    大力渲染移動(dòng)惡意軟件的風(fēng)險(xiǎn)，對IT人員來說是件好事，因?yàn)橐屖褂谜咦⒁饣蜃屩鞴芑〞r(shí)間與金錢在一件從不認(rèn)為是問題的事情上，其實(shí)是很困難的，所以第一步通常會(huì)先散播恐懼。

    舉例來說，幾年前，有一家金控公司找上筆者的顧問公司做實(shí)體安全評估，因?yàn)樵摴疽恢庇虚_后門的問題，員工沒有任何危機(jī)意識(shí)、管理階層不愿改變，僅表示公司的文化就是強(qiáng)調(diào)開放與客戶服務(wù)，所以他們不想逼大家花時(shí)間等待許可，即使CIO已經(jīng)明確指出，攻擊者可以大搖大擺的進(jìn)到網(wǎng)絡(luò)里。

    這位CIO花了2年時(shí)間，希望能建立最基本的安全運(yùn)維流程，卻徒勞無功。于是該CIO做了件有點(diǎn)冒險(xiǎn)的事：他要求筆者派出一位陌生人，到大樓里偷一個(gè)“錢包”，筆者輕而易舉的照做了。當(dāng)這位“受害者”找不到“錢包”和“車鑰匙”的時(shí)候，騷亂接踵而至，消息很快傳開。當(dāng)然，筆者15分鐘后就把“錢包”物歸原主;接下來，大家馬上開始用不同角度來看門戶大開這件事了。

    當(dāng)談?wù)撘苿?dòng)安全的時(shí)候，在許多IT團(tuán)隊(duì)眼中，移動(dòng)惡意軟件肆虐、造成企業(yè)資料外流的狀況，其實(shí)就像偷皮包一樣;不過，這個(gè)問題可能太過小題大作，特別是在美國。

    Google的背上彷彿畫著一個(gè)標(biāo)靶，因?yàn)锳ndroid被視為移動(dòng)惡意軟件的溫床。他們最近在2013年Virus Bulletin會(huì)議上發(fā)表演說，而結(jié)論是，在所有Android使用者下載的應(yīng)用程序中，只有0.001%對下載的設(shè)備或設(shè)備中的資料產(chǎn)生風(fēng)險(xiǎn)。

     喬治亞理工學(xué)院與網(wǎng)絡(luò)安全業(yè)內(nèi)人士Damballa的研究也呼應(yīng)Google的論點(diǎn)，研究人員發(fā)現(xiàn)，移動(dòng)惡意軟件只存在于非常少數(shù)的設(shè)備。究竟有多少？在3.8億臺(tái)設(shè)備中，只有3，492臺(tái)顯示出受感染跡象，這個(gè)比例比Google估計(jì)的更低。問問身邊的人或是IT專家吧，看有沒有人的設(shè)備被移動(dòng)惡意軟件入侵？恐怕不容易找到案例。

    這個(gè)故事的意義在于，其實(shí)只有一種風(fēng)險(xiǎn)是專屬于移動(dòng)設(shè)備：那就是內(nèi)涵機(jī)密信息的設(shè)備遭竊。IT單位都同意筆者做的《移動(dòng)安全調(diào)查》中，有78%受訪者表示他們最大的疑慮是設(shè)備遺失或是設(shè)備遭竊。

    沒錯(cuò)，iPhone確實(shí)比服務(wù)器更容易失竊;但道理是一樣的：重點(diǎn)仍在于資料。如果一臺(tái)平板計(jì)算機(jī)里沒有任何敏感信息，損失的只有硬件成本而已。不幸的是，在筆者訪談過的公司中，多數(shù)仍熱衷于安裝移動(dòng)設(shè)備管理系統(tǒng)。

    如此一來，要不就是這些公司把原本已經(jīng)很貧弱的資料安全措施延伸到智能型手機(jī)與平板計(jì)算機(jī)上;要不就是走向另一個(gè)極端，也就是緊緊鎖住設(shè)備，讓使用者大感不悅。心生不悅的員工，很可能鋌而走險(xiǎn)不聽指揮;企業(yè)也很可能無法讓移動(dòng)設(shè)備提升生產(chǎn)效能。

    所以，正確答案絕不是移動(dòng)設(shè)備管理或移動(dòng)應(yīng)用管理，也不是任何綁住設(shè)備的方法。重點(diǎn)其實(shí)是要建立一套流程，將機(jī)密資料加以分類，并確保其安全無虞。貴公司可能會(huì)說，“但是，讓員工使用自己的平板計(jì)算機(jī)與手機(jī)，幾乎讓企業(yè)不可能建立任何規(guī)范。”

    抱歉，看來貴公司可能還沒搞清楚移動(dòng)性的重點(diǎn)：在任何地方、任何時(shí)間都可擷取資料，并不代表大家可以從公司的檔案服務(wù)器復(fù)制資料到移動(dòng)設(shè)備中。反之，在99%的狀況中，企業(yè)必須把檔案復(fù)制到云端服務(wù)，然后透過企業(yè)的設(shè)備，到云端取得資料。

    在建立一個(gè)統(tǒng)一的安全政策前，貴公司得先弄清楚，員工究竟要怎樣才會(huì)有生產(chǎn)力。他們希望使用何種云端服務(wù)？他們想在哪里使用？他們希望儲(chǔ)存哪些資料？要怎么使用這些資料？找出答案，然后制定一套符合這些需求的安全流程，而不是一味地由IT發(fā)號(hào)施令，硬是推動(dòng)移動(dòng)設(shè)備管理系統(tǒng)，然后假裝使用者都很乖，不會(huì)把資料存到Dropbox和Google Doc上面。

    貴公司可以斷定，有些人就是會(huì)這么做。在《2013云端安全與風(fēng)險(xiǎn)調(diào)查》顯示，有28%受訪者希望在未來24個(gè)月內(nèi)，可在云端完成25%或更多的IT服務(wù)，這只是官方說法，真正的數(shù)字可能是2倍之多。在筆者的《Google in the Enterprise調(diào)查》中，有69%受訪者表示，他們喜歡Google Apps，只有28%不鼓勵(lì)或禁止使用Google的生產(chǎn)力產(chǎn)品。

    即使貴公司把移動(dòng)設(shè)備管理或移動(dòng)應(yīng)用管理強(qiáng)推到用戶設(shè)備上，《iPass Global Mobile Workforce報(bào)告》也指出，大約有1/4員工會(huì)為了能夠完成工作，而主動(dòng)繞過IT人員“強(qiáng)加”的移動(dòng)安全控制機(jī)制，他們不覺得這有什么不對。

    與其和使用者對抗，不如提供企業(yè)級的Box賬戶，藉此適當(dāng)控制并建立政策，不必再操煩使用者應(yīng)該在移動(dòng)設(shè)備上安裝何種App。滿足員工生產(chǎn)力需求的額外好處是，IT人員可以遵循一個(gè)一致的政策(例如使用Box)，讓在家工作的人可透過筆記本電腦與其它設(shè)備連到公司的虛擬私人網(wǎng)絡(luò)(VPN)。貴公司還記得那些PC對吧？這些PC也可以擷取企業(yè)信息，而且也很可能被偷或不小心弄丟。