移動技術給IT風險管理帶來了哪些改變?
譯文【51CTO譯文】近來一系列調查報告已經證實,大多數企業都在考慮將移動設備管理(簡稱MDM)與其它安全類方案納入業務環境。雖然共識已經達成,但只有少數企業真正著手部署,顯然大多數從業者仍然在與移動安全問題苦苦斗爭。
遺憾的是,許多企業尚沒有勇氣率先對移動技術與BYOD給業務帶來的影響做出量化評估并尋求最佳實踐與技術方案,他們大多仍然在如何進行預算分配而舉棋不定。不過專家們提醒稱,一味將資金投入到新型安全產品中而缺乏對采購對象的透徹理解與必要性分析,很可能導致企業一邊花著冤枉錢、一邊承受著高風險。
“管理員們通常都無法向管理層準確并詳盡傳達技術信息,他們說不出我們到底‘為什么要買這個或是買那個’。歸根結底,IT團隊自身都沒能準確量化移動風險,”移動風險管理企業Fixmo公司CSO Dan Ford指出,他的博士結業論文正準備以iOS在企業領域中的風險評估方案為題。
最新的MDM部署狀況統計數據也證實了Ford的結論。盡管Gartner公司的分析師們預計在未來五年內,將有三分之二的企業正式將MDM解決方案作為員工用戶的必備工具,但就目前來看企業仍然沒搞清楚自己到底應該如何選擇合適的產品。InfromationWeek網站剛剛公布的一篇分析文章《四十家BYOD供應商,一片良莠不齊的市場》就明確指出,只有四分之一左右的企業當下已經完成MDM方案的部署。
Ford認為,對不同移動風險加以量化能夠幫助企業正確選擇適合自身情況的技術類型以及政策需要支持的實踐方案,這恰恰是風險管理工作中最重要的一環。換言之,與其簡單將潛在風險劃分為高、中、低或者紅、橙、綠級別,倒不如下番工夫弄清楚到底有多少種風險存在。評估工作的問題在于,如果安全機制能夠將某種高危事態的風險程度降低10%,那么處理之后的風險仍然屬于高危范疇——IT部門將很難同管理層交代,為什么在花了那么多預算之后,高危問題仍然“高危”。而在以密碼政策為代表的各類MRM(即移動資源管理)實際規劃中,最重要的就是功能的專一性與確定性。
“如果我使用四位數字PIN碼會帶來多大風險?如果我只使用六位長度的密碼又會引發何種麻煩?”他問道,并解釋稱這正是企業在管理中應該詢問并努力追求量化效果的典型議題。
Perimeter E-Security公司首席技術官Andrew Jaquith指出,企業應該馬上著手對移動實踐進行風險評估,并針對主要安全問題進行三個層面的探討。
“移動風險決策應該圍繞三大核心展開,即技術、政策與法律,”他表示。“要保證業務的順利運轉,企業必須盡早解決這三大問題。”
而從技術的角度看,企業應該考慮如何為IT基礎設施的全局安全狀況選擇有針對性的設備、設定以及網絡配置方案。另外,企業還需要格外關注風險評估與控制工作,把包括身份驗證、數據訪問驗證以及加密等機制部署到位,Ford建議道。
“風險評估中的一大重點在于了解讓我們所使用的應用程序與MDM工具如何保存許可證書,這是驗證機制中的關鍵性環節,”他表示。
舉例來說,那些完全將證書存儲交給iOS密鑰或者Android密碼功能的企業等于是在無形中把敏感數據暴露在了薄弱的安全環境之下,他提醒稱。即使是部署了MDM產品的企業也還遠不能高枕無憂——很多工具與上述密碼功能聯系緊密,這就使得驗證管理政策出現了嚴重漏洞,他補充道。
在對移動技術的安全風險進行整體評估時,Ford建議企業參考NIST(即美國國家標準暨技術學會)發布的《企業級移動設備管理與保護指南》一文。雖然這篇文章尚未最終完成,但主體部分已經撰寫完畢,并為企業提供了一套優秀的風險因素考量及決策框架。
而在政策風險方面,企業需要考慮究竟什么樣的移動政策會真正給風險帶來影響——無論是拉高還是降低——政策是否允許員工持有的設備訪問網絡資源、是否會根據設備來源限制其訪問權限或者說設備內置政策是否能實現包括屏幕鎖定及應用使用情況監控等功能。
“大家是不是直接把臺式機那一套安全理論直接搬過來扔給移動手機,希望同樣的密碼管理等政策能夠發揮相近的作用?”Jaquith提問道。“答案恐怕是否定的。這就需要我們來為移動風險的最佳實踐摸索出一套準確的定義。”
有一種最佳安全實踐可能長久以來始終被企業所忽視,這就是歸納開發實踐如何將風險帶入移動應用(包括面向客戶或企業內部應用)環境當中。如果企業沒能準確量化由高危應用所帶來的風險,他們將很難制定出明確的預算分配策略、并最終在降低應用開發漏洞方面一敗涂地。
“大家不妨考慮這樣一個問題:在我們創建應用程序時,什么樣的風險管理會引發殺雞用牛刀之嫌?而什么樣的風險管理手段又會導致安保力度不足?”Jaquith如是說。“多少才是太多、多少才是太少,這是個大問題。”
最后再來聊聊法律風險。移動技術所帶來的并不僅僅是對元數據管理合規性方面的影響,更可能令許多試圖通過追蹤來實現BYOD控制的技術團隊吃個違反隱私權的官司。
“法律風險同樣不容小覷;舉例來說,當管理者同意將企業數據保存在個人持有的設備中時,整套法律環境真的足夠完備嗎?用戶對這些業務數據是否擁有所有權及使用權?”他提出疑問,并以此來解釋風險評估在法律層面上的重要性。我們必須理解執法者對于企業與員工在個人設備處置權方面的思路,并以此為基礎建立嚴密、完善的管理政策。
原文:How Does Mobility Change IT Risk Management?
