根據(jù)《經(jīng)濟(jì)學(xué)人》顯示，到2015年年底，全球范圍內(nèi)使用的智能手機(jī)和平板電腦數(shù)量將會超過30億臺。同時，兩位專家在2013中國互聯(lián)網(wǎng)安全大會(ISC)上表示，最終用戶將繼續(xù)攜帶高風(fēng)險移動技術(shù)涌入企業(yè)。不過，基于以數(shù)據(jù)為中心的方法構(gòu)建的移動風(fēng)險管理機(jī)制將幫助企業(yè)降低這種風(fēng)險。

來自普華永道會計師事務(wù)所(PwC)IT風(fēng)險及安全部門的兩位代表—主管Dan Fitzgerald和經(jīng)理Nikita Reva在周三圍繞移動安全的會議上分享了PwC最新的全球安全調(diào)查數(shù)據(jù)。

其中一個很關(guān)鍵的數(shù)據(jù)是：只有40%的受訪企業(yè)安全專家部署了移動安全策略。而當(dāng)Fitzgerald問與會者“你們有多少人會說自己有移動安全戰(zhàn)略?”時，只有約20%的觀眾舉了手。

這兩位專家接著列出了成功部署移動風(fēng)險管理計劃所需要的因素，其中重點(diǎn)是以數(shù)據(jù)為中心的方法，這種方法側(cè)重于保護(hù)移動數(shù)據(jù)，而不是設(shè)備本身。

為了說明這種方法，兩位專家描繪了這樣一個場景，一家總部在美國的企業(yè)收購了歐盟國家內(nèi)的一家公司，歐盟對消費(fèi)者的數(shù)據(jù)隱私有著非常高的監(jiān)管水平。Fitzgerald和Reva稱，在完成這個收購之前，這家美國企業(yè)需要計劃如何管理與應(yīng)對這種數(shù)據(jù)隱私監(jiān)管相關(guān)的風(fēng)險。

Reva強(qiáng)調(diào)了基于多種因素選擇和部署正確的移動設(shè)備安全控制的重要性，而利用威脅建模可以幫助企業(yè)定義這些因素。例如，移動威脅有很多形式，并以多種方式瞄準(zhǔn)數(shù)據(jù)，不過，通過了解企業(yè)垂直行業(yè)最有可能面臨的威脅，企業(yè)可以更好地理解其可能面對的威脅，從而建立適當(dāng)?shù)囊苿影踩刂啤?/p>

Fitzgerald認(rèn)為加密是符合以數(shù)據(jù)為中心理念的最好安全控制之一。為了強(qiáng)調(diào)這一點(diǎn)，他談到了非常棘手的收集和存儲個人識別信息(PII)的問題。雖然Fitzgerald表示反對收集移動設(shè)備上的PII，但他認(rèn)為，企業(yè)在發(fā)送這種敏感信息時，應(yīng)該確保PII加密了，并且，只有在正確的位置進(jìn)行加密，就能確保這些信息的安全。

即使企業(yè)部署了有效的移動安全機(jī)制，F(xiàn)itzgerald和Reva建議企業(yè)仍應(yīng)保持足夠的靈活性，以根據(jù)其環(huán)境的變化來對控制進(jìn)行重新評估。這種變化的例子包括近期發(fā)布的蘋果iPhone 5S，它包含的指紋技術(shù)可以用來解鎖設(shè)備和某些應(yīng)用。Reva表示企業(yè)需要考慮他們應(yīng)該如何應(yīng)對這種技術(shù)帶來的潛在風(fēng)險，例如企業(yè)是否應(yīng)該對用戶手機(jī)上存儲的生物識別數(shù)據(jù)承擔(dān)責(zé)任。

一些擁有大筆安全預(yù)算的企業(yè)可能會投錢來解決移動安全問題，但根據(jù)這兩位專家表示，簡單的購買“新的光鮮的移動安全產(chǎn)品產(chǎn)品”并不會帶來理想的結(jié)果。相反地，企業(yè)應(yīng)該將目光投向現(xiàn)有的移動控制框架，例如最終修訂版的NIST Special Publication 800-124，以及制定容易理解的可接受使用政策來獲得最終用戶的支持。

Reva強(qiáng)調(diào)：“購買最好的技術(shù)并不一定能帶來最好的結(jié)果。”

與會者的討論

在會議的最后，F(xiàn)itzgerald和Reva邀請與會者分享他們部署移動安全控制和評估移動設(shè)備管理(MDM)產(chǎn)品的想法和經(jīng)驗(yàn)。結(jié)果會議上出現(xiàn)了漫無目標(biāo)的談話，他們都在強(qiáng)調(diào)移動安全需要更標(biāo)準(zhǔn)化的方法。

很多與會者提到他們部署了來自Good Technology公司的MDM產(chǎn)品，其中一名與會者稱其公司將該產(chǎn)品作為可接受使用政策的一部分，這樣移動設(shè)備可以被清除，而不需要擔(dān)憂最終用戶。另一名與會者指出，她的公司使用Good Technology產(chǎn)品來管理個人設(shè)備約一年之久，但隨后用戶的反對意見讓他們轉(zhuǎn)而使用來自供應(yīng)商AirWatch的MDM產(chǎn)品。

還有一名與會者稱其需要保護(hù)全球范圍內(nèi)約7000臺設(shè)備，他們也在使用AirWatch產(chǎn)品來管理這些設(shè)備，但從他們跨越國界使用MDM技術(shù)的經(jīng)驗(yàn)來看，當(dāng)部署這種產(chǎn)品時，你將需要考慮法律問題。

她表示：“你需要與你的法律團(tuán)隊(duì)以及這些國家合作，弄清楚你可以對這些設(shè)備做些什么。”從這一點(diǎn)來看，俄羅斯和韓國是特別棘手的國家。

在會議結(jié)束后接受采訪時，Reva認(rèn)同與會者對各種法規(guī)制度的關(guān)注，特別是圍繞數(shù)據(jù)存儲。他表示，數(shù)據(jù)分類以及安全控制可以作為這些問題的答案。

而對于Fitzgerald而言，與觀眾的討論說明了為什么企業(yè)在處理移動設(shè)備風(fēng)險管理時，最好已經(jīng)部署了“成熟的安全功能”。雖然這兩位專家提到部署安全措施可以作為現(xiàn)有安全方案的催化劑，但他表示如果企業(yè)還沒有部署安全功能的話，可能會遇到麻煩。

“我們在這里有點(diǎn)白費(fèi)唇舌，”Fitzgerald談到觀眾時表示，并補(bǔ)充說，“我有一個客戶，部署著不太成熟的安全機(jī)制，而其CEO稱，‘我要攜帶我想要的任何設(shè)備。’”