| 移动信息化毫无设防 CIO如何控制局面 | ||||||||||||||||
|
在BYOD议题上,企业不要表现的象是在帮员工一个忙,而是要将移动安全视为整个企业安全的一环。每一天都会看到一些耸动标题,哭喊着移动运算造成重大安全威胁,例如网络攻击创下了天文数字、Y世代员工就是不听话、App商店成为恶意软件的温床等。企业甚至因此另外分出一个专门会议,来讨论移动运算的安全问题。 在最新的移动安全调查中,回应的人数比去年大幅增加了32%。许多公司推出携带自有设备(Bring your own device)计划,但也造成设备与平台的多样化,诸多问题导致IT团队干脆放弃现有服务器,把所有东西送到云端,然后打包回家。 先等一等!移动安全可不是只用钱就可买来的东西,企业应该先放下支票簿、远离移动设备管理系统,然后搞清楚:现在企业面对的,其实是流程与信任的问题。 建立资料分类流程 现在许多CIO彷彿就象是那只在深夜里看见车头灯的鹿,这其实不能怪他们。不过,许多人认为移动化会让安全变的与一般IT安全不一样,这就有问题了。如今大家的忧心明显增加,其实这反映出了过去十多年来安全团队所做的糟糕流程、沟通与抉择。请看看下列移动与IT安全厂商的前5大注意事项: 1. 在所有移动设备上标示使用者与公司信息。 2. 要求使用者利用安全密码来认证移动设备。 3. 定义认证功能,例如密码过期时间、输入次数限制、密码的长度与强度。 4. 确保所有移动设备都有逾时机制,在静止活动一段时间后会自动要求用户输入密码。 5. 防止移动设备从无线网络下载不安全的第三方应用。 现在,把移动这个字拿开。这些建议其实可适用于每一种可连网的IT资产,包括笔记型计算机、桌上型计算机与服务器。所以,企业何必恐慌(有时候恐慌是为了达到某种策略目的)? 大力渲染移动恶意软件的风险,对IT人员来说是件好事,因为要让使用者注意或让主管花时间与金钱在一件从不认为是问题的事情上,其实是很困难的,所以第一步通常会先散播恐惧。 举例来说,几年前,有一家金控公司找上笔者的顾问公司做实体安全评估,因为该公司一直有开后门的问题,员工没有任何危机意识、管理阶层不愿改变,仅表示公司的文化就是强调开放与客户服务,所以他们不想逼大家花时间等待许可,即使CIO已经明确指出,攻击者可以大摇大摆的进到网络里。 这位CIO花了2年时间,希望能建立最基本的安全运维流程,却徒劳无功。于是该CIO做了件有点冒险的事:他要求笔者派出一位陌生人,到大楼里偷一个钱包,笔者轻而易举的照做了。当这位受害者找不到钱包和车钥匙的时候,骚乱接踵而至,消息很快传开。当然,笔者15分钟后就把钱包物归原主;接下来,大家马上开始用不同角度来看门户大开这件事了。 当谈论移动安全的时候,在许多IT团队眼中,移动恶意软件肆虐、造成企业资料外流的状况,其实就像偷皮包一样;不过,这个问题可能太过小题大作,特别是在美国。 Google的背上彷彿画着一个标靶,因为Android被视为移动恶意软件的温床。他们最近在2013年Virus Bulletin会议上发表演说,而结论是,在所有Android使用者下载的应用程序中,只有0.001%对下载的设备或设备中的资料产生风险。 乔治亚理工学院与网络安全业内人士Damballa的研究也呼应Google的论点,研究人员发现,移动恶意软件只存在于非常少数的设备。究竟有多少?在3.8亿台设备中,只有3,492台显示出受感染迹象,这个比例比Google估计的更低。问问身边的人或是IT专家吧,看有没有人的设备被移动恶意软件入侵?恐怕不容易找到案例。 这个故事的意义在于,其实只有一种风险是专属于移动设备:那就是内涵机密信息的设备遭窃。IT单位都同意笔者做的《移动安全调查》中,有78%受访者表示他们最大的疑虑是设备遗失或是设备遭窃。 没错,iPhone确实比服务器更容易失窃;但道理是一样的:重点仍在于资料。如果一台平板计算机里没有任何敏感信息,损失的只有硬件成本而已。不幸的是,在笔者访谈过的公司中,多数仍热衷于安装移动设备管理系统。 如此一来,要不就是这些公司把原本已经很贫弱的资料安全措施延伸到智能型手机与平板计算机上;要不就是走向另一个极端,也就是紧紧锁住设备,让使用者大感不悦。心生不悦的员工,很可能铤而走险不听指挥;企业也很可能无法让移动设备提升生产效能。 所以,正确答案绝不是移动设备管理或移动应用管理,也不是任何绑住设备的方法。重点其实是要建立一套流程,将机密资料加以分类,并确保其安全无虞。贵公司可能会说,但是,让员工使用自己的平板计算机与手机,几乎让企业不可能建立任何规范。 抱歉,看来贵公司可能还没搞清楚移动性的重点:在任何地方、任何时间都可撷取资料,并不代表大家可以从公司的档案服务器复制资料到移动设备中。反之,在99%的状况中,企业必须把档案复制到云端服务,然后透过企业的设备,到云端取得资料。 在建立一个统一的安全政策前,贵公司得先弄清楚,员工究竟要怎样才会有生产力。他们希望使用何种云端服务?他们想在哪里使用?他们希望储存哪些资料?要怎么使用这些资料?找出答案,然后制定一套符合这些需求的安全流程,而不是一味地由IT发号施令,硬是推动移动设备管理系统,然后假装使用者都很乖,不会把资料存到Dropbox和Google Doc上面。 贵公司可以断定,有些人就是会这么做。在《2013云端安全与风险调查》显示,有28%受访者希望在未来24个月内,可在云端完成25%或更多的IT服务,这只是官方说法,真正的数字可能是2倍之多。在笔者的《Google in the Enterprise调查》中,有69%受访者表示,他们喜欢Google Apps,只有28%不鼓励或禁止使用Google的生产力产品。 即使贵公司把移动设备管理或移动应用管理强推到用户设备上,《iPass Global Mobile Workforce报告》也指出,大约有1/4员工会为了能够完成工作,而主动绕过IT人员强加的移动安全控制机制,他们不觉得这有什么不对。 与其和使用者对抗,不如提供企业级的Box账户,藉此适当控制并建立政策,不必再操烦使用者应该在移动设备上安装何种App。满足员工生产力需求的额外好处是,IT人员可以遵循一个一致的政策(例如使用Box),让在家工作的人可透过笔记本电脑与其它设备连到公司的虚拟私人网络(VPN)。贵公司还记得那些PC对吧?这些PC也可以撷取,而且也很可能被偷或不小心弄丢。
|