在工作场所提及“移动风险”时,很多CISO会感到不安。
企业移动安全战略就像是“狂野西部”一般,对设备和应用没什么限制,只会对少数平台进行标准化,而这些平台的固有安全功能由第三方安全软件提供。
其他移动风险管理战略专注于“用例”,移动安全围绕在用户配置文件和企业数据访问方面。
然而,大多数全球2000强企业没有部署相关政策来应对移动数据安全问题。根据Ponemon研究所2016年2月的调查显示,在接受调查的588名IT和安全专业人员中,67%称数据泄露事故“肯定”或“可能”是因为“员工使用移动设备访问敏感或关键企业数据”。只有41%的受访者表示其企业对移动设备访问企业数据部署了政策。
设备中的数据存储是另一个移动风险管理问题。虽然55%的受访者表示员工的移动设备中有太多工作相关的数据,但只有31%的企业制定政策限制企业数据在移动设备中进行存储。
CISO逐渐将移动风险管理视为其安全计划的重要组成部分。目前很多企业仍然处于早期阶段,移动风险战略可平衡用户的需求以及信息安全,这可提高生产效率以及制定让员工遵守的安全流程。但实现这个目标很困难。
很多员工仍然没有使用设备密码和应用密码。但并不是只有员工对身份验证懈怠,战略考虑和成本可能导致某些公司放弃最佳做法或者完全避免使用强身份验证方法。
加密是另外一回事。TechTarget对在过去12个月积极部署企业加密项目的IT和业务专业人员进行了调查,由于加密工具正越来越多地内置到广泛的安全平台,很难评选出最佳的加密工具。
随着FBI与苹果公司的对峙(有关使用新软件入侵涉嫌恐怖分子的iPhone)结束,设备加密已经不再是新闻头条。据报道,FBI向第三方支付了100万美元来解锁iPhone的数据。随着移动设备越来越多地存储和访问敏感信息,隐私和安全的辩论将会导致制造商、监管机构和执法机构调整其界限。
在工作场所中,CISO需要部署全面的安全战略来应对移动风险管理。