最好的移动安全计划:先检查风险 再对症下药

安全 移动安全
CIO们如何实施最好的移动安全? CTO Niel Nickolaisen认为可以从伟大的心理学家Abraham Maslown那里找到答案。

[[175391]]

CIO们如何实施***的移动安全? CTO Niel Nickolaisen认为可以从伟大的心理学家Abraham Maslown那里找到答案。

Maslow的需求层次理论从最基本的需求开始(“生理”需求和“安全”),然后达到人类需求的***层次——自我实现。其中还包括归属感,爱和尊重。归属感,爱和尊重都是双向模式——我们期望与他人沟通,相爱,我们希望他人与我们沟通,爱我们。我们想要有自尊,并获得尊重。

作为IT领导人,破坏我们与客户之间的关系,失去他们的喜爱和尊重的最快方式,就是对渴望自我实现的人,强加太多控制。具体来说,CIO们的IT计划充斥着,限制内部用户使用技术,能做什么和不能做什么。我很久以前就意识到影子IT的存在,因为我的用户无法从我的团队,得到他们真正需要的。

***的移动安全没有简单的答案

与此同时,我们必须考虑某种程度的控制,应对有害行为的风险。我们需要阻止,有人从街上捡到一个U盘,插入USB硬盘驱动器,然后释放病毒或勒索软件。我们需要有适当的控制,这样才不会丢失关键的客户或雇员数据。

应用到移动设备,更需要考虑风险和控制之间的平衡。移动设备(智能手机和平板电脑),从本质上讲, 旨在混合企业和个人的计算机体验。我的手机存储了个人照片,架构图和流程图。我的应用包括企业电子邮件和费用审批,也有我的个人手机银行。

我们如何提供***的移动安全,而不让企业中的每个人觉得移动计算体验是噩梦呢?应该允许什么,阻止什么呢?

当我面对模棱两可,看似无法双赢的局面,我试着回到一些基本原则。其中之一就是,在评估风险后,才做出决定。我承认,听起来有点老生常谈,但往往我会做出平等对待所有风险的决定。

***的移动安全评估风险可能性/影响

移动设备,会带来什么风险?是否在设备上存储机密或关键数据?如果有,什么数据?如果有人可以获取这些数据,他们能做些什么来危害企业?我们的电子邮件包含什么类型的信息?如果有人获取那些业务流程的图片,会危害企业吗?如果有人能够访问我的费用报告应用,能干些什么?

当评估风险时,我首先确定特定的风险,然后对每个风险,定义风险的可能性和影响。然后,找出***的,最实用的方法来减轻风险,使用***可能性-影响的组合。

例如,在手机上可以存储哪些员工或用户的个人身份信息(PII)?如果可以存储很多,我们就有可能丢失数据,并且根据PII的深度和广度,影响可能是巨大的。在这种情况下,***的移动安全计划必须有强大的PII风险缓解措施,可能要求我们进行适当控制。但至少,通过描述可能性-影响组合,我们可以清楚风险,并进行减缓控制。

另一方面,如果没有人能够在手机上接收或存储关键的PII,可能性-影响组合就较小,我们可能就不需要控制用户的生活。这种方法将我们的安全对策与用户对于个人控制的需求相契合。并且,如果你受到信息安全审计时,这种方法,你可以向任何审计员解释(虽然,根据我的个人经验,一些审计人员不了解这种在风险缓解前,进行风险评估的方法)。

这些风险是因为在确保移动设备安全上做的不够,但是也有风险是因为做的太多。使用这种基于风险的方法,一直帮助我找到正确的平衡。

责任编辑:赵宁宁 来源: TechTarget中国
相关推荐

2012-04-16 15:16:32

2010-08-24 13:28:36

IP地址冲突现象

2009-01-11 12:12:41

2021-04-12 13:20:43

WiFi路由器网络

2010-02-24 16:00:29

2013-12-04 10:34:34

2019-01-08 07:45:54

2020-09-23 14:59:12

大数据

2010-01-15 11:45:10

交换机

2009-03-05 09:28:00

VPN连接Vista系统局域网

2011-06-28 13:05:37

2024-05-20 11:51:47

架构重构接口

2011-03-22 09:32:10

2011-12-01 14:43:25

喷墨打印机故障与解决

2017-07-06 12:33:19

联想超融合

2019-04-19 14:14:24

2013-07-31 16:20:00

高可用集群软件NEC

2015-09-01 11:18:24

MES 2015论坛PIS系统锐捷

2013-12-25 13:03:08

校园网出口A10
点赞
收藏

51CTO技术栈公众号