虽然将移动电话转变成计算机历经了长时间的演化,但过去两年中发生的变化可谓翻天覆地:消费类移动设备的吸引力无法抗拒,为商业用户带来了非常有效的学习、交易、共享和演示手段,迫使企业彻底颠覆传统思想,转而允许用户使用此类设备办公。成为移动企业,意味着可为您的企业带来大量新机会。
如果能够在移动过程中通过平板电脑和智能手机访问电子邮件、应用和数据,员工将更加满意,工作起来也会更加高效。依靠移动办公解决方案开展业务的企业可以赢得竞争优势并实现快速增长。在最近的调查中,Aberdeen 发现,最领先的企业将业务流程与用户移动设备关联起来的意愿是所有其它公司的 3 倍。然而最近的几乎所有分析师调查都表明,安全性是阻碍企业实施企业移动业务和“自带设备(BYOD)”计划的主要绊脚石。《CSO》杂志最近报道,17% 的企业已经经历过移动安全事件。
然而…
矛盾就在这里。尽管他们愉悦地触控着自己喜欢的移动设备, 审核委员会成员、最高主管和董事会成员却一致认为,允许员工选择自己喜欢的设备,并接入企业资源、应用和数据是一种冒险的做法,与标准的可锁定式PC 或受到严格控制的 Blackberry设备不同,当前企业中的移动设备可谓五花八门,存在的安全漏洞也不一而同,使IT 部门无法一致地管理哪怕是最基本的安全性,如密码强制。
随着越来越多的企业开始通过Apple iPad 向董事会成员发送敏感的商业文件,数据外泄的后果更是不言而喻。企业高管和董事会成员尚对2000 年代中期导致企业运营中断的数据外泄事件记忆犹新,萨班斯 – 奥克斯利法案又规定高管必须共担风险,因此他们迫切需要设法使企业能够有效地管理并保护移动设备。
对移动安全性的担忧
对移动安全性的担忧涉及很多方面:从密码强制到设备加密,但对移动办公计划实施人员来说,数据安全和数据泄漏是他们担心的主要问题。企业安全专家Jack Gold 表示,企业每年丢失的智能手机数量将达到笔记本电脑的 3 到 4 倍。Gold 反问道:“智能手机和平板电脑的内存高达32 甚至 64 GB,其中能保存多少记录?”3 每条丢失的记录的代价估计超过 250 美元,4 可见数据外泄的代价有多高。实际上,某些调研表明,对大企业和小企业来说,每次移动数据外泄造成的损失分别高达400,000 美元和100,000 美元,5 有些案例甚至高达数百万美元。6 由于越来越多的智能手机和平板电脑不仅连接到企业网络,而且会访问越来越多的企业应用和内容存储库,更是加剧了这一担忧。除了数据,企业IT 和安全部门还担心将企业内部网络向各种移动设备开放所带来的风险。在很多情况下,移动设备既不受管理又不受监控,意味着它们会带来网络安全威胁,给企业的合规性带来负面影响。
担忧安全性的三大主要因素
1. Center for Telecom Environment Management Standards(CTEMS)报告说,78% 的企业允许员工使用个人移动设备办公, 而企业仅在 Apple iPad 平板电脑方面的 IT 支出在 2013 年就将达到 160 亿美元,8 企业中使用的移动设备不仅数量猛增,而且用户群也正从企业高管扩大到普通员工。此外,不管是企业配发的设备还是员工个人设备,这些设备上的应用数量也与日俱增。移动分析公司Asymco 报道,平均每台 iOS 设备上运行的应用多达 60 种。9 鉴于一半以上的企业将支持一种以上设备类型,企业网络中出现不符合规定的应用或恶意应用的可能性极大。
2. 各级企业主管都强烈希望为员工配备移动设备,并使他们可以在移动过程中接入企业应用和数据。企业还会沿水平方向逐步扩展——即在不同业务部门中实现移动性。这包括为服务员和厨师配备iPad 平板电脑的连锁餐馆,也包括通过三星Galaxy Tab 平板电脑向机组人员发送“飞行资料包(其中包括电子飞机手册、航班计划和合规性文件等)”的航空公司。这种移动接入手段显示了巨大的潜力,但同时也意味着企业数据和网络接入权限将通过越来越多的设备落入更多用户的手中,进而使风险成倍增加。
3. 我们耳闻目睹的企业移动性安全解决方案通常以锁定丢失或被盗的设备或擦除其中的数据为中心,但实际上最大的威胁来自未受任何控制的数据共享。目前,有数百万用户通过各式各样的云连接终端设备共享数据,隐私数据泄漏的危害程度要远远超过设备丢失/ 被盗的危害。某些最最常用的应用,如 Dropbox 和 Evernote,通常也是被企业列入黑名单最多的应用。这说明,它们是既有用又会带来商业风险的双刃剑。
会危害敏感数据并给企业带来移动威胁的活动有很多,上面只列出了少数几种。现在,企业急需一种安全的移动设备管理解决方案,以便在移动企业的各个层面上提供实时防护。
审核委员会终于可以松口气了
移动解决方案包可提供企业急需的实时防护功能,帮助企业把握移动业务创造的新商机,同时有效地保护企业知识产权、客户和员工数据、非公开财务信息和商业情报。借助基于云的解决方案和企业自建解决方案,思杰可帮助企业IT 专业人员保护并管理最广泛的移动设备,全面洞察并控制移动应用,保护企业网络免受移动威胁影响。
执行检查表
1、设备考虑事项
公司目标:定义贵公司的企业移动性目标。规定您关注的是生产率的提高、主要机会还是/ 或是员工选择设备的灵活性。确保贵公司的移动战略全面反映这些目标。
设备灵活性与设备一致性:确保贵公司的IT人员全面考虑了设备选择灵活性或一致性与设备控制之间的折衷关系。确保他们(还有您)对设备多样性及设备带给IT 部门的管理功能和安全性感到满意。
自带设备(BYOD)与企业设备:如果您不能在 100% 使用企业设备和 100% 使用BYOD(自带设备)计划之间作出选择,则应确定二者的混合方案是否更适合您的企业。例如,您可以允许部分用户选择设备类型(或许从入围的设备列表中),同时限制其他用户只能选择一种设备类型。举个例子,医院可以面向常驻医生和行政管理人员实施BYOD 计划,同时为护士配发只能在医院范围内使用的企业平板电脑。
2、用户考虑事项
移动办公计划范围和资格:确定将允许哪些人(企业高管?销售人员?小时工还是所有人)移动办公。如果答案不是所有人,确定哪些部门和职位(如经理级别以上)的人可以移动办公并说明理由。另外还应确定具体实施方法是否应不同于现场用户或非全
职员工。
谁为BYOD 计划买单?:确定贵公司是否将实施 BYOD 计划,并决定您是否将容忍、鼓励使用所有设备,甚至承担一部分无线设备支出。
每用户设备数量:确定特定企业移动解决方案中是否将允许部分或所有用户使用多种设备。例如,除了注册电话外,是否还允许销售人员注册平板电脑来进行演示?
3、应用考虑事项
贵公司将允许使用哪些应用?:确保贵公司的IT 部门已全面考虑过将允许哪些应用(电子邮件、联系信息和日历应用?业务自动化应用?
ERP ?定制应用?)。确保应用发布计划与贵公司的需求及风险配置文件相适应。确保IT 部门允许使用的应用能够因角色、用户组、设备、设备所有权(公司配发设备还是个人设备)而变化。
您将如何保护应用安全?:确保IT 部门能够对移动应用和资源进行限制,不管您选择什么类型的用户或设备。它们应能够有效地保护任何定制应用、第三方应用或BYOD移动应用,实施全面的策略控制,包括移动DLP 及其它关键要素,如远程锁定、擦除和加密应用及数据的能力等。
移动业务机会:了解您的业务部门的移动目标及实施时间表。确保IT 部门考虑了您的业务部门是否计划帮助用户和合作伙伴实现所喜爱应用的移动交付,以及它们是否计划开发或扩展面向特定设备的定制应用。
4、数据考虑事项
贵公司制定了什么样的数据保护策略?仔细阅读IT 部门的移动数据访问策略,对于有权接入包含知识产权、个人身份信息、商业情报、未公开财务数据和未来公告的应用和数据库的用户,确保企业可以制定基于角色、用户组、设备甚至基于环境的策略。
此外,许多用户可能使用多种设备,因此应确保用户可以通过多种设备安全地从应用、Web 及数据中心内访问相同的数据。
评估数据风险:确定员工将访问的数据价值和风险,并说明数据安全或外泄会造成的后果。确保您和整个企业高管团队/ 董事会对回报和风险间的折衷关系感到满意。
防止数据泄漏:确保贵公司的IT 部门能够有效地保护敏感数据。确保 IT 部门已制定了如何防止敏感数据通过移动设备外泄的应对计划。
促进协作:除了数据保护外,确保需要接入数据的用户能够轻松获取数据并与之交互。简化的接入将帮助更有效地实施安全策略,因为用户设法绕过您制定的安全防范措施的可能性就更小。
5、策略考虑事项
标准合规性:仔细阅读贵公司必须遵守的监管条例、行业和企业策略(如HIPAA 等条例、PCI 等行业指南、SEC 等的指南、ITIL 等 IT 框架及其它企业策略),并确保贵公司的移动战略可支持您当前的合规性控制措施。
私密性和全球考虑事项:仔细阅读贵公司将开展业务或服务客户的地区的外国法律和法规,确保您的移动战略有助于您遵从这些政策。这不仅包括安全政策,还包括用户私密性法规。这些都会影响您在不同地点上如何来实施企业移动管理的方案。与审核委员会、高层主管及董事会成员一同审核移动设备和接入策略(策略制定、监管和报告)。
员工移动合同:清楚地了解与设备所有权、责任、替换、支持和监控相关的考虑事项和限制,在此基础上制定政策。除了安全性和接入策略外,还应考虑企业和用户之间的移动“合同”。设备归谁所有?由谁为服务付费?谁负责设备更换?此外,还应就员工离职后如何停用其设备制定清楚的政策。
最低策略要求:确定为未纳入移动管理方案中的设备提供多大的灵活性。例如,您是否希望制定策略,确保外聘人员和特定地区的用户等仍可接入电子邮件和/ 或移动设备中的基本安全应用而不破坏用户私密性?
补贴:如果要实施BYOD 计划,您是否会为设备和 / 或服务提供一定的补助或补贴?如果是,您将如何进行管理,哪些用户有资格参加该计划?您是否仍可以从服务供应商处享受批量购买折扣优惠?
6、安全考虑事项
设备、用户和应用合规性:了解IT 部门将如何处理网络中出现的非法设备、未授权用户和不符合规定的移动应用。
数据安全性:了解IT 部门如何保护企业数据,免受非法接入、意外丢失和内部威胁影响。
威胁监控:了解IT 部门将如何监控安全基础架构,及时发现安全威胁,了解网络、应用和设备性能。如果您为合规性和法庭取证目的制定了日志保存策略,确保IT 部门有适当的设备来收集、保存和保护这些日志。
停用:了解IT 部门在设备丢失、被盗或员工离职时将如何擦除设备中的数据。如果您计划允许员工使用个人设备办公,则应考虑如何在确保个人内容完好无损的前提下删除企业数据。确保制定合理的计划,来清楚地定义适用于所有受影响员工的策略和流程。
SIEM 集成:了解 IT 部门是否会将移动设备管理系统与安全信息和事件管理系统或其它系统相集成,并确保为此制定了相关计划。
7、可扩展性和高可用性考虑事项
正常运行时间:确保您的IT 部门已计算过而且可以支持正常运行时间服务水平协议,以及它是否与您的业务要求相一致。
业务增长:确保您的移动战略考虑了业务增长,而且可帮助IT 部门支持您希望在目前和将来实现移动办公的所有用户。
可扩展性成本:确保您的移动战略使您可以经济高效地扩展用户,而且充分考虑了所有相关的硬件、软件和服务成本。
冗余和容错:全面了解您的移动战略的高可用性计划。如果贵公司的战略包括负载均衡、服务器和数据冗余和确保灾难恢复的全局冗余(如果是云解决方案),则应确保这些投资已被纳入到计划中。
8、服务考虑事项
QoS 考虑事项:了解您的移动战略是否包括如何监控电信服务质量的内容。如果是,确保IT 部门可以根据所获取的商业情报确定您应采取的措施。
电信支出:了解您的移动战略是否包括如何管理电信支出方面的内容。确保已制定了成本节约目标并定义了测量机制,来评估这些目标的实现进展。
远程支持:了解贵公司的移动战略是否包括提供远程支持、诊断和故障排除,以及为此定义了哪些机制。
员工自服务:了解IT 部门是否计划为用户提供自服务门户网站,帮助它们在自己的设备上执行基本的安全和管理操作