BYOD来袭:企业如何建立移动安全策略
构建一套强健的能够定义指南和手段的策略,可有助于为构建更安全的移动环境奠定基础。这种策略应当把重点放在几个方面:移动设备可以访问的数据和资源、平台支持、管理方法和最佳实践。
首先,企业应当确认允许哪些业务数据通过哪些移动设备进行存储和处理。这样做有助于决定哪些方面需要保护及其保护程度。许多企业仅允许雇员使用电子邮件、联系人和日历信息等。还有的企业允许通过浏览器或本地的移动应用来访问关键业务应用,如ERP(企业资源计划)或CRM(客户关系管理)。移动设备访问的不同程度要求安全控制的不同水平。然而,应当注意,在业务数据从一个更严格控制的位置(例如数据库或文件服务器)流向一个保护程度较弱的设备时,丢失数据的风险就会增大。
你需要决定在企业环境中允许哪些移动设备平台,同样地,这个问题也应当在移动安全策略和计划中得到支持。虽然把一套安全控制用一种一致的方式应用于所有支持平台很令人向往,但不同的移动平台都有需要企业理解不同的本地安全机制。
另外一个重要的决定是移动安全管理工作的责任,是使用当前的IT安全团队来应对移动设备,还是外包给一个管理的安全服务供应商呢。企业也许需要多种安全技术来提供移动设备的全面的安全控制。同样道理,根据这些安全方案的交付方式(是本地方式,还是来自云),公司可能会选择设备安全管理的一种混合模式。
不管企业使用何种移动环境,都需要部署多种移动安全策略和最佳过程,并应当在公司的移动安全战略计划中进行确认。幸运的是,在桌面和笔记本系统中的许多最佳方法已经“久经沙场”,完全可用于移动设备,例如但不限于:
1、在管理和保障移动设备安全时,角色和责任的规范。
2、移动设备的注册和清单调查。
3、安全应用在移动设备上的高效安装和配置。
4、安全补丁、策略、设置的自动更新。
5、安全策略强化状态的报告。
6、就保障移动设备的安全对雇员进行教育。
上一篇: 明确信息安全建设目标 有的放矢