CIO們?nèi)绾螌嵤┳詈玫囊苿影踩?CTO Niel Nickolaisen認為可以從偉大的心理學(xué)家Abraham Maslown那里找到答案。
Maslow的需求層次理論從最基本的需求開始(“生理”需求和“安全”),然后達到人類需求的最高層次——自我實現(xiàn)。其中還包括歸屬感,愛和尊重。歸屬感,愛和尊重都是雙向模式——我們期望與他人溝通,相愛,我們希望他人與我們溝通,愛我們。我們想要有自尊,并獲得尊重。
作為IT領(lǐng)導(dǎo)人,破壞我們與客戶之間的關(guān)系,失去他們的喜愛和尊重的最快方式,就是對渴望自我實現(xiàn)的人,強加太多控制。具體來說,CIO們的IT計劃充斥著,限制內(nèi)部用戶使用技術(shù),能做什么和不能做什么。我很久以前就意識到影子IT的存在,因為我的用戶無法從我的團隊,得到他們真正需要的。
最好的移動安全沒有簡單的答案與此同時,我們必須考慮某種程度的控制,應(yīng)對有害行為的風(fēng)險。我們需要阻止,有人從街上撿到一個U盤,插入USB硬盤驅(qū)動器,然后釋放病毒或勒索軟件。我們需要有適當(dāng)?shù)目刂疲@樣才不會丟失關(guān)鍵的客戶或雇員數(shù)據(jù)。
應(yīng)用到移動設(shè)備,更需要考慮風(fēng)險和控制之間的平衡。移動設(shè)備(智能手機和平板電腦),從本質(zhì)上講, 旨在混合企業(yè)和個人的計算機體驗。我的手機存儲了個人照片,架構(gòu)圖和流程圖。我的應(yīng)用包括企業(yè)電子郵件和費用審批,也有我的個人手機銀行。
我們?nèi)绾翁峁┳詈玫囊苿影踩蛔屍髽I(yè)中的每個人覺得移動計算體驗是噩夢呢?應(yīng)該允許什么,阻止什么呢?
當(dāng)我面對模棱兩可,看似無法雙贏的局面,我試著回到一些基本原則。其中之一就是,在評估風(fēng)險后,才做出決定。我承認,聽起來有點老生常談,但往往我會做出平等對待所有風(fēng)險的決定。
最好的移動安全評估風(fēng)險可能性/影響移動設(shè)備,會帶來什么風(fēng)險?是否在設(shè)備上存儲機密或關(guān)鍵數(shù)據(jù)?如果有,什么數(shù)據(jù)?如果有人可以獲取這些數(shù)據(jù),他們能做些什么來危害企業(yè)?我們的電子郵件包含什么類型的信息?如果有人獲取那些業(yè)務(wù)流程的圖片,會危害企業(yè)嗎?如果有人能夠訪問我的費用報告應(yīng)用,能干些什么?
當(dāng)評估風(fēng)險時,我首先確定特定的風(fēng)險,然后對每個風(fēng)險,定義風(fēng)險的可能性和影響。然后,找出最好的,最實用的方法來減輕風(fēng)險,使用最高可能性-影響的組合。
例如,在手機上可以存儲哪些員工或用戶的個人身份信息(PII)?如果可以存儲很多,我們就有可能丟失數(shù)據(jù),并且根據(jù)PII的深度和廣度,影響可能是巨大的。在這種情況下,最佳的移動安全計劃必須有強大的PII風(fēng)險緩解措施,可能要求我們進行適當(dāng)控制。但至少,通過描述可能性-影響組合,我們可以清楚風(fēng)險,并進行減緩控制。
另一方面,如果沒有人能夠在手機上接收或存儲關(guān)鍵的PII,可能性-影響組合就較小,我們可能就不需要控制用戶的生活。這種方法將我們的安全對策與用戶對于個人控制的需求相契合。并且,如果你受到信息安全審計時,這種方法,你可以向任何審計員解釋(雖然,根據(jù)我的個人經(jīng)驗,一些審計人員不了解這種在風(fēng)險緩解前,進行風(fēng)險評估的方法)。
這些風(fēng)險是因為在確保移動設(shè)備安全上做的不夠,但是也有風(fēng)險是因為做的太多。使用這種基于風(fēng)險的方法,一直幫助我找到正確的平衡。
京公網(wǎng)安備 11010502049343號