在BYOD議題上,企業不要表現的象是在幫員工一個忙,而是要將移動安全視為整個企業安全的一環。每一天都會看到一些聳動標題,哭喊著移動運算造成重大安全威脅,例如網絡攻擊創下了天文數字、Y世代員工就是不聽話、App商店成為惡意軟件的溫床等。企業甚至因此另外分出一個專門會議,來討論移動運算的安全問題。
在最新的移動安全調查中,回應的人數比去年大幅增加了32%。許多公司推出“攜帶自有設備”(Bring your own device)計劃,但也造成設備與平臺的多樣化,諸多問題導致IT團隊干脆放棄現有服務器,把所有東西送到云端,然后打包回家。
先等一等!移動安全可不是只用錢就可買來的東西,企業應該先放下支票簿、遠離移動設備管理系統,然后搞清楚:現在企業面對的,其實是流程與信任的問題。
建立資料分類流程
現在許多CIO彷彿就象是那只在深夜里看見車頭燈的鹿,這其實不能怪他們。不過,許多人認為“移動化”會讓安全變的與一般IT安全不一樣,這就有問題了。如今大家的憂心明顯增加,其實這反映出了過去十多年來安全團隊所做的糟糕流程、溝通與抉擇。請看看下列移動與IT安全廠商的前5大注意事項:
1. 在所有移動設備上標示使用者與公司信息。
2. 要求使用者利用安全密碼來認證移動設備。
3. 定義認證功能,例如密碼過期時間、輸入次數限制、密碼的長度與強度。
4. 確保所有移動設備都有逾時機制,在靜止活動一段時間后會自動要求用戶輸入密碼。
5. 防止移動設備從無線網絡下載不安全的第三方應用。
現在,把“移動”這個字拿開。這些建議其實可適用于每一種可連網的IT資產,包括筆記型計算機、桌上型計算機與服務器。所以,企業何必恐慌(有時候恐慌是為了達到某種策略目的)?
大力渲染移動惡意軟件的風險,對IT人員來說是件好事,因為要讓使用者注意或讓主管花時間與金錢在一件從不認為是問題的事情上,其實是很困難的,所以第一步通常會先散播恐懼。
舉例來說,幾年前,有一家金控公司找上筆者的顧問公司做實體安全評估,因為該公司一直有開后門的問題,員工沒有任何危機意識、管理階層不愿改變,僅表示公司的文化就是強調開放與客戶服務,所以他們不想逼大家花時間等待許可,即使CIO已經明確指出,攻擊者可以大搖大擺的進到網絡里。
這位CIO花了2年時間,希望能建立最基本的安全運維流程,卻徒勞無功。于是該CIO做了件有點冒險的事:他要求筆者派出一位陌生人,到大樓里偷一個“錢包”,筆者輕而易舉的照做了。當這位“受害者”找不到“錢包”和“車鑰匙”的時候,騷亂接踵而至,消息很快傳開。當然,筆者15分鐘后就把“錢包”物歸原主;接下來,大家馬上開始用不同角度來看門戶大開這件事了。
當談論移動安全的時候,在許多IT團隊眼中,移動惡意軟件肆虐、造成企業資料外流的狀況,其實就像偷皮包一樣;不過,這個問題可能太過小題大作,特別是在美國。
Google的背上彷彿畫著一個標靶,因為Android被視為移動惡意軟件的溫床。他們最近在2013年Virus Bulletin會議上發表演說,而結論是,在所有Android使用者下載的應用程序中,只有0.001%對下載的設備或設備中的資料產生風險。
喬治亞理工學院與網絡安全業內人士Damballa的研究也呼應Google的論點,研究人員發現,移動惡意軟件只存在于非常少數的設備。究竟有多少?在3.8億臺設備中,只有3,492臺顯示出受感染跡象,這個比例比Google估計的更低。問問身邊的人或是IT專家吧,看有沒有人的設備被移動惡意軟件入侵?恐怕不容易找到案例。
這個故事的意義在于,其實只有一種風險是專屬于移動設備:那就是內涵機密信息的設備遭竊。IT單位都同意筆者做的《移動安全調查》中,有78%受訪者表示他們最大的疑慮是設備遺失或是設備遭竊。
沒錯,iPhone確實比服務器更容易失竊;但道理是一樣的:重點仍在于資料。如果一臺平板計算機里沒有任何敏感信息,損失的只有硬件成本而已。不幸的是,在筆者訪談過的公司中,多數仍熱衷于安裝移動設備管理系統。
如此一來,要不就是這些公司把原本已經很貧弱的資料安全措施延伸到智能型手機與平板計算機上;要不就是走向另一個極端,也就是緊緊鎖住設備,讓使用者大感不悅。心生不悅的員工,很可能鋌而走險不聽指揮;企業也很可能無法讓移動設備提升生產效能。
所以,正確答案絕不是移動設備管理或移動應用管理,也不是任何綁住設備的方法。重點其實是要建立一套流程,將機密資料加以分類,并確保其安全無虞。貴公司可能會說,“但是,讓員工使用自己的平板計算機與手機,幾乎讓企業不可能建立任何規范。”
抱歉,看來貴公司可能還沒搞清楚移動性的重點:在任何地方、任何時間都可擷取資料,并不代表大家可以從公司的檔案服務器復制資料到移動設備中。反之,在99%的狀況中,企業必須把檔案復制到云端服務,然后透過企業的設備,到云端取得資料。
在建立一個統一的安全政策前,貴公司得先弄清楚,員工究竟要怎樣才會有生產力。他們希望使用何種云端服務?他們想在哪里使用?他們希望儲存哪些資料?要怎么使用這些資料?找出答案,然后制定一套符合這些需求的安全流程,而不是一味地由IT發號施令,硬是推動移動設備管理系統,然后假裝使用者都很乖,不會把資料存到Dropbox和Google Doc上面。
貴公司可以斷定,有些人就是會這么做。在《2013云端安全與風險調查》顯示,有28%受訪者希望在未來24個月內,可在云端完成25%或更多的IT服務,這只是官方說法,真正的數字可能是2倍之多。在筆者的《Google in the Enterprise調查》中,有69%受訪者表示,他們喜歡Google Apps,只有28%不鼓勵或禁止使用Google的生產力產品。
即使貴公司把移動設備管理或移動應用管理強推到用戶設備上,《iPass Global Mobile Workforce報告》也指出,大約有1/4員工會為了能夠完成工作,而主動繞過IT人員“強加”的移動安全控制機制,他們不覺得這有什么不對。
與其和使用者對抗,不如提供企業級的Box賬戶,藉此適當控制并建立政策,不必再操煩使用者應該在移動設備上安裝何種App。滿足員工生產力需求的額外好處是,IT人員可以遵循一個一致的政策(例如使用Box),讓在家工作的人可透過筆記本電腦與其它設備連到公司的虛擬私人網絡(VPN)。貴公司還記得那些PC對吧?這些PC也可以擷取企業信息,而且也很可能被偷或不小心弄丟。
京公網安備 11010502049343號