移动设备安全风险

移动设备安全风险

你们公司处理移动设备安全的政策是什么?

移动设备的巨大普及是不可避免的, 然而,大多数小企业几乎没有认真考虑过如何最好地管理它们. 直到最近,我还认为通常没什么好担心的. 移动设备上的企业数据量有限(大部分是电子邮件),我们通常可以远程删除丢失的设备, 从而应对最明显的威胁.

但随着移动设备使用率的增长, 它们包含的敏感信息的数量和类型也是如此. 云文件同步应用程序 现在,让各种文件和文件很容易进入任何员工的口袋. 现在是时候认识到这一点的重要性,并解决其影响了——是时候让小企业主和管理者计划和执行移动设备战略了.

政策

制定策略的第一步是概念化,然后写下你想要发生的事情, 通常以移动设备策略的形式发布给员工并由员工签署.

首先 定义范围:包括哪些类型的移动设备? 大多数人想到的是智能手机和平板电脑, 但这项政策也可能适用于笔记本电脑, 闪存, 外部硬盘驱动器, 以及其他任何包含公司数据的便携设备. 当然,这项政策也适用于公司拥有的设备, 但某些或所有的规定也应适用于员工拥有的访问公司数据的设备.

一旦你定义了你关心的设备, 您可以为如何配置和使用它们设置指导方针. 一个基本政策应该说明哪些企业数据允许存在于移动设备上. 它还应该至少要求所有包含公司数据的设备都要用密码和磁盘加密来保护. 最后, 每个移动设备政策都应该要求员工在被覆盖的设备丢失或被盗时立即通知IT部门.

超越基础, 一个更全面的策略可能会规定哪些应用程序可以访问企业数据,或者哪些应用程序可以安装在设备上. 它可能会禁止员工破解或安装他们的设备. 它可以设置或限制某些设备或应用程序设置, 比如电子邮件可以存储多少天,或者包含企业数据的应用程序是否可以备份到云.

可能性可能是巨大的, 因此,最好从在线查找策略示例或模板开始. 然而,请记住,当你深入研究细节时,通常没有单一的正确答案. 什么是最适合你的取决于你的环境和企业文化. 这一切都是为了平衡安全性、可用性和选择.

执行

一旦制定了策略,策略的第二部分就是可靠地执行它. 而某些方面可能只需要向员工传达他们的期望,并获得他们遵守这些期望的承诺, 风险往往太大, 或者期望太专业了, 完全依靠意愿, 有意识的合规.

解决方案是使用移动设备管理(MDM)解决方案, 允许IT部门严格执行策略规范. 入门级MDM包含在Microsoft Exchange中, 微软Office 365, 以及谷歌商业应用程序. 这些服务足以满足基本的政策要求,可以完全清除丢失的设备,或选择性地清除其相关的应用程序.

更高级的MDM解决方案——比如 MobileIron, AirWatch, 思科Meraki, 微软Intune -增加一些功能,如自动安装或删除应用程序,“包装”企业数据和应用程序在一个安全的, 独立的区域, 把它们和设备上的其他东西隔离开来. 每个设备或每个用户每月的成本从零到几美元不等, 对于有更复杂需求的企业来说,它们是一种有效的工具.