企业CIO何处着手移动信息化安全策略

无论规模大小,移动计算的管理是任何企业都必须面对的一个课题。j. gold associates llc的总裁和首席分析师jack gold讨论了终端安全的挑战,本文针对所有规模的企业,gold提出一些移动安全管理的事项清单。 
       针对移动世界的动态特性,制定灵活、可持续的政策。灵活性是关键之处。先评估it在移动计算中的角色,之后制定灵活可持续的政策。it的角色是什么?驾驶员?后座上的乘客?根据企业情况的不同,it所处的角色不尽相同。在很多情况下,业务端是驱动应用的源动力。根据我们所做的调查,大概三分之二的移动应用和方案是由业务端而非it驱动的。当然,这并不是说it可以袖手旁观,只不过要事先确定好自己的角色。

  正如我们之前所谈的,区分客户的类型。确认用户的需求,知道他们想要什么东西,然后竭尽所能去满足他们。但是,有需求并不意味着必须去满足,如果和整个战略不相容的话。所以,首先要识别客户需求并尽力满足,如果无法做到,就开诚布公地向其说明原因。如果理由合情合理,客户并不是不可能让步的。
  定义设备的类型。根据设备的性能、客户忠诚度和缺陷,制定相应的战略。即便如安卓这种最为流行的平台 — 虽然缺乏最基本的安全考量 — 只要你使用得当,依然是可用的。比如,设定相应的使用范围,允许对系统进行低级别的访问 ——诸如电子邮件等。这一切都取决于企业的具体情况。医疗健康或者政府部门所需的安全级别肯定和制造业或者食品零售业不一样,一切都要因地制宜。
  制定并强制推行。这是决定成功与否的关键点所在。尽可能通过自动化、对客户透明的方式,将客户和设备强制纳入到政策范围内。如果要用户的参与才能让政策得以执行,就无法确保彻底的贯彻。因此,通过适当的工具来确保政策的执行。
  正如我们之前的讨论,理解面临的移动风险。这是因为,应用、设备和企业的情况各不相同。正如梳理业务规划一样,对风险也进行相应的梳理。你必须区分风险的影响程度,同时了解自己当下和未来的能力。
  制定并执行战略规划。这一点也非常关键。事实上,大多数受访的公司没有移动战略规划。如果没有规划,如何能知道该做什么呢?我建议你尽快制定并促其成为日常规范。这并不意味着必须花上多少个月才能完成。可以采取快速迭代的方式,每季度或半年进行一次升级,让整个企业从上到下都为战略规划提供输入。
  部署正确的附加产品。根据实际需要,选择合适的mdm(移动设备管理)、移动应用管理、移动基础架构管理、基于云的工具或者其他东西,然后毫不犹豫得进行部署。这是一条相对低成本且重要的移动设备防护策略。
  至此,强调最基本的一点,至少要做到对设备多样性的管控。你必须面对这一点,必须制定相应的举措。否则,你会暴露在极高的风险之下。
  对于更高级的移动管理,我在这里就不细述了,但是企业必须对此认真思考。过去,我们聚焦在设备资产上,而从今天开始,我们要专注于应用和政策上。
  也就是说,将重心从恶意软件转移到应用的集成上,从特定的操作系统移到数据和内容及其与操作系统的交互上,从用户移到政策上。上述种种,都是可以决定移动安全成败的因素,可以让你领先于同侪。客观地说,新的移动技术层出不穷,需要有新的管理机制来加以应对。长远来看,这是你必须做的事情。
  上面讲了很多内容,而且都比较简略,再次强调下最基本的东西。你必须要考虑针对设备多样性的战略,然后加以实施。你必须要考虑应用和设备,还有相关的策略和最终用户。在战略实施过程中,还要根据情况进行调整和补充。环境是充满变化的,不要担心,该做什么就去做吧,之后再看情况做出应对。
  从多个角度进行评估。你需要关注安全性,但是也得照顾到可管理性、管控、投资回报率、总体拥有成本和后续支持等。要考虑的因素很多,但就我的调查来看,很多企业在策略的全面性上做得很不够。
  各类设备、应用和用户的具体情况不同,必须加以区分。这是进行控制并防止混乱的唯一途径。制定好管理和控制措施之后,要和用户进行充分的沟通,打消他们因为误解而造成的抵触情绪。如果理解了你的初衷,他们会予以协作的。
  总之,迎接变革并拥抱之。不要指望移动计算带来的复杂性会逐渐减少,这一切将持续下去,你必须直面挑战并付诸行动。

原文摘自【比特网】

关键词: CIO 移动信息化