移动设备安全风险

移动设备安全风险

您的企业在处理移动设备安全方面的政策是什么?

移动设备的巨大普及是不可避免的, 然而,大多数小企业都没有真正考虑过如何最好地管理它们. 直到最近,我还认为通常没什么好担心的. 移动设备上的企业数据数量有限(大部分是电子邮件),下载网址通常可以远程删除丢失的设备, 从而应对最明显的威胁.

但随着移动设备使用量的增长, 它们包含的敏感信息的数量和类型也是如此. 云文件同步应用程序 现在,让各种文件和文件很容易地进入任何员工的口袋. 现在是时候认识到这一点的重要性,并努力解决其影响——是时候让小企业主和管理者计划和执行移动设备战略了.

政策

制定策略的第一步是概念化,然后写下你想要发生的事情, 通常以移动设备策略的形式分发给员工并由员工签署.

首先 定义范围:涵盖哪些类型的移动设备? 大多数人想到的是智能手机和平板电脑, 但这项政策可能也适用于笔记本电脑, 闪存, 外部硬盘驱动器, 以及任何包含公司数据的便携式设备. 当然,这一政策也适用于公司自有设备, 但某些或所有条款也应适用于员工拥有的访问公司数据的设备.

一旦你定义了你所关心的设备, 您可以设置如何配置和使用它们的准则. 一个基本的策略应该声明哪些公司数据允许存在于移动设备上. 它还应该至少要求所有包含公司数据的设备都用密码和磁盘加密来保护. 最后, 每个移动设备政策都应该要求员工在被覆盖的设备丢失或被盗时立即通知IT部门.

超越基础, 一个更全面的政策可能会规定哪些应用程序可以访问公司数据,或者哪些应用程序可以安装在设备上. 它可能禁止员工越狱或生根他们的设备. 它可能设置或限制某些设备或应用程序设置, 比如可以存储多少天的电子邮件,或者包含企业数据的应用程序是否可以备份到云端.

可能性可能是压倒性的, 因此,一个好的开始是在网上找到一个政策例子或模板. 然而,请记住,当你深入研究细节时,通常没有单一的正确答案. 什么最适合你取决于你的环境和企业文化. 这一切都是关于平衡安全性与可用性和选择.

执行

一旦制定了策略,策略的第二部分是可靠地执行它. 而某些方面可能只需要向员工传达期望,并获得他们的承诺来遵循这些期望, 通常情况下,风险太大, 或者期望太技术性, 完全依靠意愿, 有意识的合规.

解决方案是使用移动设备管理(MDM)解决方案, 哪些允许IT部门严格执行策略规范. 入门级MDM包含在Microsoft Exchange中, 微软Office 365, 谷歌商业应用程序. 这些产品足以满足基本的策略要求,可以完全清除丢失的设备或有选择地清除相关应用程序.

类似于更高级的MDM解决方案 MobileIron, AirWatch, 思科Meraki, 微软Intune -添加自动安装或删除应用程序和“包装”公司数据和应用程序的安全功能, 独立的区域, 将它们与设备上的其他所有东西隔离. 每个设备或用户每月的成本从零到几美元不等, 对于有更复杂需求的企业来说,它们是一种有效的工具.