[[175391]]

CIO們?nèi)绾螌?shí)施***的移動(dòng)安全? CTO Niel Nickolaisen認(rèn)為可以從偉大的心理學(xué)家Abraham Maslown那里找到答案。

Maslow的需求層次理論從最基本的需求開(kāi)始(“生理”需求和“安全”)，然后達(dá)到人類(lèi)需求的***層次——自我實(shí)現(xiàn)。其中還包括歸屬感，愛(ài)和尊重。歸屬感，愛(ài)和尊重都是雙向模式——我們期望與他人溝通，相愛(ài)，我們希望他人與我們溝通，愛(ài)我們。我們想要有自尊，并獲得尊重。

作為IT領(lǐng)導(dǎo)人，破壞我們與客戶(hù)之間的關(guān)系，失去他們的喜愛(ài)和尊重的最快方式，就是對(duì)渴望自我實(shí)現(xiàn)的人，強(qiáng)加太多控制。具體來(lái)說(shuō)，CIO們的IT計(jì)劃充斥著，限制內(nèi)部用戶(hù)使用技術(shù)，能做什么和不能做什么。我很久以前就意識(shí)到影子IT的存在，因?yàn)槲业挠脩?hù)無(wú)法從我的團(tuán)隊(duì)，得到他們真正需要的。

***的移動(dòng)安全沒(méi)有簡(jiǎn)單的答案

與此同時(shí)，我們必須考慮某種程度的控制，應(yīng)對(duì)有害行為的風(fēng)險(xiǎn)。我們需要阻止，有人從街上撿到一個(gè)U盤(pán)，插入U(xiǎn)SB硬盤(pán)驅(qū)動(dòng)器，然后釋放病毒或勒索軟件。我們需要有適當(dāng)?shù)目刂?，這樣才不會(huì)丟失關(guān)鍵的客戶(hù)或雇員數(shù)據(jù)。

應(yīng)用到移動(dòng)設(shè)備，更需要考慮風(fēng)險(xiǎn)和控制之間的平衡。移動(dòng)設(shè)備(智能手機(jī)和平板電腦)，從本質(zhì)上講， 旨在混合企業(yè)和個(gè)人的計(jì)算機(jī)體驗(yàn)。我的手機(jī)存儲(chǔ)了個(gè)人照片，架構(gòu)圖和流程圖。我的應(yīng)用包括企業(yè)電子郵件和費(fèi)用審批，也有我的個(gè)人手機(jī)銀行。

我們?nèi)绾翁峁?**的移動(dòng)安全，而不讓企業(yè)中的每個(gè)人覺(jué)得移動(dòng)計(jì)算體驗(yàn)是噩夢(mèng)呢?應(yīng)該允許什么，阻止什么呢?

當(dāng)我面對(duì)模棱兩可，看似無(wú)法雙贏的局面，我試著回到一些基本原則。其中之一就是，在評(píng)估風(fēng)險(xiǎn)后，才做出決定。我承認(rèn)，聽(tīng)起來(lái)有點(diǎn)老生常談，但往往我會(huì)做出平等對(duì)待所有風(fēng)險(xiǎn)的決定。

***的移動(dòng)安全評(píng)估風(fēng)險(xiǎn)可能性/影響

移動(dòng)設(shè)備，會(huì)帶來(lái)什么風(fēng)險(xiǎn)?是否在設(shè)備上存儲(chǔ)機(jī)密或關(guān)鍵數(shù)據(jù)?如果有，什么數(shù)據(jù)?如果有人可以獲取這些數(shù)據(jù)，他們能做些什么來(lái)危害企業(yè)?我們的電子郵件包含什么類(lèi)型的信息?如果有人獲取那些業(yè)務(wù)流程的圖片，會(huì)危害企業(yè)嗎?如果有人能夠訪問(wèn)我的費(fèi)用報(bào)告應(yīng)用，能干些什么?

當(dāng)評(píng)估風(fēng)險(xiǎn)時(shí)，我首先確定特定的風(fēng)險(xiǎn)，然后對(duì)每個(gè)風(fēng)險(xiǎn)，定義風(fēng)險(xiǎn)的可能性和影響。然后，找出***的，最實(shí)用的方法來(lái)減輕風(fēng)險(xiǎn)，使用***可能性-影響的組合。

例如，在手機(jī)上可以存儲(chǔ)哪些員工或用戶(hù)的個(gè)人身份信息(PII)?如果可以存儲(chǔ)很多，我們就有可能丟失數(shù)據(jù)，并且根據(jù)PII的深度和廣度，影響可能是巨大的。在這種情況下，***的移動(dòng)安全計(jì)劃必須有強(qiáng)大的PII風(fēng)險(xiǎn)緩解措施，可能要求我們進(jìn)行適當(dāng)控制。但至少，通過(guò)描述可能性-影響組合，我們可以清楚風(fēng)險(xiǎn)，并進(jìn)行減緩控制。

另一方面，如果沒(méi)有人能夠在手機(jī)上接收或存儲(chǔ)關(guān)鍵的PII，可能性-影響組合就較小，我們可能就不需要控制用戶(hù)的生活。這種方法將我們的安全對(duì)策與用戶(hù)對(duì)于個(gè)人控制的需求相契合。并且，如果你受到信息安全審計(jì)時(shí)，這種方法，你可以向任何審計(jì)員解釋(雖然，根據(jù)我的個(gè)人經(jīng)驗(yàn)，一些審計(jì)人員不了解這種在風(fēng)險(xiǎn)緩解前，進(jìn)行風(fēng)險(xiǎn)評(píng)估的方法)。

這些風(fēng)險(xiǎn)是因?yàn)樵诖_保移動(dòng)設(shè)備安全上做的不夠，但是也有風(fēng)險(xiǎn)是因?yàn)樽龅奶?。使用這種基于風(fēng)險(xiǎn)的方法，一直幫助我找到正確的平衡。