移动计算安全

保障政企行业移动计算安全的动作

admin

诸如智能手机等移动计算设备很“便携贴身”,所以它们是如此的受欢迎。随着移动设备功能的增强,可用功能也不断有所增加,处理更多与工作有关的任务的能力也得到了提高。借助更大的处理能力,可以通过移动设备访问越来越多的数据,当然也包括工作数据。无论雇主还是雇员都可以通过移动计算设备访问数据。效率的提高包括跟踪员工的工时、与员工共享文档、跟踪库存等等。一份移动工作调查报告显示:由于使用了移动计算设备,接受调查的组织机构中有68%改善了与不同位置的同事们之间的沟通。此外,有57%的被调查者认为员工的生产率获得了提高,有53%的被调查者表示移动计算设备的使用还可以改善客户服务。

对于所有组织机构来说,尽管提高通信效率、提高生产率和提高客户服务水平都是很好的事情,但是也不能忽视移动访问敏感数据所存在的危险。对此,昆明亭长朗然科技有限公司移动安全研究员James Dong举例说:通过移动方式访问数据意味着新增加一个可能遭受攻击的访问点。无论移动设备是由员工、承包商还是雇主所有,其访问的数据都有落入错误人员之手的风险。时常有新闻报道称员工弄丢了移动计算设备,它们中包含了诸如移动支付钱包、通信内容等个人或工作单位的大量财产和敏感信息。

那么,如何搞好移动计算安全,保护好信息资产的安全呢?让我们继续看看业界的实践情况。调查显示:23%的受访机构制定了移动安全管理政策,35%的受访机构部署了移动设备管理系统,而67%的受访机构制定了员工安全培训计划,尽管如此,有75%的受访人员表示安全性仍然是实施移动计算的最大障碍。

没错,安全管理从政策的制定开始,允许使用移动设备访问数据,需要制定移动安全策略,并制定相应的程序和监管措施,以确保数据安全。那么,为什么有的组织机构并不积极参与移动计算呢?在党和政府看来,安全和保密是主要因素。在公司企业看来,尽管沟通效率和生产率及客服水平可以提高,但是安全威胁却没有减小,要保障移动计算安全的成本投入却高到难以接受。但是,移动计算的到来已势不可挡,并由个人消费市场逐渐渗透和蔓延至政企市场。因此,忽视和躲避移动计算的到来将无济于事,要么伤害数据安全与信息保密、要么伤害通信效率与生产力。只有行动起来,积极推进移动安全,制定适当的移动计算安全政策,有条件地开放移动设备的使用,认识到这一点至关重要。

政府和企业都不愿意黑客、竞争对手或其他任何人访问其敏感数据。领先的企业已经制定了确保数据安全的政策和程序,工信部等政府机构也不断加强移动设备的安全监管。当然,大型组织仍然面临着大规模的安全挑战,为应对挑战,适当的监视和跟踪工具被部署实施。以下是大型组织经常使用的移动安全管理工具功能分布:

  • 45%多重身份验证
  • 56%加密
  • 59%安全的远程连接
  • 38%远程锁定和擦除

关于数据安全性的要求和执行,依赖管理和监视应用程序的安全程序,更需要所有用户的理解认可和行动支持。因此,公司的移动安全成功,取决于移动设备的使用者,也就是员工们,所以与用户和管理员们的安全意识沟通非常重要。首先,向所有用户和管理员提供移动安全相关的培训和教育,使他们知道如何正确访问和保护数据。其次,万一发生数据泄露或安全违规情况,用户需要及时报告,数据所有者需要知道如何处理。

总结来说,在移动计算不可避免地越来越多进入工作场所之时,我们要使用正确的战略应对方法,记住:要管理控制是数据的安全性,而不是计算设备。各类型的雇主都需要制定政策来控制和保护敏感的移动数据。适当的移动设备安全管理程序和技术可以使雇主享受到员工移动化工作的好处,从而提高客户满意度和工作效率。当然,所有这一些的实现,都少不了对雇员们进行移动设备安全使用的教育和培训,雇员们是移动设备的使用者,他们需要理解移动计算风险的应对措施,并保持谨慎小心的保护敏感数据。昆明亭长朗然科技有限公司专注于帮助各类型的客户向职员们提供安全、保密与合规等方面的培训与教育,如果您需要我们帮忙策划安全意识宣传活动,或者需要高质量的安全保密宣教内容,请不要客气地联系我们。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898

员工自带计算设备的安全保密管理实践

admin

回顾历史,为了保障信息安全,使员工只可以使用公司(或其他类型的组织机构)的计算机设备,通过移动方式访问公司资源(例如电子邮件)的方式,曾经是非常受欢迎的。由于设备属于公司,因此公司可以完全控制设备的配置、使用和安全性。但是时代在变化,随着消费性移动计算设备的盛行,企业级的移动计算再也无法回避员工自带计算设备。

近年来,个人购买供私人使用的面向消费者的移动设备,如智能手机、平板电脑等等具有执行电子邮件、通过网络访问文档、运行基于Web的应用程序等功能。已经购买了此类设备以供个人使用的员工更愿意使用该设备进行工作任务或业务交易,而不是额外携带一份公司分配的计算机设备。

对此,昆明亭长朗然科技有限公司移动计算安全专员董志军称:随着云计算和移动化的深入渗透,传统的信息安全控管方式面临着新的挑战,如何控制员工在工作过程中安全地使用自己的个人设备访问、存储和传输企业拥有的信息,成为IT、安全与保密人员们的共同难题。如下,我们将与您一起分享让员工自带计算设备的安全保密管理实践。

一、确定访问公司的网络和数据的人员

这一点明显,也是最基本的。通过加强用户账户管理,可以最大程度地提升信息安全性。及时清除不再需要远程访问公司的人员账户,定期检查哪些帐户可用于公司的电子邮件服务、VPN服务、内部具有自己的用户数据库的网络应用程序等等。看其中是否有不应该(如已离职人员、承包商等)的访问活动,是否有活动异常的帐户(如大量不成功的登录等等)。

二、确定用户们可以远程访问哪些数据

公司的某些特定信息有着特殊的价值,如果落入外部人员的手中,会使公司受到损害,因此必须小心保护。严格控制敏感或涉密数据的访问人员,并记录详细的访问记录,有助于降低数据泄露的相对风险。因此,需要花费足够的精力来控制对具有最敏感数据的访问,可以不花力气或使用少量精力来控制对具有低风险数据的访问。

三、确保能够配置员工的移动计算设备

对于公司数据,移动设备特别受关注,因为它们极易遭受物理损害。如果某员工的设备落入他人手中,则该员工用权访问到的所有工作数据都面临着丢失或泄露的风险。所有主流的移动设备平台中都存在安全漏洞,最有效的防御方法是,确保正确配置所有将用于访问网络的计算设备,以减少从设备中丢失数据的风险。使用准入控制工具,在进行账户管理如添加新账号工作时,对终端移动计算设备的安全配置进行检查,是一种有效的控制手段。

四、制定员工移动计算设备使用管理规范

确保员工安全配置其设备的最基本方法是向他们提供口头或书面说明,说明如何执行此操作并期望他们遵守相关政策。不过,这种方法存在潜在的问题,即使是勤奋的员工,也往往会忘记指令,除非进行严格的培训,否则他们可能会在第一次交流后按照说明进行操作,但是随着时间的流逝,他们会忘记,而让他们的设备陷入更具风险的配置中。一项最好的方法是借助工作来确保规定的落实,使用可以自动报告设备配置并帮助或强迫员工进行安全设置的工具。今天最常用的工具是移动设备管理工具。也有一些轻型的“移动设备审核”工具,可以不用完全控制员工们的移动计算设备,同时获得该设备安全配置的报告。

五、确保移动管理工具不会损害用户隐私

要知道,即使员工们将其移动计算设备用于访问公司业务数据,设备仍然属于员工所有。因此,取得能够满足双方需求的平衡很重要。公司需要一种确保设备安全配置和使用的方式,以减少丢失公司信息的风险。员工们需要在不直接损害业务数据安全性的情况下将其用于个人用途。因此,要让员工们知道其雇主无权访问不需要访问的信息和内容,它们可能包括GPS位置、个人通讯内容如非企业帐户上的短信或电子邮件等等。一方面尊重员工们的个人隐私,另一方面也避免由于滥用隐私招致法律问题。

六、与员工们保持清晰的安全政策沟通

公司需要清楚地告知使用自带计算设备的员工们,他们正在使用的设备会受到必要的监视和控制。例如:公司可以监视哪些数据?公司可以修改哪些设置?公司将如何使用有关其设备的信息?用户设备使用相关的数据保留期有多长?等等。切记,如果公司需要审核或控制员工个人计算设备,那么可能需要签订书面协议,明确说明可以在其设备上查看或修改的信息。同时,让员工们了解自己的移动安全职责也很重要。这些职责包括:保持设备的安全性配置、及时报告可疑活动、立即报告设备丢失情况或可疑的数据泄露、确保用于公司审核的应用程序处于启用状态等等。

七、制定有关处理数据泄露的响应计划

需知,数据丢失的风险只能降低到适当的水平,而不能完全被消除。从风险管控的科学角度讲,完全消除任何数据泄露的风险的成本是非常高昂的,也几乎是不可能的。因此很有必要为发生数据泄露时的处理做好准备。建立移动计算设备数据丢失应急响应计划,及时通知安全响应团队、立即对受影响的系统进行配置更改、甚至可能会进行必要的取证活动等等。不怕一万,就怕万一,建立了响应计划之后,在遭遇意外的移动计算安全事件时,能够有效地遵循该计划,采取正确的应对行动,将损失降至最低限度。

八、让员工们体验移动计算的快乐和便利

进行上述系列安全控管需要计划、精力和资源支出。不过,这一切努力都会有所回报。公司管理人员能够看到数据遭遇丢失或破坏的风险得到了系统性地减少,员工们会因为他们可以将私人移动计算设备用于工作而感到兴奋,进而提高生产力,而不是觉得公司僵化的政策阻碍了他们的成功。

九、定期审核上述安全工作并不断改进

需要补充的是,随着时间的流逝,定期检查以上提到的所有操作实践非常必要,这是因为IT系统会随着时间的推移而变化,因此,请务必使流程和工具与业务信息系统的当前状态保持更新和一致。当然,对于信息安全与保密管理工作来讲,没有最好,只有更好,不断改进工作是专业人员职业成长和发展的动力,也是保持公司信息安全状态不断迈向更高成熟度的方法。

回顾上述几条关于员工将个人计算设备用于移动化工作的安全保密管控实践,我们不难发现,要保障公司信息数据的安全,需要将安全政策与技术要求、终端计算设备、人员安全意识等因素有效结合并联动起来,这就需要IT、安全、保密团队密切合作,并加强与员工(用户)们的安全沟通。昆明亭长朗然科技有限公司专注于帮助各类型组织机构提升员工们的信息安全意识,我们帮助客户策划和制定安全意识培训及沟通计划,并提供各种安全意识课程内容资源,以及安全宣教教育活动的支持。欢迎有兴趣和有需要的客户,以及合作伙伴联系我们,洽谈业务合作。

  • 电话:0871-67122372
  • 微信:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898