警惕最棘手安全问题移动技术的安全风险

　　移动平台管理解决方案会提供一个集中控制面板，让全部移动设备的安全设置保持一致。

　　定期审查和汇报也非常重要。最基本的一点，公司需要随时掌握各台设备是否遵守规定。CIO们还应了解每台移动设备上存储的商业信息类型。

　　移动数据安全战略的执行措施包括：确定策略，保护移动设备上的数据，对设备和用户进行认证，监控策略执行情况并撰写报告。

　　为了预防移动设备丢失或被盗，执行方案通常提供数据加密的功能。公司应确保即使丢失密匙也能够恢复数据。一个强大的管理方案应能集中管理和代管密匙。

　　大多数新推出的移动设备具有内置的加密功能，例如某些安全USB驱动，现在已经在市场上有售。最新的笔记本上安装了可靠的平台模块计算芯片，使硬盘加密成为可能。Vista操作系统的BitLocker功能与此类似，可以让用户对硬盘加密。
　　标准化是关键 
　　限定移动策略的范围。移动策略应该与公司的整体安全策略和规章制度相配合。同时，CIO应该对面临的问题持有实际的观点。

在英提格瑞斯卫生署，存储有个人信息的设备最受关注，因此移动策略很简单：任何存储有病人数据的医疗设备必须被加密。 

　　但同时必须注意有哪些连带的后果。在登录连续失败时锁定设备将导致帮助中心受理更多求助电话。更合理的办法是限制用户在设备上安装应用软件或摄像头。

　　显然，CIO必须保证公司的移动设备无论何时何地都符合公司的政策法规。没有发送状态报告的设备必须被视为没有遵守规定并中断该设备对公司网络的访问。报告内容还应包括设备上存储信息的详细情况和设备的合法使用性。这些都要求在移动设备和公司系统之间进行双向沟通和集中管理。

　　移动技术风险解决方案还是个新事物，但这个市场已经在迅猛发展。根据高德纳公司(Gartner)于2006年8月发布的一份报告，这个市场中约有20家厂商，因此正确选择厂商很重要。首先，关于实现公司的商业目标需要哪些功能，应在公司内部达成一致意见。对于某些公司来说，保护隐私是最迫切的事情。对于另一些公司而言，减少帮助中心接到的求助电话数量更为重要。此外，还有合规的情况。通过进行评估，CIO可以获得宝贵的参考意见，从而正确理解哪些问题需要被解决，哪些缺陷必须被弥补。

　　除了业务能力，CIO们尤其需要注意厂商服务的可操作性。例如，厂商很难和每种最新的移动设备保持同步，这就造成安全支持滞后于用户使用。即使明知存在更大的风险，你也应该在员工要求下允许他们使用最新式、最先进的设备吗?厂商可以提供什么样的保证，以便在最短时间内降低风险?即便公司其他部门没有提出这些关键问题，运营复杂性还是会给CIO们制造两难困境，从而让他们不得不在严格执行政策和承担一定风险之间进行抉择。

　　已经来不及让魔鬼重新回到瓶子里了。很多公司已经认识到移动技术的好处并且已经无法离开移动设备。然而巨大的商业风险也不容忽视。设想这么一种情况：保险理赔师可以使用一台移动智能手机拍照并立刻提交证据。在这种情况中，如果智能手机丢失，则意味着失去生产力，并且由于丢失数据而造成高额的直接和间接成本。

　　CIO们不能只依靠用户来保护移动设备上的数据，而应该和不同的职能部门合作，制订可实施的移动技术风险战略。那些成功地管理风险的CIO们将收获商业利润，并通过移动技术推动公司业务发展。

　　Nalneesh Gaur是钻石管理和技术咨询公司(Diamond Management and Technology Consultants)的主要负责人，Bob Kiep是该公司合伙人。

　　行之有效的安全策略
　　对照以下清单，制订你的移动安全方案

　　全面的移动安全策略应该在移动设备大量增加时还能保持对设备功能的控制。

　　* 设备类型。除了笔记本电脑，监管对象还必须包括PDA、智能手机、USB和GPS设备。

　　* 获得许可的技术。对获得许可的移动运营系统和无线网络协议进行归纳。目的在于增加而不是减少网络访问。

　　* 可靠的设备。公司对哪些移动设备可以信任?确立这一标准。

　　* 数据保护办法。着眼于静态数据和使用中的数据。当设备丢失，大多数情况下数据的价值大大高于设备本身。使用强大的认证和加密功能。定期更换密匙，在一定次数的连续登录失败后锁定用户。

　　* 可访问的信息。根据业务需求，限制对信息的访问。一台不被信任的移动设备等于一个不被信任的用户。

　　* 丢失的设备。当移动设备丢失或被盗后，会产生什么后果?补救办法包括切断对所存信息的访问或销毁全部数据。

　　* 业务运营软件。如果移动设备安装了业务运营相关的应用软件，必须高度重视被这些软件访问并处理的信息--包括设备上安装的业务运营软件和公司信息系统软件。