Juniper网络公司的最近一项调查显示,40%的员工正使用自己的移动设备来处理个人或商业事务,其中80%的人承认他们未经允许就访问了所在公司的网络。
除非企业实施控制,用来防止这些员工所持设备的损失、盗窃或是非法使用,否则任何一件诸如此类的安全事件都可能会使相当多的业务数据承受巨大风险。
保护企业移动设备数据的措施是众所周知的,包括从实施加密到擦除遗失设备上的数据。但是,与员工设备有关的业务数据必须得到相关保障,而不是依赖于IT采购和用户,同时还需要尊重用户对个人隐私和选择的期望。
以下介绍五个对员工移动设备和平板电脑上重要数据进行保护的非常好的方法。
1. 移动设备锁
设备锁是IT业界的第一道防线,防止那些未经授权,对储存在员工移动设备或平板电脑上的业务数据和账户的访问。然而,员工购买的消费电子设备通常不具备足够强大的设备锁。还有,用户可能会重置复杂的密码而不方便个人设备的使用。这种业务需求可以通过一个三步骤方法得以解决。
实施一个程序让用户注册自己的移动设备和平板电脑,并按照最低安全要求检查它们。这样可以防止设备去进行不合标准的商业运用,而允许那些可以支持IT范畴内的安全政策。
自动配置已注册的设备以启动内部的PIN或密码锁,执行复杂的规则并自动锁定待机的设备。专注于那些可以减少商业风险而不会使之过于严格的规则。
实施无线设备配置监测以保证设置没有被改动。例如,对设备每一次试图访问一个企业账户的行为进行检查,从而阻止或修复不兼容设备。
如果员工移动设备中包含交互环境搭建(EAS)或多操作系统移动设备管理软件(MDM),那么就可以采取这些措施。目前这些软件已经由诸如AirWatch、BoxTone、Good Technology、MobileIron、Odyssey Software、Sybase和 Zenprise这些公司推出。那些没有MDM也不想安装MDM的公司可以使用托管MDM服务。
2. 移动设备的远程数据擦除
当以前注册过的设备遗失/被盗或者它的主人离开了你的公司,远程数据擦除可以防止将来对存储在设备当中的所有业务数据和账务进行访问。然而,擦除员工的设备资料在没有明确的许可下是不应该的,且在理想情况下,不应对个人数据造成影响或者给用户带来不便。这些业务需求可以解决,方法如下:
作为设备可以注册的条件,员工必须被要求正式同意一些可接受的使用条款。移动设备条款还应该明确,在什么情况下可以调用远程擦除,怎样擦除才不会影响个人设备的使用和数据,以及数据备份/恢复的责任。
考虑使用数据加密工具来区分业务数据、账户和应用程序。例如,使用自加密(self-encrypting)企业信息应用程序能够将电子邮件、通讯录、日历及其他数据保存到一个需要认证的加密沙箱里,这个箱子能够轻易的被移除而不需要擦除整个设备。
实施能够远程擦除员工的设备的流程。为了防止逃避技术,在经过重复登录失败,长时间脱机使用或者移除了SIM/USIM卡的情况下,通过自动擦除可以完善无线命令确认机制。确保密切注意留在移动媒体设备(如Android设备)上的企业数据。
使用EAS、任何MDM,或许多供个人使用的免费或便宜的应用程序(如,苹果的MobileMe,迈克菲WaveSecure),可以实现基本的无线远程擦除。然而,更大的IT控制和可见性可以按照下面这种MDM的用法来实现:例如,报告哪部设备将被擦除,或者自动移除MDM之前已安装的企业应用程序和账户。
3. 移动定位和跟踪
在任何移动设备的使用寿命里,关于它的使用情况的大量信息可能会被记录,其中包括地理位置。持续跟踪能(On-going tracking)够帮助IT迅速恢复丢失的设备,或产生有关盗窃信息的漫游警报,警告IT可能发生的威胁。然而,员工对于隐私权的要求可能会阻碍持续的跟踪。此外,一些用户的设备可能不容易定位(例如,断开或禁用的设备)。最后,如果要追踪涉及到频繁的SMS信息,所需的成本可能相当大。
强调商业需求并且考虑到个人和成本的敏感性,决定是否真正需要将持续追踪应用到员工的设备上。如果是这样,你需要在可接受的使用政策中描述定位追踪的业务理念和具体做法,这在注册个人设备为商业使用时需要得到员工的同意。如果定位仅仅只是用来找回遗失的设备,那么你需要将这条陈述写入到可接受的使用政策中,并坚持使用这个有限制的做法。
按需制定的定位服务对每个主要的移动操作系统(例如,苹果的 MobileMe, Lookoutd的Find My Phone(安卓),微软的My Phone,和黑莓的Wheres My Phone)均可免费使用。但在这里,通过使用移动设备管理器来实施这一做法能够得到更集中的可视性和控制效果。