牛顿第一运动定律提出物体具有保持运动状态不变的属性,这一定律同样适用于现今云云众多移动设备中的商业数据:一旦数据开始移动,就会处于惯性移动状态,并有可能流动至他人之手。
这个问题越演越烈,而且濒临失控。2013年4月,Check Point软件技术有限公司访问了全球近800名IT专业人员,调查他们所在企业移动办公及使用移动设备的情况。调查结果显示,79%的受访者表示,他们的公司在过去12个月中曾发生移动安全事故,其中更带来巨大的经济损害。此外,42%的受访者表示,过去一年内发生的移动安全事故,令他们的公司遭受超过10万美元的经济损失,这包括员工时间、法律费用、罚款及修复开支等,其中16%的受访者所代表的企业更损失超过50万美元。
这项调查解释了现今安全事故频发而且有关损失飙升的原因,88%受访者表示,连接至企业网络的个人移动设备的数量在过去两年增加超过一倍,而这些移动设备中存储了大量企业敏感数据:88%的敏感数据为存储在个人智能手机和平板电脑中的商业邮件、74%为联系信息、72%为公司事记,53%为客户相关数据。
移动设备对企业的安全挑战在中国市场也不可忽略,根据中国互联网络信息中心发布的最新数据,目前中国有5.91亿名互联网用户,其中4.64亿名使用智能手机或其它移动设备上网。
不控不管肯定乱
现今不少企业IT部门是被太多需要保护的移动设备所“淹没”,数量之多令许多随身携带设备(BYOD)如智能手机和平板电脑等不被管理,暴露于数据泄露和丢失的风险之中,Check Point的调查显示,63%的受访者表示他们的企业没有意图管理员工所持移动设备中的企业信息,而只有23%的受访者使用移动设备管理工具或保护软件。
为什么员工个人设备上的数据与资产安全风险会被忽视?其中一个原因是企业的IT团队没有充分时间与资源管理移动安全,唯一的解决方法是甄别哪些问题需要优先处理,但事与愿违,员工所拥有的移动设备数量增长远超于相关管理资源的增加。
这些企业寄望员工在使用其移动设备传输企业数据时,会有意识地保护数据安全,事实上大部分员工也的确如此。但是,员工最专注的是高效率完成工作,不会理会他们的举动是否会构成安全风险。其实在大多数情况下,员工不会故意外泄公司数据。
尽管如此,数据意外泄漏仍时有发生,Check Point的报告显示,66%的IT专业人员发现,相比网络犯罪,粗心的员工给企业带来的安全威胁更为严重。
管理内容而非设备安全
企业应该如何保护员工移动设备中的企业敏感数据免遭丢失或失窃?首先,企业应教育员工了解公司的数据安全政策,以及数据丢失可能造成的负面影响。
不论数据储存于何处,安全管理的重点都应放在识别、隔离以及加密数据。只要把这个法则做得到位,即使公司用户复制企业数据至移动设备,或者通过邮件及其它应用程序获取数据,此等数据在设备丢失时仍会安全。更好的办法是把保护数据安全的过程自动成为安全政策的一部分。如今新一代安全产品在操作时不会非常干扰使用者,安全设备越少对用户工作影响,保护企业数据安全的效果越佳。
总括而言,企业的移动安全管理重点应该是商业数据,而不是员工的各种个人设备,因为管理设备会影响员工使用时的体验及隐私,而这将导致员工规避安全政策,变成“上有政策,下有对策”。
聚焦管理企业数据有助于缓解随身携带设备(BYOD)的安全问题,只要数据处于安全状态,并且使用此等数据的员工具有相应的使用权限,那访问数据的移动设备只是次要。此外,落实推行安全政策也至关重要,因为它可以减低IT团队管理应对移动设备日增的压力。