企业移动安全:被忽略的真相

2014-04-29 17:54孙杰贤
中国信息化 2014年4期
关键词:信任企业

孙杰贤

为了解大型企业在企业移动化方面的举措,CA Technologies委托著名的市场研究公司Vanson Bourne对来自21个国家、5个不同行业的共1300名高级IT决策者进行了一项调查,其中包括450名亚太及日本地区高级IT决策者。

安全,还是安全

调查发现,95%已经部署或计划部署企业移动化战略,受访者普遍认为,IT正逐渐成为富有创新性、功能性和企业级的移动应用创造者,为客户赋予更多能力,提高员工生产力,而不是被动地为终端用户私自使用的应用提供技术支持。同时,基于“32%将同时跨越不同平台开发应用视为部署移动化的主要挑战”以及“48%计划重新调整预算,将更多资金用于移动化举措”这两个调查结论,Vanson Bourne预测,移动化支出作为IT整体预算的一部分,在未来三年内将增长33%。

但是调查同时也发现,对移动化而言,安全性既是最大的障碍,也是第一个需要改变的问题;而且与亚太及日本地区的其他国家相比,中国企业对移动化措施的安全性和隐私性持的担忧更高。49%的中国公司十分关注安全性和隐私性,并且普遍认为这是一个亟待解决的问题。相比而言,亚太及日本地区和美国的相关数据分别为30%和28%。

虽然存在对安全和隐私的顾虑,中国企业对移动化战略的推进速度仍然高于除美国以外的其他国家,95%的被调查企业已经部署或在一年内有计划部署企业移动化。印度企业的这一比例为85%,日本为49%,新加坡为60%。

移动技术经过多年的快速发展和广泛应用,已经从消费类向企业级全面渗透,企业业务的各个层面都在释放移动的需求;与此同时,中国企业的移动平台建设日趋成熟,移动在企业中的角色也演变为提升业务价值的生产力工具。其中,提升生产力与加速决策制定是企业将应用转移到移动平台最重要的两大驱动力。

企业的移动化按时间顺利先后经历了三个平台,分别是以PC代表的第一平台、以互联网代表的第二平台,现在正式以移动、社会化和大数据代表的第三平台时代正在到来,也可以称之为“BYOD时代”。据乐观预计,到2020年第三平台的总产值将占整个ICT产业的40%,达到2万亿美元。

技术当然重要

我们知道,BYOD模式是IT消费化的一个戏剧性结果。这一模式的原动力来自于员工而非企业,员工对于新科技的喜好反过来驱动企业变更适应新技术的变化。十年前,我们上班的时候就用公司的电脑,不安装其它软件,很安全。BYOD则意味着我们可以在办公室使用自己的电脑设备办公,可以任意安装自己需要或者喜欢的软件,打开自己感兴趣的链接。与此同时,企业的安全策略并没有考虑这样的应用环境和要求,自然带来安全和支持的风险。

在企业移动化安全问题的防控中,多数企业采用的是传统的技术手段。比如实施最新的移动VPN,安全接入控制,防病毒,以及部署移动设备管理系统。一些芯片厂商也开始从底层架构设计来解决移动化的安全问题。

传统的二进制静态企业信任模式,用户通常要么能够获得所有资源的访问资格,要么无法访问任何资源。而且,一旦获得访问许可,访问级别将始终保持不变。为了能够为全新的技术和应用提供支持,英特尔公司重新设计了自己的信息安全架构以适用BYOD等新技术应用所带来的安全挑战。新架构不再采用传统信任模式,而是采用动态的多层信任模式,可以对特定的资源访问提供更精细的控制。新架构基于四大要素:信任计算、安全区域、平衡的控制以及用户和数据边界。信任计算能够动态决定是否应授予用户特定资源的访问权限以及访问类型;安全区域包含重要数据和访问收到严格控制的信任区域,也包含不太重要的数据和允许广泛访问的不信任区域,各区域的通信处于监视和控制之下;平衡的控制则突出强调了在预防式控制和纠正式控制之间达成平衡的需求;用户和数据边界则是将用户和数据视作额外的安全边界并提供相应保护。

被忽略的真相

然而,即使有所谓最佳的保护和加密措施,也可能因为员工从外部站点登录访问公司数据,或者使用不安全设备而使其安全度降低,以及一些强度弱的密码和不正确的在线工作行为也会使安全度降低。可以说,技术防范手段治标难治本。

CA Technologies中国区总经理孙志伟表示:“根据过往经验,已经成功采用移动化措施的中国企业在提高收入、缩短产品上市时间、提升竞争力、改善客户体验、提高员工生产力和降低成本等方面均提高了12到18个百分点。但是不可否认的是,移动化提升了内部用户系统和面向客户系统的复杂性。其中,移动安全至关重要,没有制定移动化战略的企业将面临许多潜在风险,例如:不遵守重要法规、无意中泄漏企业信息、或由于糟糕的移动应用购物体验对品牌声誉造成负面影响等。”

记得著名安全专家S t e p h e n Hopkins在接受采访时有这样一段让记者印象深刻的话:“我们中许多人无论是专业的还是非专业都会滔滔不绝地谈论技术手段在应对信息安全挑战方面所扮演的关键角色。然而,这样做的结果是真相被忽略了。什么真相呢?那就是安全始于人,而非技术。你能够拥有最好的基于技术的安全解决方案——防火墙,数据加密,入侵检测等等 ——但如果这些技术没有适当的流程支持也注定会失败的。所以,企业在面对安全问题时,将技术从争论中分离出来是个好的开始和尝试,技术竞赛只会让企业搬起石头砸自己的脚,而管理、流程、教育、体制和文化才是最好的防御之道”。这与孙志伟的“企业移动化战略”不谋而合。的确应该从企业战略的层面来面对移动化以及相应的安全问题,而不仅仅包括技术防范手段,企业的安全文化、安全体制和安全意识远远重要于技术手段。因此,企业移动安全的关键在于“人”。企业应该倡导鼓励安全文化让安全观念成为企业有机整体的一部分,这需要进行文化转变。安全观念必须成为一个能动器并嵌入到企业运行的各个方面,融入员工的血液,不能将安全意识看作企业创造精神的障碍。

根据最新消息,2014年索契冬奥会将成为历史上规模最大的BYOD(自备终端)奥运会,将有12万部移动设备同时在线。移动化是大势所趋,让我们热情地去拥抱它吧。

猜你喜欢
信任企业
关于信任:最重要的十件往事
企业
企业
企业
企业
企业
敢为人先的企业——超惠投不动产
表示信任
嘤嘤嘤,人与人的信任在哪里……
从生到死有多远