许多CISO在工作场所提到“移动风险”这个词时会感到不安。企业移动安全策略就像“狂野的西部”,对设备和应用程序的限制很少,并且仅在少数平台上标准化,这些平台的固有安全功能由第三方安全软件提供。其他移动风险管理策略侧重于“用例”,而移动安全则围绕用户配置文件和公司数据访问展开。然而,大多数全球2000强公司都没有制定解决移动数据安全问题的政策。根据PonemonInstitute2016年2月的一项调查,在接受调查的588名IT和安全专业人士中,有67%的人表示数据泄露“肯定”或“可能”是由“员工使用移动设备访问敏感数据或数据”造成的。只有41%的受访者表示他们的组织制定了有关移动设备访问公司数据的政策。设备中的数据存储是另一个移动风险管理问题。虽然55%的受访者表示员工的移动设备上有太多与工作相关的数据,但只有31%的公司制定了限制在移动设备上存储公司数据的政策。CISO越来越多地将移动风险管理视为其安全计划的重要组成部分。虽然许多企业仍处于早期阶段,但移动风险策略可以平衡用户需求与信息安全,这可以提高生产力并创建供员工遵循的安全流程。但实现这个目标是困难的。许多员工仍然不使用设备和应用密码。但员工并不是唯一对身份验证松懈的人,战略考虑和成本可能导致一些公司放弃最佳实践或完全避免使用强身份验证方法。加密是另一回事。TechTarget对过去12个月积极部署企业加密项目的IT和业务专业人士进行了调查。随着加密工具越来越多地内置到各种安全平台中,可能很难选择最好的加密工具。设备加密不再是头条新闻,因为FBI与苹果公司就使用新软件侵入疑似恐怖分子的iPhone的对峙已经结束。据报道,联邦调查局向第三方支付了100万美元来解锁iPhone的数据。随着移动设备越来越多地存储和访问敏感信息,关于隐私和安全的争论将促使制造商、监管机构和执法部门调整他们的界限。在工作场所,CISO需要部署全面的安全策略来解决移动风险管理问题。
