CIO如何实施最佳移动安全?CTONielNickolaisen认为,答案可以在伟大的心理学家AbrahamMaslown身上找到。马斯洛的需求层次从最基本的需求(“生理”需求和“安全”需求)开始,然后达到人类需求的最高层次——自我实现。它还包括归属感、爱和尊重。归属感、爱和尊重都是双向模型——我们期望他人与我们交流并爱我们,我们也期望他人与我们交流并爱我们。我们希望有自尊,并受到尊重。作为IT领导者,破坏我们与客户的关系并失去他们的喜爱和尊重的最快方式是对渴望自我实现的人施加过多的控制。具体来说,CIO的IT计划充满了对内部用户可以使用该技术做什么和不能做什么的限制。我很久以前就意识到影子IT,因为我的用户没有从我的团队那里得到他们真正需要的东西。***移动安全没有简单的答案同时,我们必须考虑对有害行为的风险进行一定程度的控制。我们需要阻止有人在街上捡到一个拇指驱动器,将其插入USB硬盘驱动器,然后释放病毒或勒索软件。我们需要适当的控制,以免丢失重要的客户或员工数据。当应用于移动设备时,更需要考虑风险和控制之间的平衡。移动设备(智能手机和平板电脑),就其本质而言,旨在融合商业和个人计算体验。我的手机存储个人照片、架构图和流程图。我的应用程序包括企业电子邮件和费用审批,以及我的个人手机银行。我们如何在不让移动计算体验成为企业中每个人的噩梦的情况下提供最佳的移动安全性?什么应该被允许,什么应该被阻止?当我面临模棱两可、看似双赢的局面时,我会尽量回到一些基本的原则上。其中之一是只有在评估风险后才能做出决定。我承认,这听起来很老套,但我通常会做出平等对待所有风险的决定。***移动安全评估风险可能性/影响移动设备,有哪些风险?设备上是否存储了机密或关键数据?如果有,是什么数据?如果有人可以访问这些数据,他们会做些什么来损害业务?我们的电子邮件包含什么类型的信息?如果有人获得了这些业务流程的图片,是否会损害业务?如果有人可以访问我的费用报告应用程序,可以做什么?风险,然后针对每个风险,定义风险的可能性和影响。然后,使用最佳的可能性-影响组合找出降低风险的最佳、最实用的方法。例如,员工或用户的哪些个人身份信息(PII)可以存储在手机上?如果它可以存储很多,我们就有丢失数据的风险,并且根据PII的深度和广度,影响可能是巨大的。在这种情况下,强大的移动安全计划必须具有强大的PII风险缓解措施,这可能需要我们实施控制。但至少,通过描述可能性-影响组合,我们可以澄清风险并实施缓解控制。另一方面,如果没有人能够在手机上接收或存储关键PII,则可能性影响组合较小,我们可能不需要控制用户的生活。这种方法使我们的安全措施与用户对个人控制的需求保持一致。而且,如果您要接受信息安全审计,您可以向任何审计员解释这种方法(尽管根据我的个人经验,一些审计员不理解这种在减轻风险之前评估风险的方法)。这些风险来自于在保护移动设备方面做得不够,但也有做得太多的风险。使用这种基于风险的方法总能帮助我找到正确的平衡点。
