加强移动终端安全性需制定移动策略

“现在对于我们来说，移动设备不再仅仅是一种生活方式，还是一种工作方式。不能支持在移动设备上进行工作的公司将会在竞争中处于劣势，”IT策略公司J. Gold Associates LLC的主席兼首席分析师Jack Gold说。CIO们现在面临的问题是如何加强大量移动终端的安全性。

本文中，Gold和SearchCIO的编辑部主任Christina Torode讨论了如何加强移动设备的安全性及其原因。而第一步从制定移动策略开始。

Jack Gold：我认为对于大多数组织来说，可以有更重要的着手点，并且这个着手点需要成为移动策略的一个十分重要的组成部分。在制定策略的过程中你需要思考需要支持什么、怎样进行支持、为哪些人提供支持，什么应用程序、什么设备、哪个用户，哪个业务流程，制定一个统一的移动安全计划是十分困难的。

一旦提出了策略并且知道哪些用户需要支持、哪些应用程序必须进行支持和用户需要使用哪些设备，你就可以进行以下的步骤了：

如何加强指定应用程序的安全性？

如何加强指定设备的安全性？因为所有的设备都不尽相同。

如何保证连接性？

如何确定哪些用户需要拥有访问大部分敏感数据的权限？

相关的风险预测是什么？

如果你处于被监管的领域——比如医疗或者制药公司，这和制造消费品包装公司所面临的风险是不一样的。你需要进行深入了解，预测组织中所有可能发生的事情。

综上所述，就是从制定策略开始：需要了解你必须支持什么、必须支持谁、必须支持哪些应用程序，这之后再考虑通过什么方式来加强各种各样的用户和应用程序的安全性。

CIO和行业专家认为使用移动设备为提高员工工作效率和改善客户管理所做的贡献，要超过其为组织可能带来的风险。你怎么看待这个问题？

Gold：我同意这个观点，在大部分企业中，这是适用的。但是我也认为许多企业并不能有效地（对回报和风险）进行评估，所以他们并不十分清楚。我们发现很少只有很少的公司对投资回报值或ROI进行（足够的）评估。一些公司只是进行猜测而并不进行实际评估。我们做过一次相关调查，发现只有39%的公司真正地尝试根据ROI值进行决策。这个比率甚至要比实际进行测量的公司还要低。

总体上来说，移动设备是十分重要的。我们已经进入了一个新的时代，移动设备不再只是一种生活方式，还是一种工作方式。不能支持在移动设备上进行工作的公司将会在竞争中处于劣势。也就是说，如果不能部署一个基于策略的移动解决方案——了解你需要完成什么、怎样提高工作效率、怎样增强对于用户的支持、一个员工怎样可以完成之前两至三个员工才能完成的任务——这样才能使得花费变得有意义，因为移动设备不是免费的。

这个问题的答案是移动设备对于提高企业的ROI有非常大的积极作用，可以提供更好的客户支持，增加销售额、让组织中的用户和消费者更为满意，但是需要你掌握正确的实现方法。你正在尝试做哪些事情？如何来完成它们？之后你可以构建一个移动环境，像之前所说的，提前制定一个移动策略可以保证你可以完成这个计划。

MDM（移动设备管理）、MAM（移动应用管理）还是MIM（移动信息管理）？但是首要问题是，谁可以访问哪些数据？

对于那些可以帮助管理移动设备的工具，CIO们应该主要关注哪些？这些工具真的只是管理移动设备，还是更多地管理应用程序和数据？

Gold：公司应该首先制定一个访问策略。从构建一个用户级别的矩阵开始。特定级别的用户，比如经理，可以访问所有文件，所以他们需要最高级别的安全等级，最大限度地保证他们的设备和应用程序安全。低级别的员工可能只需要收取邮件，所以花费的精力要根据级别有所区分。

最为关键的是，不要像我们过去那样只是关注移动设备管理，那只是从资产管理的角度出发。要关注于设备上的数据：没有发生变化的数据、可用的数据和你将如何进行保护。关注从网络、VPN和加密通道进行传输的数据。关注于应用：谁在设备上创建和使用这些数据、如何进行使用。最后，以矩阵的方式进行实施以便其可以适用于所有不尽相同的数据。这是首要的。

其次是保证这些对于用户来说是透明的。你现在尝试的是部署工具和技术，所有这些都可以用三个字母的缩略词表示——MDM、MAM、MIM——不论碰巧发生什么，都不要从这些角度进行思考。要从以下的角度仔细思考：“我已经应用了策略，我已经成功地管理了许多用户，也成功地管理了许多设备，只有这时，我才明白我应该使用透明技术来重现用户所面临的问题，而不必将用户加入到流程当中。”坦率来说，如果你依靠终端用户来做这些事情，他们将会找到应付你的办法。大多数的最终用户不希望被打扰。这必须是一个对于用户透明的技术，由策略驱动的，适合多种用户使用模型的技术。

现在用户对于IT有很多自己的想法，但是安全是IT的工作。

你觉得携带私有设备（BYOD）和IT民主化（一些人称其为IT消费化）怎么样？它们是否能从一个新的视角来考虑哪些需要进行管理和如何实现安全？

Gold：这绝对是一个新视角。我更愿意称之为民主化而不是消费化，因为其不仅仅是一项关于消费者的技术。当然一部分上是，但其也包含了对于企业的影响。它是IT的民主化，其现在所做的是迫使公司和公司内的IT部门对于最终用户一视同仁，还有其他一些事情。在调查中我们发现三分之二的移动解决方案并不是由IT部门驱动或者支付的，而是由业务部门或者是最终用户进行承担。民主意味着这些人在公司的事物当中拥有大量话语权。

IT部门还应该占据主要的角色，特别是在安全方面，因为他们应该告诉用户哪些是可以接受的，而哪些不能，可能面临哪些风险。大多数用户只会想到使用应用程序来完成他们想做的事情。所以IT部门需要和他们交流，让他们明白哪些可以实现，哪些不可以以及原因。IT部门需要像合作伙伴那样对待业务部门里的最终用户群体。这是合作伙伴关系。业务部门将会决定使用什么来完成他们的工作。成为建议者还是合作伙伴由IT部门决定，“我们可以做这些，但是会存在风险，会存在安全问题，会有支持问题，会产生相应的花费。如果你从其他的方面进行，我们可以提供帮助，这样不会有这么多安全隐患并且也可以减少花费”

BYOD和民主不应该被简单地视为IT摆摆手说“我们什么都不能做”。它可以改变组织中的角色，但是对于维护来说，IT还需要扮演非常重要的角色。

你是否有一本安全或最佳实践目录，以帮助CIO管理这么多种类型的设备？

Gold：我们推出了许多针对移动安全的白皮书。其中一本是“7步实现企业需求：移动安全”，通过邮件或者访问我们的网站www.JGoldAssociates.com都可以进行获取；还可以发现其他的内容。但是并没有一本适合于所有的组织的目录。移动设备是一种通过不同方式、应用于不同组织的技术，所以每家公司都需要进行思考。这是一个不错的起点，我很高兴把这些材料发送给给位听众。