移动安全培训迫在眉睫

移动安全威胁，包括因用户使用习惯而导致的问题，如今已经无处不在。因此，让用户学会相应的防护措施，已迫在眉睫。

对IT部门来说，安全问题的方程式一直如此复杂，难于求解。而随着移动设备的泛滥，这种情况更加严重。

当前，日常工作不在局限于个人电脑，而装有关键业务应用和数据的设备则可能出现在任何地方，导致企业面临着更大的风险。只要一台没有设置密码的手机遗失，就可能让企业造成损失。因此，移动设备安全培训是极其重要的。

本文中， ISACA（国际信息系统审计协会）的委员会成员Eddie Schwartz就当前的移动安全威胁、移动安全培训的价值，以及常见问题发表了自己的看法。Schwartz同时还是网络安全厂商White Ops的首席运营官。

当前最迫切解决的移动安全问题是？

Eddie Schwartz：很多用户缺乏保护自己移动设备的观念，比如不设置密码、使用简单的四位数PIN以及将设备遗留在他人触手可及的地方等。因此，对终端用户来说，必须树立安全配置和使用的观念。

目前，罪犯们已具备这样的能力：在各种平台上安装木马应用，伪装成用户所需的功能以及对不同流程进行干预，比如侵入到网络广告链条中，或在特定平台上安装服务和流程以窃取用户数据、获得电话控制权。即便在未安装恶意软件的情况下，设备也可能被诸如HTTP重定向等技术所影响，从而脱离用户的控制。

目前，主流厂商大概6到9个月会发布一次同款手机的新版本。移动应用无时无刻不在更新中，至今我们仍无法洞察这种频繁更新的背后到底隐藏着什么。同时，有些操作系统也谈不上安全可靠。另一方面，企业也无法对用户行为作出约束，比如禁止使用三星Galaxy S7或者iPhone 6s等。在这个快速变化的世界，安全措施和规制必须灵活、敏捷应对。

IT专家该如何应对快速的变化？

Schwartz：很重要的一点是，针对具体工作岗位进行全面的移动安全培训，让员工学会如何保护自己设备上的公司资产。同时，持续对用户进行灌输，提醒其良好的安全习惯。

我们必须对自己的安全性负责。假设居住在一个充满危险的社区中，你就不能让门窗大开并期望什么事都不会发生。必须意识到，互联网并不总是一个友好、和平的环境，我们必须让门窗紧闭——至少，不主动对不法分子发出邀请。

安全团队必须永远保持警惕、制定相关标准并监督其执行情况。就当下情况来说，很多时候安全团队并未做到这些。他们没有真正控制底层的操作系统，很多现成的应用存在着各种安全隐患。总体来说，要确保安全策略的持续可用，对任何人都是一项艰巨的工作。

移动安全方面，IT部门可能犯的最主要的错误是？

Schwartz：最主要的问题在于将移动安全与桌面系统的安全等同视之。另一个问题就是过于自信，认为一切都在自己掌控之下。我的建议是，如果遇到问题无法解决，就去向那些专注于相关领域的专业合作伙伴寻求帮助。