最好的移动安全计划：先检查风险 再对症下药

CIO们如何实施最好的移动安全？ CTO Niel Nickolaisen认为可以从伟大的心理学家Abraham Maslown那里找到答案。 Maslow的需求层次理论从最基本的需求开始(“生理”需求和“安全”)，然后达到人类需求的最高层次——自我实现。

其中还包括归属感，爱和尊重。归属感，爱和尊重都是双向模式——我们期望与他人沟通，相爱，我们希望他人与我们沟通，爱我们。我们想要有自尊，并获得尊重。

作为IT领导人，破坏我们与客户之间的关系，失去他们的喜爱和尊重的最快方式，就是对渴望自我实现的人，强加太多控制。具体来说，CIO们的IT计划充斥着，限制内部用户使用技术，能做什么和不能做什么。我很久以前就意识到影子IT的存在，因为我的用户无法从我的团队，得到他们真正需要的。

最好的移动安全没有简单的答案

与此同时，我们必须考虑某种程度的控制，应对有害行为的风险。我们需要阻止，有人从街上捡到一个U盘，插入USB硬盘驱动器，然后释放病毒或勒索软件。我们需要有适当的控制，这样才不会丢失关键的客户或雇员数据。

应用到移动设备，更需要考虑风险和控制之间的平衡。移动设备(智能手机和平板电脑)，从本质上讲， 旨在混合企业和个人的计算机体验。我的手机存储了个人照片，架构图和流程图。我的应用包括企业电子邮件和费用审批，也有我的个人手机银行。

我们如何提供最好的移动安全，而不让企业中的每个人觉得移动计算体验是噩梦呢？应该允许什么，阻止什么呢？ 当我面对模棱两可，看似无法双赢的局面，我试着回到一些基本原则。其中之一就是，在评估风险后，才做出决定。我承认，听起来有点老生常谈，但往往我会做出平等对待所有风险的决定。

最好的移动安全评估风险可能性/影响

移动设备，会带来什么风险？是否在设备上存储机密或关键数据？如果有，什么数据？如果有人可以获取这些数据，他们能做些什么来危害企业？我们的电子邮件包含什么类型的信息？如果有人获取那些业务流程的图片，会危害企业吗？如果有人能够访问我的费用报告应用，能干些什么？

当评估风险时，我首先确定特定的风险，然后对每个风险，定义风险的可能性和影响。然后，找出最好的，最实用的方法来减轻风险，使用最高可能性-影响的组合。 例如，在手机上可以存储哪些员工或用户的个人身份信息(PII)？如果可以存储很多，我们就有可能丢失数据，并且根据PII的深度和广度，影响可能是巨大的。

在这种情况下，最佳的移动安全计划必须有强大的PII风险缓解措施，可能要求我们进行适当控制。但至少，通过描述可能性-影响组合，我们可以清楚风险，并进行减缓控制。

另一方面，如果没有人能够在手机上接收或存储关键的PII，可能性-影响组合就较小，我们可能就不需要控制用户的生活。这种方法将我们的安全对策与用户对于个人控制的需求相契合。

并且，如果你受到信息安全审计时，这种方法，你可以向任何审计员解释(虽然，根据我的个人经验，一些审计人员不了解这种在风险缓解前，进行风险评估的方法)。 这些风险是因为在确保移动设备安全上做的不够，但是也有风险是因为做的太多。使用这种基于风险的方法，一直帮助我找到正确的平衡。