移动风险管理成功关键：以数据为中心

根据《经济学人》显示，到2015年年底，全球范围内使用的智能手机和平板电脑数量将会超过30亿台。同时，两位专家在2013中国互联网安全大会(ISC)上表示，最终用户将继续携带高风险移动技术涌入企业。不过，基于以数据为中心的方法构建的移动风险管理机制将帮助企业降低这种风险。

来自普华永道会计师事务所(PwC)IT风险及安全部门的两位代表—主管Dan Fitzgerald和经理Nikita Reva在周三围绕移动安全的会议上分享了PwC最新的全球安全调查数据。

其中一个很关键的数据是：只有40%的受访企业安全专家部署了移动安全策略。而当Fitzgerald问与会者“你们有多少人会说自己有移动安全战略?”时，只有约20%的观众举了手。

这两位专家接着列出了成功部署移动风险管理计划所需要的因素，其中重点是以数据为中心的方法，这种方法侧重于保护移动数据，而不是设备本身。

为了说明这种方法，两位专家描绘了这样一个场景，一家总部在美国的企业收购了欧盟国家内的一家公司，欧盟对消费者的数据隐私有着非常高的监管水平。Fitzgerald和Reva称，在完成这个收购之前，这家美国企业需要计划如何管理与应对这种数据隐私监管相关的风险。

Reva强调了基于多种因素选择和部署正确的移动设备安全控制的重要性，而利用威胁建模可以帮助企业定义这些因素。例如，移动威胁有很多形式，并以多种方式瞄准数据，不过，通过了解企业垂直行业最有可能面临的威胁，企业可以更好地理解其可能面对的威胁，从而建立适当的移动安全控制。

Fitzgerald认为加密是符合以数据为中心理念的最好安全控制之一。为了强调这一点，他谈到了非常棘手的收集和存储个人识别信息(PII)的问题。虽然Fitzgerald表示反对收集移动设备上的PII，但他认为，企业在发送这种敏感信息时，应该确保PII加密了，并且，只有在正确的位置进行加密，就能确保这些信息的安全。

即使企业部署了有效的移动安全机制，Fitzgerald和Reva建议企业仍应保持足够的灵活性，以根据其环境的变化来对控制进行重新评估。这种变化的例子包括近期发布的苹果iPhone 5S，它包含的指纹技术可以用来解锁设备和某些应用。Reva表示企业需要考虑他们应该如何应对这种技术带来的潜在风险，例如企业是否应该对用户手机上存储的生物识别数据承担责任。

一些拥有大笔安全预算的企业可能会投钱来解决移动安全问题，但根据这两位专家表示，简单的购买“新的光鲜的移动安全产品产品”并不会带来理想的结果。相反地，企业应该将目光投向现有的移动控制框架，例如最终修订版的NIST Special Publication 800-124，以及制定容易理解的可接受使用政策来获得最终用户的支持。

Reva强调：“购买最好的技术并不一定能带来最好的结果。”

与会者的讨论

在会议的最后，Fitzgerald和Reva邀请与会者分享他们部署移动安全控制和评估移动设备管理(MDM)产品的想法和经验。结果会议上出现了漫无目标的谈话，他们都在强调移动安全需要更标准化的方法。

很多与会者提到他们部署了来自Good Technology公司的MDM产品，其中一名与会者称其公司将该产品作为可接受使用政策的一部分，这样移动设备可以被清除，而不需要担忧最终用户。另一名与会者指出，她的公司使用Good Technology产品来管理个人设备约一年之久，但随后用户的反对意见让他们转而使用来自供应商AirWatch的MDM产品。

还有一名与会者称其需要保护全球范围内约7000台设备，他们也在使用AirWatch产品来管理这些设备，但从他们跨越国界使用MDM技术的经验来看，当部署这种产品时，你将需要考虑法律问题。

她表示：“你需要与你的法律团队以及这些国家合作，弄清楚你可以对这些设备做些什么。”从这一点来看，俄罗斯和韩国是特别棘手的国家。

在会议结束后接受采访时，Reva认同与会者对各种法规制度的关注，特别是围绕数据存储。他表示，数据分类以及安全控制可以作为这些问题的答案。

而对于Fitzgerald而言，与观众的讨论说明了为什么企业在处理移动设备风险管理时，最好已经部署了“成熟的安全功能”。虽然这两位专家提到部署安全措施可以作为现有安全方案的催化剂，但他表示如果企业还没有部署安全功能的话，可能会遇到麻烦。

“我们在这里有点白费唇舌，”Fitzgerald谈到观众时表示，并补充说，“我有一个客户，部署着不太成熟的安全机制，而其CEO称，‘我要携带我想要的任何设备。’”