几年前,美国国家安全局(National Security Administration)在移动安全策略的电路转换上浪费了数百万美元。在国防部的帮助下,国家安全局现在正在做不同的事情。企业cio也可以从中学到一些东西。
考虑到钱不是问题——请在这一点上与我保持一致——您可能会开发一种强化的安全通信能力,为支持该技术的设备提供无法穿透的语音和数据通信。诚然,你的员工将只能使用包含这种专有技术的设备,但至少你可以安心睡觉,因为你知道黑客无法破坏你的敏感通信。
评论:说到移动安全,MDM只是部分答案
这似乎是显而易见的,但这种方法有三个致命的缺陷。
假设的MBA商业案例练习?不幸的是,没有。这个非常真实的场景是美国税收在起作用的一个例子。几年前,美国国家安全局(NSA)希望开发用于情报和防御目的的安全移动通信系统,因此它花了五年时间和数百万美元来开发这个系统安全移动环境便携式电子设备。SME-PED采用了一种以硬件为中心的、电路交换的安全方式,这使得它在当今支持4G(及以上)移动设备的世界中显得过时。
因此,现在是时候替换SME-PED了。回到资金低谷,为下一个五年发展项目提供足够的资金,对吗?没有那么快。看来国家安全局值得注意的是,国防部从SME-PED中学到了一些重要的移动安全经验。
新发布的国防部机动战略备忘录提出了一个完全不同的方法来支持移动劳动力。与传统的“把钱扔在问题上”的方式不同,中小企业教育系统采取的是一种移动策略,这种策略更侧重于增强人们的能力,而不是限制人们之间的交流。
向国防部寻求战略建议?
国防部可能不太可能成为战略创新的来源,但对于任何希望平衡安全问题和移动通信能力的组织来说,都有一些重要的教训。这里有五个亮点。
1.关注软件,而不是硬件。尽管国防部的长期政策是基于硬件的杠杆加密技术,美国国防部的移动战略完全集中在基于软件的安全性。其结果是,设备本身是纯粹商业现货(COTS)。这满足国防部人员的愿望,也有利于未来的证明战略,国防部必须考虑到技术发展的移动领域的狂热的步伐。
新闻:新的联邦移动IT战略必须解决安全问题
事实上,国防部会见苹果公司2010年,他在与一名陆军将军的谈话中要求对iPhone进行一些硬件调整。苹果坚决拒绝。为什么?不是因为它是一个傲慢的市场领导者,而是因为它的经济现实——即使是国防部可能下的最大订单也只占iPhone生产的一两天。对于苹果来说,为最大的客户定制硬件是不值得的。
2.鼓励互操作性。国防部的移动战略需要“可组合”的解决方案。换句话说,该机构希望并鼓励跨移动应用程序、移动应用程序、云计算和传统内部应用程序之间的互操作性。
虽然传统的想法是封闭的技术本质上更安全,但是今天的方法是拥抱开放并开发在开放、动态的环境中工作的安全方法。因此,如果“是否有相应的应用程序”这个问题的答案是“有”,那么就应该有一种方法可以在适当的安全上下文中安全地使用新应用程序。
分析:国防部:开源和专有软件一样好
3.考虑所有终端用户。新战略侧重于不同群体的需要。另一方面,SME-PED本质上是一个放之四海而皆准的解决方案。对于某些指挥和控制通信来说,这可能是值得的,但对于国防部的日常事务来说,这是多余的。相比之下,今天的移动战略明确地指出了执行用户(战场指挥官)、战术用户(作战人员)和企业用户(其他所有人)的不同需求。显然,那些为国防部支付账单的人与攻击战斗机飞行员有着完全不同的安全顾虑。
4.放眼全球,立足本地。新的移动策略也以不同的方式处理治理和管理。拿出一页纸面向服务的体系结构治理最佳实践,国防部移动战略要求安全设备的集中管理和安全策略的分布式实施。
一方面,国防部需要远程清除和禁用丢失设备的能力,这是密钥集中管理能力的一个例子。另一方面,它也依靠其广泛的用户基础来理解和实施该领域的移动安全策略。因此,培训和人力管理是新战略的中心内容。
5.不要对每个人都一视同仁。国防部现在要求“足够”的安全。为只有秘密权限的用户提供最高机密级别的安全是没有意义的。完全没有许可的国防部人员仍然需要一定的安全措施,但是花费同样的钱来保护日常的、非机密的通信是没有意义的,因为该机构必须确保机密通信的安全。
移动安全电话呼吁人们参与进来
也许国防部机动战略最有趣的方面是它强调两者技术和人。安全性依赖于一套可靠的技术解决方案的日子已经一去不复返了,人们只是希望正确地使用该技术。
今天的移动环境非常多样化和动态,无法支持这种非黑即白的安全方法。相反,移动技术的用户需要了解他们的设备在实现组织的广泛目标中所扮演的角色。因此,对于一个习惯于依赖军事精确和严格技术的组织来说,新的移动战略代表了一种戏剧性的文化转变。
教程:实现适当的移动安全治理的步骤
对于苦苦挣扎于自身流动性战略的私营部门组织来说,这里有一些重要的教训。用军国主义的方法来处理移动安全问题,往好了说是不切实际的,往坏了说是危险无效的。相反,利用日益灵活和动态的技术的唯一方法是同样地设置灵活和动态的安全策略和基础设施。
安全不会是完美的。但话又说回来,它从来都不是。国防部的机动战略说明,即使是最注重安全的组织,也能在日益强大的劳动力队伍的机动性需求和安全考虑之间取得平衡。
杰森·布隆伯格是多维尔科技公司ZapThink的总统。ZapThink是一家面向服务的架构(SOA)咨询和分析公司。彭博专注于企业架构、SOA和云计算。关注Twitter @CIOonline、Facebook和谷歌+上的CIO.com。
阅读更多关于移动安全的内容在CIO的移动安全钻取中。
这个故事,“国防部的5个移动安全教训”最初是由首席信息官 。