不可否认,移动设备在所有行业中都有提高效率、降低成本的潜力。您也不能否认移动设备存在潜在的安全漏洞。这七个小技巧将帮助你在不给员工带来负担的情况下保护你的移动环境。
信息安全专家喜欢用特定的语言来探索和解释公司和组织经常面临的安全威胁。这个词汇中一个特别有趣的概念是“攻击面”,它确定对某人的信息或金融资产、知识产权或经营业务能力的潜在攻击点。
因为任何成功的攻击都会带来经济损失、法律或监管违规或声誉受损的机会,所以处理攻击表面的最佳实践意味着限制不希望或不请自来的访问,加强对攻击的防范,并实施通常称为“深度防御”的措施。这需要在贵重物品周围建立多层保护;如果其中一层被攻破,坏人不会自动拿到宝藏库的钥匙。
+也在网络世界有个足球雷竞技app人们在使用移动设备时会犯的7个安全错误s +
所有这些使得移动设备的安全问题既重要又棘手。员工和承包商使用移动设备访问组织系统、应用程序和数据越多,保护这种访问就越重要。此外,必须防止移动设备打开未经授权的访问信息和其他资产的途径;这让他们变成了一种危险,反而可能会消耗政府收入。
【调查:高级持续威胁正在攻击移动设备][分析:随着BYOD的上升,IT头痛将变成偏头痛]
考虑到移动设备本质上是在组织范围之外移动的目标,因此也在组织的防火墙、威胁管理、垃圾邮件和内容过滤之外,以及其他用来阻止作恶的工具——应用一系列最佳实践来使用移动设备,将风险和损失降至最低是至关重要的。然而,正如任何安全专家都会告诉你的那样,在足够的安全保障和令人窒息的安全保障之间有一条微妙的界线。
虽然这很有挑战性,也有一定的成本,但以下的移动安全最佳实践列表可以帮助保护移动设备及其用户免受不必要的暴露或未经授权的泄露公司或组织的IP、商业秘密或竞争优势。其中一些做法旨在保护移动设备本身,而另一些旨在保护移动用户需要与之交互的数据和应用程序。所有这些都将有助于降低损失或损害您的公司或组织的风险。
1.移动设备需要防病毒软件
快速浏览一下新的恶意软件威胁手机操作系统,如iOS和(尤其是)Android正日益成为恶意软件的目标,就像Windows、MacOS和Linux多年来一直是这样。如果想使用移动设备上网,就应该在智能手机或平板电脑上安装并更新防恶意软件。对于任何想要在工作中使用这种设备的人来说,情况更是如此。
2.安全的移动通信
大多数专家建议,所有移动设备的通信都应该加密,因为无线通信很容易被拦截和窥探。这些专家更进一步建议,移动设备与公司或基于云的系统或服务之间的任何通信都需要使用VPN才能接入。vpn不仅包括强加密,还为希望使用移动设备访问应用程序、服务或远程桌面或系统的用户提供登录、管理和强认证的机会。
(分析:加密技术真的能保护你免受政府的窥探吗?]
3.要求强身份验证,使用密码控制
许多现代移动设备包括本地安全比如内置生物识别技术——指纹扫描仪、面部识别、声纹识别等等——但即使是更老的设备也可以使用小型、便携式安全令牌(或通过电子邮件和自动电话系统等多种方式发出的一次性密码)。除了简单的账户和密码,移动设备还应该使用多种形式的认证,以确保拥有移动设备不会自动授予访问重要信息和系统的权限。
同样,应该指示用户启用和使用密码访问他们的移动设备。公司或组织应该考虑,丢失和暴露的危险是否意味着一些失败的登录尝试应该导致设备清空其内部存储。(大多数现代系统都有远程擦除智能手机或平板电脑的功能,但是移动设备管理系统也能将这一功能带到旧设备上。)
(研究:简单密码主宰移动世界][为什么贝宝,微软和狗联盟对密码说“不”]
4.控制第三方软件
向员工发放移动设备的公司或组织应该制定政策,限制或阻止第三方软件的使用。这是防止恶意软件(充满了后门和“黑网关”,将信息虹引到错误的人手中)可能导致的妥协和安全漏洞的最好方法。
为BYOD管理在美国,最安全的做法是要求此类用户登录到远程虚拟工作环境。然后,进入移动设备的唯一信息是来自工作应用程序和系统的屏幕输出;因此,一旦远程会话结束,数据就不会持久化。由于远程访问总是通过VPN连接进行,通信也很安全——公司可以(也应该)实施安全策略,阻止文件下载到移动设备。
[指南:帮助首席信息官管理影子IT的6个建议][研究:大多数移动应用程序都将你的安全和隐私置于危险之中]
5.创建独立、安全的移动网关
了解移动用户真正需要访问哪些类型的使用、系统和应用程序是很重要的。通过带有定制防火墙和安全控制(如协议和内容过滤以及数据丢失预防工具)的特殊网关引导移动通信,可以让移动工作者专注于他们在办公室之外能够和应该做的事情。这也为他们不需要通过移动设备访问的其他更有价值的资产提供了保护。
【新闻:DDoS攻击如何滥用老化的网络协议]
6.选择(或要求)安全移动设备,帮助用户锁定它们
移动设备应该配置为避免不安全的无线网络,蓝牙应该隐藏起来不被发现。事实上,当不积极使用耳机和耳机时,蓝牙应该完全禁用。为工作中使用的个人移动设备准备推荐配置——并实现这样的配置之前目标用户可以在他们的设备上工作。
【对比:BYOD的最佳做法是保护数据,而不是设备]
7.执行定期的手机安全审计,渗透测试
至少每年一次,公司和组织应该聘请有信誉的安全测试公司来审计他们的移动安全和行为渗透测试在他们使用的移动设备上。这些公司还可以帮助补救和减轻他们发现的任何问题,有时也会这样。雇佣专业人士对你的移动设备做坏人迟早会对你做的事情,你将能够保护自己免受他们可能带来的各种威胁。
(分析:为什么BYOD移动安全威胁是真实存在的]
安全,无论是移动还是其他,都是一种心态
虽然移动安全可能有它自己的特殊问题和挑战,但它都是安全基础设施的一部分,您必须到位,以保护您的员工、您的资产,并最终保护您的声誉和业务任务。通过采取适当的措施防止损失并降低风险,您的员工和承包商将能够利用移动设备为工作场所带来的不可思议的好处。
记住那句古老的谚语“一盎司预防”。这样,你就不会因为未能正确地执行谨慎、合规和最佳实践而承担成本或遭受法律责任或惩罚。
Ed Tittel是一名全职自由撰稿人和顾问,专攻Web标记语言、信息安全和Windows操作系统。他是世界的创造者考试补习系列并撰写了100多本关于计算机领域的书籍。
在Twitter上关注CIO.com上的一切@CIOonline,脸谱网,谷歌+和LinkedIn.
阅读更多关于移动安全的信息CIO的移动安全钻取。
本文“企业移动安全7项最佳实践”最初由首席信息官 .