一项调查显示,在智能手机在工作场所广泛使用多年之后,超过一半的美国公司表示,他们没有正式的BYOD(自带设备)政策来保护企业。
系统集成商冠军解决方案集团(Champion Solutions Group)在今年夏天对447家不同规模的企业进行了调查。调查发现,53%的企业没有实施正式的BYOD政策,超过四分之一的企业承认他们没有系统的安全措施,更不用说正式的政策了。
该公司首席执行官克里斯·派尔在接受采访时说,调查结果“荒谬……令人惊讶”。为了保护企业敏感数据,分析人士和安全公司已经发布了十多年的移动安全最佳实践,但显然各公司对BYOD员工实施安全措施的方式存在广泛差异。
钱皮恩在一份描述调查结果的18页白皮书中写道:“证据是无可争辩的,在现代企业中,越来越需要更严格地应用安全政策和程序。”
允许员工在工作时使用他们的个人智能手机和平板电脑的价值,现在已经被公司充分理解,并与更高的生产率联系在一起,因为员工发现和使用他们的手机的应用和服务,他们个性化,以提高效率。
但是派尔说,这也有不利的一面。“你需要有工作场所的自由,但你也需要有一个框架,”他说。
除了缺乏正式的BYOD策略之外,调查发现只有21%的企业在授权访问关键企业应用程序和数据时使用多因素认证(MFA)来验证用户的身份。MFA涵盖了广泛的技术类别,当用户从设备登录时,需要从独立的凭证类别使用两种或两种以上的身份验证方法。
派尔说,美国企业采用的MFA技术很少包括生物认证,即使用指纹或虹膜扫描来支持用户名和密码,以验证用户对企业数据的访问。有时,公司的应用程序或其他数据的每一个输入都需要向智能手机发送一个唯一的代码或令牌。
更常见的情况是,企业依靠企业权限管理软件向一组用户(如销售经理)授权,从他们的手机中访问一组特定的数据(如某一地区的销售数据)。但是这种方法并不能保证每个访问实例都来自授权用户。可能是别人偷了手机或暂时用过手机,而失主却不知道。
Champion的软件开发主管Jason Milgram表示:“目前,市场对MFA存在一些困惑和不安。”“我们的客户没有一家将生物识别授权纳入他们的安全计划,尽管他们最终会这么做。许多公司专注于企业内容权限管理,所有这些公司都在制定自己的战略。当我们提出生物识别的话题时,人们知道它并问我们,‘你能展示给我们看或告诉我们吗?’”
米尔格拉姆说,虽然较新的iphone和许多Android手机,如三星Galaxy智能手机,都使用指纹扫描仪来让用户访问手机本身,但企业才刚刚开始考虑使用指纹扫描仪来访问企业应用程序或数据。一些公司依赖于在一些新款手机的操作系统中将个人数据与工作数据分开,但即便是这种方法也可能不够安全,这取决于公司能够承受的风险水平。
Champion拥有2300名商业客户,主要在医疗保健、分销和金融领域。它运营着一个名为MessageOps的业务部门,帮助企业部署微软的云服务,包括Office 365、企业移动和Azure服务。Champion还担任系统集成商,帮助企业部署其他企业移动管理产品,如VMware的AirWatch和IBM的Maas360。
调查中提到的MFA在移动安全方面的低使用率并不让派尔感到惊讶。他说:“公司对未来将会有什么和将会有什么进行了很多良好的讨论,但人们没有实施今天已经有什么,更不用说明天会有什么。”
例如,调查指出,23%的公司在多次登录失败后没有关闭移动接入。“这是一个很大的比例,太大了,”米尔格拉姆说。“如果什么都没有关闭,有人可以发动蛮力攻击。”
调查还发现,30%的公司甚至不要求字母数字密码(即同时使用字母和数字的公司)。“这是非常基本的预防措施,”派尔补充说。
他说,Champion计划明年再次进行这项调查,并预计将更加关注安全问题。
这篇文章“一半的美国企业没有正式的BYOD安全政策”最初是由《计算机世界》 。