移动技术给IT风险管理带来了哪些改变？

近来一系列调查报告已经证实，大多数企业都在考虑将移动设备管理(简称MDM)与其它安全类方案纳入业务环境。虽然共识已经达成，但只有少数企业真正着手部署，显然大多数从业者仍然在与移动安全问题苦苦斗争。

遗憾的是，许多企业尚没有勇气率先对移动技术与BYOD给业务带来的影响做出量化评估并寻求最佳实践与技术方案，他们大多仍然在如何进行预算分配而举棋不定。不过专家们提醒称，一味将资金投入到新型安全产品中而缺乏对采购对象的透彻理解与必要性分析，很可能导致企业一边花着冤枉钱、一边承受着高风险。

“管理员们通常都无法向管理层准确并详尽传达技术信息，他们说不出我们到底‘为什么要买这个或是买那个’。归根结底，IT团队自身都没能准确量化移动风险，”移动风险管理企业Fixmo公司CSO Dan Ford指出，他的博士结业论文正准备以iOS在企业领域中的风险评估方案为题。

最新的MDM部署状况统计数据也证实了Ford的结论。尽管Gartner公司的分析师们预计在未来五年内，将有三分之二的企业正式将MDM解决方案作为员工用户的必备工具，但就目前来看企业仍然没搞清楚自己到底应该如何选择合适的产品。InfromationWeek网站刚刚公布的一篇分析文章《四十家BYOD供应商，一片良莠不齐的市场》就明确指出，只有四分之一左右的企业当下已经完成MDM方案的部署。

Ford认为，对不同移动风险加以量化能够帮助企业正确选择适合自身情况的技术类型以及政策需要支持的实践方案，这恰恰是风险管理工作中最重要的一环。换言之，与其简单将潜在风险划分为高、中、低或者红、橙、绿级别，倒不如下番工夫弄清楚到底有多少种风险存在。评估工作的问题在于，如果安全机制能够将某种高危事态的风险程度降低10%，那么处理之后的风险仍然属于高危范畴——IT部门将很难同管理层交代，为什么在花了那么多预算之后，高危问题仍然“高危”。而在以密码政策为代表的各类MRM(即移动资源管理)实际规划中，最重要的就是功能的专一性与确定性。

“如果我使用四位数字PIN码会带来多大风险?如果我只使用六位长度的密码又会引发何种麻烦?”他问道，并解释称这正是企业在管理中应该询问并努力追求量化效果的典型议题。

Perimeter E-Security公司首席技术官Andrew Jaquith指出，企业应该马上着手对移动实践进行风险评估，并针对主要安全问题进行三个层面的探讨。

“移动风险决策应该围绕三大核心展开，即技术、政策与法律，”他表示。“要保证业务的顺利运转，企业必须尽早解决这三大问题。”

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友