移动设备数据管理 风险与回报共存

上一篇 / 下一篇  2007-12-18 18:25:05

查看( 36 ) / 评论( 0 ) / 评分( 0 / 0 )
IXPUB技术博客B4CT_&E`

Randolph Kahn是卡恩咨询公司的创办人兼负责人,这家咨询公司专门研究公司信息和IT的法律、合规及政策问题。IXPUB技术博客&`%c\qjwx0]

z r!_3B BO @0    他说:“许多公司面临价值越来越大、数量越来越多的数据,其中大部分是以电子方式创建而成,并从来不放到传统纸张上;放在众多地方,而且日益存放在越来越小的计算设备上,如笔记本电脑和个人数字助理(PDA),这大大提高了管理难度,同时大大增加了出现问题的可能性。”IXPUB技术博客e:w2t$SZt(C

%Qr x+V)D}K:N&wt0    Kahn提到的所有因素共同作用起来,可能会给使用移动设备、却没有落实牢靠控制措施的任何一家公司带来恶梦――遗憾的是,除了少数几家公司,绝大部分都没有严加控制。IXPUB技术博客UUR KT4O GV

IXPUB技术博客8D,^ g#Y+d%y

    据BPM论坛在今年秋天开展的一项调查显示,接受调查的公司当中近一半在移动设备方面缺乏正规的安全和合规政策与系统。尽管一半公司认为自己拥有相当多数量的移动设备;四分之一声称,移动设备在传送专有的公司数据。尽管如此,近40%的公司声称,只有真正发生了安全事件,自己才会落实控制移动设备的措施。

K~F b.U;C!W)f0

&T1g)O2ov0    移动设备未加保护带来的风险“似乎因某种原因而没有引起人们的注意,”BPM论坛负责战略和计划的副总裁Adriano Gonzalez说,这个论坛由私营行业的公司会员组成。“移动设备的数量正在迅速激增。许多公司关注的是其他要紧的监管法规。”IXPUB技术博客&U5]!TO"F W4oWl

IXPUB技术博客xHRZ8{g2gD4}

    也许问题的一方面可能在于,像《萨班斯-奥克斯利法案》(SOX)、《健康保险可携性及责任性法案》(HIPAA)和《金融服务现代化法案》(GLB)这些监管法规并没有明确提到移动设备的控制;它们侧重的是个人、财务和公司数据(不管数据放在何处)的控制这个一般性问题。这意味着,网络边界和管理人员在公司数据方面的责任都有所扩大,包括了所用移动设备含有受监管公司信息的任何员工。

V|2J1]6Y Y,tAq0IXPUB技术博客6x4B-W6xK'F:v

    举例说,《萨班斯-奥克斯利法案》尽管没有明确提到便携设备,但它要求公司对所使用的任何设备进行有效控制。这包括制订政策规定哪些员工可以使用哪些设备、这些设备可以含有哪些信息,还包括管理设备使用的强制规则。IXPUB技术博客B!tb%w*Fi E6gq'x

IXPUB技术博客!?w0v{zLTn

    随着设备变得尺寸更小巧、功能更强大,“移动”一词如今不但包括智能电话和PDA,还包括小型的便携式海量存储设备,比如拇指大小的可移动存储驱动器或者iPod。这些设备如今至少可以存储64G的信息量,足以容纳大量的客户、病人或者财务数据,这会让公司主管们晚上睡不着觉。IXPUB技术博客"~;Y)[$bx

IXPUB技术博客-K*}$|uU F.o:i|+q l

    以无线方式通信的移动设备属于其他法规的监管对象,尤其是隐私方面的法规。法规重叠加上缺乏单一执法部门,这就造成了混淆。移动设备问题“有可能涉及好几项法规,归谁管辖并不清楚,”据Larry Ponemon律师声称,他是研究隐私和数据保护问题的波耐蒙研究所(Ponemon Institute)的负责人。“无线领域归联邦通信委员会所管,但就一般性的隐私法规而言,无线领域又归联邦贸易委员会所管。你会觉得这两个部门可能会齐心协力,解决其中一些问题,但实际情况并非如此。”IXPUB技术博客6[;^-n7A1RG

"\p+W F&S0    Ponemon认为,无线设备方面的一些问题好比控制整个互联网内容方面的问题,比如确定一种可以接受的方法来获取用户信息;确定什么时候以何种方式合理共享这些信息。他说,这些问题通常与所用设备、甚至技术无关。IXPUB技术博客Uf,OE_`T-M

;]0^N{8c1C0    不过为监管法规和移动设备的讨论引入无线部分增添了很大的复杂性。Ponemon指出,谁拥有嵌入在电话中的某一个软件可能并不清楚。“这是个电话?还是已成为功能齐全的电脑?Trio手机上的Excel文件与笔记本电脑或者台式电脑上的Excel文件有什么区别?谁负责确保信息安全、消费者隐私权得到保护,这开始变得非常模糊不清。”IXPUB技术博客 l6kB2}-v:r(O\I

IXPUB技术博客fz4y!|x8n%ouG$m3H

    要是手机等无线设备作为电子信用卡使用,情况就更为复杂了。这种使用可能会让这些设备受到其他法规的监管,包括来自美国货币监理署(OCC)的银行法规,或者支付卡行业数据安全标准(PCI DSS)法规。Ponemon说:“你会认为会有一个超级监管部门,因为无线设备可能存在安全和隐私这两方面的问题,”但实际情况根本不是这样,至少目前还没有这样的部门。IXPUB技术博客Q7R9T!n.Sj

p q*@U2Pw6?S0这一切表明要有面向整个公司的政策,不仅仅针对移动设备的管理;还要有适用于整个网络的信息管理政策。公司应当处理好以下几方面,以便控制移动设备的使用,并让自己符合至少最明显的法规条款。

+z;y@8h-yy-M!]0

3{.B1u#W)S9jenc,^(_n0    一、引起管理人员的注意。

P0YNQ PEt0

lW9Pcj(v({)|0    处理合规问题的人之前都已经听说过这一点,但合理评估及管理移动设备方面的风险必须是一项自上而下的计划。与合规的许多方面一样,管理人员也必须认识到:移动设备是公司面临的一大风险,值得为之投入时间、资金和精力。IXPUB技术博客1C,BE-rd&y

IXPUB技术博客J1Z d c^w.t:_e

    遗憾的是,许多人常常没有明白这一点;连因大量使用移动设备而面临重大风险的公司也是这样。BPM研究所的调查发现,就移动设备管理方面的认识而言,管理人员与IT人员存在巨大差距。IT人员一般往往认为移动设备是重大威胁,而管理人员往往等发生了安全事件才认识到其中的风险。IXPUB技术博客,F:G*m-{C7\

DF:}!tW"Uj!k0    波耐蒙研究所的研究发现了类似结果:“IT人员与CEO和CIO之间存在重大脱节,”Ponemon说。“等CEO们考虑安全时,已经为时太晚。”

C,xob:J-F0IXPUB技术博客m|;k-d/}Q6c

    让管理人员认识到风险很有必要,不妨通过有针对性地提到竞争对手遇到的尴尬的安全事件。Gonzales说,制订风险政策不是孤立就能完成的,“必须在整个公司里面进行。”他建议,从简单的设备清点开始入手,而许多公司还没有着手这项基本任务。IXPUB技术博客?~ yc6n(k#TP.o

Oa4[%__hvp0    因为分配给众多设备的无线访问、数据加密、备份、归档及访问控制等诸多方面会出现复杂问题,所以成立一支跨部门的团队必不可少。Gonzales指出:“其他部门的人可能比IT人员更清楚地了解其中一些问题。”这意味着让公司的合规专家、法律团队、备份及归档专家与IT人员一同参与进来。

Ck9AF;ZTF*@ z0IXPUB技术博客!Ep*X9a5FEER.f4oE

    二、要有整体观IXPUB技术博客v4WG6V)y6V2i9[#D-y

+mWsY_r0    大多数公司使用的移动设备其绝对数量和种类之多、存放在上面的信息范围之广,这表明需要面向整个公司、以网络为中心的解决方案。该解决方案应当分析整个企业可能存在的故障点,包括人、流程和技术。

z_rsG)E`6z0b!R0IXPUB技术博客 w T3MA pw*|(}"}

    虽然技术能够派上用场,但移动设备的安全不是单纯的技术问题。Kahn说:“你可能拥有世界上最好的技术,但如果人员滥用技术、实施不当,或者管理时没有充分发挥技术的功能,你还是会遇到问题。”IXPUB技术博客 |+x$kZC']

&kR&dvcR0    Kahn的公司采用了整体、面向整个公司的合规策略,公司称之为“信息管理合规”,紧紧围绕来自联邦判决指导方针(federal sentencing guideline)的七个关键而构建――联邦法院的法官们运用这些指导原则来判决受理的任何公司。

7p-Gu8\W0

7a5v*h7B)Y#j8N0    Kahn著有信息管理和合规方面的好几本书,他认为,这种方法实际上形成了“法律最佳实践”,可以帮助公司为员工们构建合理的法律、安全和合规体系。简而言之,Kahn采取的方法意味着,从战略角度来制订信息管理活动,并且首先要了解法院可能会如何判决这些活动。IXPUB技术博客(C } \E`Iq'`'M7lA T R

"G`9K|#aEsq ~0    他指出:“毕竟,要是公司没有把问题弄明白,而且由于某个问题而受到指控、上了联邦法院,那么法院就会根据联邦判决指导方针来进行判决。我们认为,你最好还是一开始就构建这样的体系。”

g5@:f%H} r0

d?@#vW c m*aG0    三、教育员工。

'~L};i{yOiqv HP0IXPUB技术博客KP ]X-?7R/e*F

    让员工知道移动设备政策与合理的技术解决方案相辅相成。与技术一样,这项工作也不能孤立。Kahn说:“你可能拥有世界上最出色的员工,但要是没有落实流程来确保做法得当,你还是会遇到问题。”

)DujD smt0

(dTV0V5B*]v`YW3R0    起码要指导员工如何遵守在公司其他方面需要遵守的同样的数据安全政策。但是因为移动设备非常迅速、隐蔽地进入公司,所以许多员工在这方面没有遵守同样的安全政策。IXPUB技术博客h3fH_:Bveo

5}2e q a2z6J%I&`5T0    Kahn说:“没有人指望,在各种情形下,每个员工都会搞好信息管理工作。”但要是落实了政策,并且对员工进行教育,让他们知道这些政策,这无疑向这个目标迈出了一大步。他再次提到了相关法律要求:“力求建立合理的环境和流程,确保员工们搞好信息管理,这其实是联邦判决指导方针的意图所在。”IXPUB技术博客;E n8Y9mu:s*p3J W

\ r`!Q_N2ro'i)X0    四、利用软件来帮助管理数据和设备。

4cUMxNx0

&cF,a+{!g'R0    现在有好多种软件用于管理移动设备;不过与风险评估及控制的任何方面一样,管理人员需要确信成本效益比是合理的。IXPUB技术博客Ht'qD ?\/\3z|

IXPUB技术博客 nm"C*v[G

    如果你在发布移动设备上存放的各种客户数据或者其他的机密数据,那么加密可能必不可少,不过要决定何处、何时进行加密(设备级加密还是其他级别的加密)。另外,IT人员可以安装工具来限制某些员工或者某些设备对网络的访问。使用密码是一个不错的步骤。你还可以在每个得到授权的移动设备上安装软件;要是设备几分钟闲置未用,软件就会关闭它。还可以使用这样的软件:要是用户报告移动设备丢失或者失窃,就能远程终止移动设备对网络的访问。IXPUB技术博客IL0W0nQu!AMnY r

5E6i(?d1CU`-OZ0    结论IXPUB技术博客R0m/]q#k

!KH.]k`0    虽然在如今塞满数据的小型设备数量激增的情况下,管理移动数据很困难,但不是说没有可能。管理人员要充分认识到相关风险的大小,然后帮助制订计划,既承认移动设备对员工的重要性,又认识到并且控制相关的重大法律及法规风险。如果坚持不懈,加上一点运气,就能避免重大的数据泄密事件引起管理人员注意这个问题,同时避免引起整个外界的注意。

!p5}hd+I)`t0

导入论坛 引用链接 收藏 分享给好友 推荐到圈子 管理 举报

TAG:

 

评分:0

我来说两句

显示全部

:loveliness: :handshake :victory: :funk: :time: :kiss: :call: :hug: :lol :'( :Q :L ;P :$ :P :o :@ :D :( :)

日历

« 2009-01-07  
    123
45678910
11121314151617
18192021222324
25262728293031

数据统计

  • 访问量: 65604
  • 日志数: 1209
  • 文件数: 1
  • 建立时间: 2007-08-10
  • 更新时间: 2009-01-06

RSS订阅

Open Toolbar