今年2月,盗贼持枪抢劫了美国英提格瑞斯卫生署(Integris)一家家庭医疗服务商的笔记本电脑。英提格瑞斯卫生署的首席信息官(CIO)约翰·迪兰诺(John Delano)面临两项首要任务:确保员工安全和保护笔记本电脑上的病人信息。幸运的是,员工安然无恙,加密过的病人信息也丝毫无损。到目前为止,该公司的移动技术风险战略发挥了重要作用。
近来,人们对笔记本电脑、智能手机、便携媒体等移动技术的使用大大增加,同时也使商业信息面临新的风险。根据安全咨询机构波耐蒙研究所(Ponemon Institute)在2006年发布的一份报告,超过54%的安全侵害行为是由于笔记本电脑、移动设备或电子备份数据丢失引起的。目前美国几个州政府已经制订了有关数据泄漏的法律条文--从另一个方面来看,这也促使CIO们对客户信息保护工作予以高度重视。
尽管使用移动设备存在风险,但由于他们能够提高工作效率,同时也因为基础设施更加完善,移动设备用户正在迅速增加。一份2006年的费雷斯特(Forrester)报告显示,几乎三分之二的美国公司正在使用无线网络,而移动通话和数据传输的费用在去年的通信预算中占到近四分之一。
危机四伏
移动技术、特别是那些被首席执行官(CEO)、公司高管、销售和顾问使用的移动技术,往往涉及销售额和电子邮件等极为敏感的公司资料。而最新的移动设备具有更大的储存容量和更强的互联网访问功能。
存储量增大的后果是更多数据处于被盗、丢失或使用不当的风险之下,CIO们为此深感担忧。同样让他们担心的是,多数商业用户不会在非安全的环境中采取适当的安全措施。例如,2003年发生了一次令人担忧的事件:一台从eBay购得的黑莓无线设备被发现存储着1,000多人的姓名、电子邮件地址和电话号码,以及200多封公司内部邮件。出售这台设备的人想当然地认为,卸下电池以后数据就会被全部删除了,结果却出乎他的意料。
同时,更多人对移动环境发起攻击。去年,反病毒厂商发现了200多种手机病毒。间谍软件、网络钓鱼软件、域名欺骗软件、恶意软件、零时差浏览器攻击、以及僵尸网络等攻击软件正在迅速蔓延。据Trend Micro公司的调查显示,仅仅针对Windows智能手机设备,就已经发现了约30种恶意软件。微软估计有将近一千两百万人在使用智能手机。
美国《加州参议院1386号法案》和《1996年健康保险流通和责任法案》等隐私条例针对非公开的个人信息制定了披露标准和保护标准。法律规定,对那些获取并存储个人信息的公司来说,如果发现某个公司对个人身份信息处理不当,该公司必须向公众说明情况,这无疑是更大的挑战。
以医疗领域为例,病人的个人信息存储在医生和护士的多种移动设备上。今天,远程诊断中心可以向医生的智能手机发送病人的心电图。正因为移动设备已经变得不可缺少,《1996年健康保险流通和责任法案》将保护病人信息作为绝对强制性的要求。根据联邦法律,对医疗信息使用不当将牵涉到一定程度的刑事和民事责任,有可能遭到25万美元的罚款和长达10年的监禁。
在这一背景下,因为遭受数据侵害而丢失个人信息已经成为超越IT部门的商业问题。负面的公众形象是昂贵而难堪的,这将使消费者和投资者失去信心。
制订战略
为了与这些风险进行有成效的斗争,我们推荐制订一个全公司范围的移动技术风险战略,以指导公司进行问题评估,制订与潜在商业影响相符的预算,并将任何技术上、步骤上和组织结构上的解决方案作为头等大事来抓,从而降低风险。在制订这一方案的过程中,CIO必须动员公司全体部门,调动市场部、法律部和客户关系部,还要与首席信息安全官(CISO)和其他风险经理们通力合作。在制订移动技术风险战略时,应先按照以下步骤确定公司的安全需求:
* 在全公司范围盘点移动技术。对大公司的库存进行评估是件非常困难的事情,因此可以选取有代表性的员工组合作为样本,并在移动主机上安装多种工具。
可以考虑从以下问题入手:"公司里哪些人在使用移动技术,目的是什么?他们使用着哪些类型的移动技术?使用频率和地点如何?"
然后检查存储的数据性质和安全措施。哪些类型的信息在该设备和公司系统之间传输?该设备得到哪些认证机制的保护?存储了哪些信息?有多少数据被加密?
最后,考虑当前和未来的技术需求。什么类型的技术有可能被使用?同步或备份移动设备时使用的什么软件?替换或处理旧设备的现有办法是什么?
* 对数据侵害的影响进行评估,确定风险管理的预算。CIO需要评估数据侵害的威胁并理解其对公司业务的影响,必须让所有业务部门的高级管理人员了解分析结果。
一家《财富》100强公司的首席安全官通过监测100天时间段内受到多少次攻击来解决这个问题。关于数据丢失带来的成本,他的IT团队在几周后给出了一个实际的估计值--这一数字帮助这位首席安全官说服了其他高级主管。这个估计值不但促使这家公司对移动安全战略进行全面调整,还将丢失数据带来的成本、安全运营的附加成本及安全侵害对公司品牌和信誉造成的影响一一量化。
波耐蒙研究所于2006年8月发布的一份报告显示,数据侵害造成的直接增量成本可以被量化:即平均每条丢失记录的损失为54美元。如果数据侵害是小规模的,这一成本甚至更高,因为法律、通信和人力成本的分摊费用增大了。
高级管理层需要认识到成本之外的其它后果。数据侵害还可能导致集体诉讼、市场价值受损、业务关系中断、甚至公司破产。如果上升到法律的高度,侵入事件还可能导致罚款和处罚--公司管理层甚至可能因为在保护客户个人信息方面犯有失职罪而面临牢狱之灾。
执行战略
根据公司的具体需求勾勒出战略轮廓后,下一个问题是确定实施办法。在为移动技术风险战略制订路线图时,请考虑以下几个方面的内容。
标准化是管理移动设备的办法之一,但如果公司拥有大量不同的移动设备和多种操作系统,标准化就比较困难了。针对这个问题,可以通过制订一套标准程序来有效管理移动设备的采购、分配、替换、更新,以及管理丢失和锁定的设备,并加强IT帮助中心的能力,集中管理各种设备。
移动平台管理解决方案会提供一个集中控制面板,让全部移动设备的安全设置保持一致。
定期审查和汇报也非常重要。最基本的一点,公司需要随时掌握各台设备是否遵守规定。CIO们还应了解每台移动设备上存储的商业信息类型。
移动数据安全战略的执行措施包括:确定策略,保护移动设备上的数据,对设备和用户进行认证,监控策略执行情况并撰写报告。
为了预防移动设备丢失或被盗,执行方案通常提供数据加密的功能。公司应确保即使丢失密匙也能够恢复数据。一个强大的管理方案应能集中管理和代管密匙。
大多数新推出的移动设备具有内置的加密功能,例如某些安全USB驱动,现在已经在市场上有售。最新的笔记本上安装了可靠的平台模块计算芯片,使硬盘加密成为可能。Vista操作系统的BitLocker功能与此类似,可以让用户对硬盘加密。
标准化是关键
限定移动策略的范围。移动策略应该与公司的整体安全策略和规章制度相配合。同时,CIO应该对面临的问题持有实际的观点。在英提格瑞斯卫生署,存储有个人信息的设备最受关注,因此移动策略很简单:任何存储有病人数据的医疗设备必须被加密。
但同时必须注意有哪些连带的后果。在登录连续失败时锁定设备将导致帮助中心受理更多求助电话。更合理的办法是限制用户在设备上安装应用软件或摄像头。
显然,CIO必须保证公司的移动设备无论何时何地都符合公司的政策法规。没有发送状态报告的设备必须被视为没有遵守规定并中断该设备对公司网络的访问。报告内容还应包括设备上存储信息的详细情况和设备的合法使用性。这些都要求在移动设备和公司系统之间进行双向沟通和集中管理。
移动技术风险解决方案还是个新事物,但这个市场已经在迅猛发展。根据高德纳公司(Gartner)于2006年8月发布的一份报告,这个市场中约有20家厂商,因此正确选择厂商很重要。首先,关于实现公司的商业目标需要哪些功能,应在公司内部达成一致意见。对于某些公司来说,保护隐私是最迫切的事情。对于另一些公司而言,减少帮助中心接到的求助电话数量更为重要。此外,还有合规的情况。通过进行评估,CIO可以获得宝贵的参考意见,从而正确理解哪些问题需要被解决,哪些缺陷必须被弥补。
除了业务能力,CIO们尤其需要注意厂商服务的可操作性。例如,厂商很难和每种最新的移动设备保持同步,这就造成安全支持滞后于用户使用。即使明知存在更大的风险,你也应该在员工要求下允许他们使用最新式、最先进的设备吗?厂商可以提供什么样的保证,以便在最短时间内降低风险?即便公司其他部门没有提出这些关键问题,运营复杂性还是会给CIO们制造两难困境,从而让他们不得不在严格执行政策和承担一定风险之间进行抉择。
已经来不及让魔鬼重新回到瓶子里了。很多公司已经认识到移动技术的好处并且已经无法离开移动设备。然而巨大的商业风险也不容忽视。设想这么一种情况:保险理赔师可以使用一台移动智能手机拍照并立刻提交证据。在这种情况中,如果智能手机丢失,则意味着失去生产力,并且由于丢失数据而造成高额的直接和间接成本。
CIO们不能只依靠用户来保护移动设备上的数据,而应该和不同的职能部门合作,制订可实施的移动技术风险战略。那些成功地管理风险的CIO们将收获商业利润,并通过移动技术推动公司业务发展。
Nalneesh Gaur是钻石管理和技术咨询公司(Diamond Management and Technology Consultants)的主要负责人,Bob Kiep是该公司合伙人。
行之有效的安全策略
对照以下清单,制订你的移动安全方案
全面的移动安全策略应该在移动设备大量增加时还能保持对设备功能的控制。如下所示:
* 设备类型。除了笔记本电脑,监管对象还必须包括PDA、智能手机、USB和GPS设备。
* 获得许可的技术。对获得许可的移动运营系统和无线网络协议进行归纳。目的在于增加而不是减少网络访问。
* 可靠的设备。公司对哪些移动设备可以信任?确立这一标准。
* 数据保护办法。着眼于静态数据和使用中的数据。当设备丢失,大多数情况下数据的价值大大高于设备本身。使用强大的认证和加密功能。定期更换密匙,在一定次数的连续登录失败后锁定用户。
* 可访问的信息。根据业务需求,限制对信息的访问。一台不被信任的移动设备等于一个不被信任的用户。
* 丢失的设备。当移动设备丢失或被盗后,会产生什么后果?补救办法包括切断对所存信息的访问或销毁全部数据。
* 业务运营软件。如果移动设备安装了业务运营相关的应用软件,必须高度重视被这些软件访问并处理的信息--包括设备上安装的业务运营软件和公司信息系统软件。