干货|移动安全成熟度提升实践指南
- 作者: 指掌易科技
- 分类:新闻
近日,看到很多企业安全负责人在寻找企业信息安全成熟度模型,这类模型在百度上搜索有很多,绝大多数遵从着gartner的经典理论框架。但如何将理论框架应用于具体的领域中,却仍需企业信息安全负责人自己摸索。我将结合自己对于移动安全领域的理解,依照gartner经典理论框架的指导,为大家剖析如何提升企业在移动安全领域的安全管理成熟度。
首先,我们先来看一下garter信息安全成熟度模型:
等级1:初始→等级2:发展→等级3:定义→等级4:管理→等级5:优化
(理论模型具体释义已放在文末,我就不在主要章节在各位专家面前班门弄斧了)
而结合到移动安全领域来看,由于移动办公发展时间尚处于比较端的时期,国内企业更多的是处于从初始→发展阶段过渡,在这个阶段,企业对于移动安全的认知不足,多数知道“移动”带来了风险,但不知道移动安全的具体风险点有哪些,更多的是导入一些零散的it技术来降低风险。作为企业信息安全负责人,在这个阶段,有几个关键任务要完成:
1. 理清移动安全的风险点
2. 寻求相应的it技术支撑
3. 获得领导及业务部门的支持
4.确定可落地的安全行动计划。
一
移动安全的风险点有哪些:
1.设备:设备被非合规人员控制(如员工设备丢失,敏感数据泄露;恶意攻击者控制员工设备等),移动设备传感功能发达带来的信息扩散随意风险(如员工使用手机拍摄敏感内容,随意用蓝牙、airdrop转发企业敏感数据等);
2.应用和数据:应用被攻击(例如员工下载第三方不合规应用,黑客以此为跳板进行攻击;合规应用被黑客攻破等),管理分险(例如企业移动应用分发混乱、版本管理混乱等);操作风险(员工复制、粘贴、截屏、录屏后转发企业敏感数据等);
3.传输:接入风险(例如员工通过不安全的wifi接入,导致数据泄露等);数据被拦截(例如恶意攻击者在数据传输过程中,截取企业敏感数据);非合规敏感词传输至外部(例如,金融、医药等销售在与客户的聊天中出现不合规国家要求的敏感词等)。
二
需要哪些关键it技术支撑:
1.设备管理:身份验证(确定设备使用者的身份);禁止设备的某些功能(如禁用摄像头、蓝牙、wifi等);远程擦除(例如设备丢失后,管理员可以远程擦除该设备中关于企业的数据);
2.应用和数据管理:企业应用商店(管理不同应用及同一应用不同版本的合理分发);应用黑白名单(能禁止员工下载不合规的应用);应用加固(在应用外加上一层防御,防止恶意攻击者攻击);数据防泄露(某些核心业务应用中,要禁止用户复制、粘贴、截屏等);
3.传输管理:准入(让员工通过合规的网络通道接入)、加密 (对数据进行加密,即使数据被外人获取,也无法阅读);审计(对重要数据的流转进行审计,能监控员工在发送什么内容,当员工发送不合规的内容后可以即时报警)。
三
如何向领导及其他业务高管讲故事:
1.提高领导及同事的安全意识:搜集安全事件,向领导发送报告,这个过程是持续性的,进行演练,如模拟在移动办公场景中,某些敏感数据丢失,进行应急演练,给予领导及同事最直观的感受;
2.定义清晰的安全职责:你如果不将所有人纳入到问责体系中,大多数人的态度就是事不关己高高挂起,而且在安全与业务体验相悖的情况下,他们不会支持你;
3.合规驱动:合规政策是安全落地最有效的推动力,但目前,移动安全相关政策/标准是缺失的。这并不意味着企业安全负责人没办法以合规政策驱动,网络安全法是有迹可循的,企业安全负责人可以向厂商、向第三方机构咨询,在这方面,他们有整个团队在研究政策的动向,让他们帮助你讲这个故事。
四
确定可落地的安全行动计划:
1.成本可控是前提:面对移动设备、应用等的快速更新,移动安全供应商产品/技术也在快速更新迭代,企业用户要移动安全具体的实现上要轻量化,以保障自身安全建设的快速迭代,否则移动安全的实现落不了地,实施的时候要与资金、运营能力相匹配;
2.不要一蹴而就,从局部突破:先依据组织各业务部门的安全诉求分级别,不能一概而论,安全要求高的业务部门很少,这样做一是减少成本的投入,二是降低推广难度。三是考虑基层员工的体验 ,从安全意识浓的部门先入手,先从最容易的教育好,以点及面;
3.评估反馈是关键:要有相应的评估机制把不好的功能和厂家淘汰出去,并对业务做分析。
以上,仅代表我的个人观点,希望对于在读的企业信息安全负责人有所帮助,如您有不同的看法,期望留言分享,感激不尽!
gartner信息安全成熟度模型等级释义
等级1:初始 - 企业管理层意识到信息安全性薄弱,信息安全风险高。在大多数情况下,没有正式的信息安全计划,信息安全活动是临时性的,通常以it为重点。
等级2:发展 - 具有与ciso类似的非正式责任的个人正在努力制定计划计划和政策。不同的利益相关者开始就信息安全问题进行非正式沟通。
等级3:定义 - 制定了政策和规则,并建立了一些信息安全角色和职责; 然而,问责制或执法很少。信息安全工作仍以it为主,企业安全意识仍然有限。
级别4:管理 - 现在信息安全角色和职责已经明确规定,企业具有由ciso领导,业务部门领导共同参与的信息安全委员会。企业正在从以it为中心的方式转向信息安全;,但是,业务领导尚未接受对风险的明确责任。
等级5:优化 – 业务领导已明确接受与其使用信息和技术有关的风险,并对安全故障和政策违规负全部责任。持续的自我改进实践已经在多个领域实施,并建立奖励机制,以提高组织的安全意识。