2.制定一个有效的移动安全政策
缺少一个有效的移动安全政策是引起许多失败的安全努力的根源。这个政策必须是以风险为基础的,涵盖移动设备上所有的已知的风险,包括机构配发的和个人拥有的移动设备,以及包括正常的员工和临时合同工在内的所有的用户群的移动设备。
政策的制定过程应该确定哪些应用程序应该提供给哪一个移动用户群或者根据什么类型的设备提供。典型的移动应用程序包括电子邮件、销售队伍自动化、现场服务也能够用程序、派遣和扩展的CRM等。如果安全地部署和管理,这些应用程序能够推动生产率和销售收入的增长。
一个有效的安全政策需要明确地把遵守法规的要求转变为机构的风险管理流程以及防止数据丢失或被攻破的程序。有效的政策还需要明确说明用于对于设备设置、使用、数据备份和保护等方面的责任。存储在移动设备上的信息应该仅限于在移动办公中必须使用的信息。
此外,这些政策必须是能够通过积极的IT监视和软件工具强制执行的。机构必须定期评估这些政策,考虑与业务环境变化有关的任何新的威胁。
