现在,智能移动设备与移动应用已经深入到政府、企事业单位的组织肌理之中,移动化改造也成为各组织信息化建设的优先方向。而在移动化系统的部署过程中,保障移动信息的安全与提升工作效率显然是组织最为关心的两个方面。
但是,这两者有可能同时实现么?当组织无法在移动化过程中同时兼顾安全与效率时,应该怎样抉择呢?国信灵通的市场研究专家给出了如下建议:
没有规矩,不成方圆:控制风险必须对应用规范
从某种意义上来说,组织的移动化是一种由下到上的自发过程:员工为了提升工作效率或是更便捷的处理工作,会将自己的移动设备带入到工作场景之中,由于这些移动设备在初期并没有被纳入到组织的整体防护架构之中,因此会带来严重的安全防护风险:一旦移动设备因为丢失或者被入侵导致数据泄露,将很可能使企业不得不付出巨额的修复成本。因此,组织的移动化策略在初期主要是为了控制移动设备与移动应用的安全风险。
要控制移动化的安全风险,就必须对移动设备与应用进行规范。例如规定不得在个人移动设备上运行敏感的应用,只能使用经过审批的移动应用,不允许移动设备接入组织内网等,这样固然会提高移动化的安全等级。但另一方面,过于严格或机械的安全措施却会损害员工的积极性——没有多少员工愿意在死板的规范下使用移动设备。
而且,对于安全的追求将很有可能导致移动应用灵活性的丧失——员工之所以愿意使用移动设备,主要是基于便捷性的考虑,无论在何种应用场景中均可以自由的使用。但是,一旦组织的移动化政策将这种应用场景给固化之后,移动设备将无法自由的被用于工作之中,对应的优势也将被极大的抵消。
因此,在是否要部署移动化的问题上,很多组织陷入了两难境地:对移动设备的放纵将可能带来安全风险,导致企业机密数据泄露;反之,对移动设备过于严格的管控将可能丧失移动化的优势。因此,很多政府、企事业单位在这个问题上采取了消极的态度,即不支持移动化应用,但也不反对员工利用个人设备来进行一些敏感些较低的工作。
而据Gartner最近发布的报告显示,到2017年,半数雇主将要求员工使用自己的个人设备办公,而38%的企业则有望在2016年之前停止为员工提供办公设备。
不破不立:积极地进行移动化改造
不管我们是否愿意,移动化都是一个不可阻挡的趋势,这就像二十年前的信息化大潮与十年前互联网普及浪潮一样,如果现在不提早布局,未来将有可能陷入被动之中。
大家有目共睹,在越来越多的领域,移动化的威力都已经显现:在金融行业,移动支付正在成长为主要的支付方式,很多业务的完成也仅仅需要一部手机;在快消品行业,移动设备已经成为业务流量的最大贡献者之一,很难想象一家信息化仍旧停留在桌面PC时代,自身没有移动应用的企业如何更好的理解业务逻辑,提高用户体验。
既然移动化浪潮无法避免,那么组织就应该更加积极的进行移动化改造,并寻求解决安全与效率矛盾的解决之道。
其中的一个解决思路即是国信灵通倡导的“安全沙箱机制”,将移动应用转变外部数据与内部数据隔离开的“沙箱”。沙箱具有明确的数据划分和无授权访问保护。由于每个用户有多个业务应用,每个应用沙箱也可以连接至其它应用沙箱,以便安全共享数据和策略。在这种机制中,由于组织内部数据被隔离,数据并不保存在移动设备中,即使移动设备丢失也不会影响数据的安全性。另一方面,安全沙箱并不要求员工在特定场景下才能使用移动设备,因此在最大的程度上保障了移动化的效率。
鱼翅熊掌可以兼得:寻求完整的解决方案
为了帮助政府、企事业单位解决移动化过程中安全与效率的两难抉择,国信灵通提供了涵盖移动化生命周期的移动化整体解决方案,能支持组织进行移动化规划、移动化实施、移动化运营,并通过领先的移动技术,解决移动设备丢失、数据泄露、APP安全获取等安全问题,帮助组织完整的控制数据的安全性。
而且,该解决方案将移动设备与桌面PC置于统一的管理规范下,也不会强制访问员工的个人数据。当员工的移动设备接入组织网络时,其可以在移动策略的控制下访问单位数据,而当这些移动设备接入其它网络时,便恢复为独立的移动设备,在最大程度上确保了安全性与效率的统一。
国信灵通的移动化解决方案涵盖各种应用场景下的移动化需求。例如,组织需要对那些试图访问单位数据的移动设备进行强制的安全访问,拒绝那些不符合规范的移动应用,并主动提供高质量的移动应用,这样就能够在移动化过程中尽量降低安全风险;组织还可以针对移动应用制定严格的奖惩措施,减少对于移动场景的控制,但加强事后对于违规行为的追溯,并通过技术手段保证这种追溯的有效性。
原文发布时间为:2015年04月14日
本文作者:陈广成
本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。
