根據《經濟學人》顯示，到2015年年底，全球范圍內使用的智能手機和平板電腦數量將會超過30億臺。同時，兩位專家在2013中國互聯網安全大會(ISC)上表示，最終用戶將繼續攜帶高風險移動技術涌入企業。不過，基于以數據為中心的方法構建的移動風險管理機制將幫助企業降低這種風險。

來自普華永道會計師事務所(PwC)IT風險及安全部門的兩位代表—主管Dan Fitzgerald和經理Nikita Reva在周三圍繞移動安全的會議上分享了PwC最新的全球安全調查數據。

其中一個很關鍵的數據是：只有40%的受訪企業安全專家部署了移動安全策略。而當Fitzgerald問與會者“你們有多少人會說自己有移動安全戰略?”時，只有約20%的觀眾舉了手。

這兩位專家接著列出了成功部署移動風險管理計劃所需要的因素，其中重點是以數據為中心的方法，這種方法側重于保護移動數據，而不是設備本身。

為了說明這種方法，兩位專家描繪了這樣一個場景，一家總部在美國的企業收購了歐盟國家內的一家公司，歐盟對消費者的數據隱私有著非常高的監管水平。Fitzgerald和Reva稱，在完成這個收購之前，這家美國企業需要計劃如何管理與應對這種數據隱私監管相關的風險。

Reva強調了基于多種因素選擇和部署正確的移動設備安全控制的重要性，而利用威脅建模可以幫助企業定義這些因素。例如，移動威脅有很多形式，并以多種方式瞄準數據，不過，通過了解企業垂直行業最有可能面臨的威脅，企業可以更好地理解其可能面對的威脅，從而建立適當的移動安全控制。

Fitzgerald認為加密是符合以數據為中心理念的最好安全控制之一。為了強調這一點，他談到了非常棘手的收集和存儲個人識別信息(PII)的問題。雖然Fitzgerald表示反對收集移動設備上的PII，但他認為，企業在發送這種敏感信息時，應該確保PII加密了，并且，只有在正確的位置進行加密，就能確保這些信息的安全。

即使企業部署了有效的移動安全機制，Fitzgerald和Reva建議企業仍應保持足夠的靈活性，以根據其環境的變化來對控制進行重新評估。這種變化的例子包括近期發布的蘋果iPhone 5S，它包含的指紋技術可以用來解鎖設備和某些應用。Reva表示企業需要考慮他們應該如何應對這種技術帶來的潛在風險，例如企業是否應該對用戶手機上存儲的生物識別數據承擔責任。

一些擁有大筆安全預算的企業可能會投錢來解決移動安全問題，但根據這兩位專家表示，簡單的購買“新的光鮮的移動安全產品產品”并不會帶來理想的結果。相反地，企業應該將目光投向現有的移動控制框架，例如最終修訂版的NIST Special Publication 800-124，以及制定容易理解的可接受使用政策來獲得最終用戶的支持。

Reva強調：“購買最好的技術并不一定能帶來最好的結果。”

與會者的討論

在會議的最后，Fitzgerald和Reva邀請與會者分享他們部署移動安全控制和評估移動設備管理(MDM)產品的想法和經驗。結果會議上出現了漫無目標的談話，他們都在強調移動安全需要更標準化的方法。

很多與會者提到他們部署了來自Good Technology公司的MDM產品，其中一名與會者稱其公司將該產品作為可接受使用政策的一部分，這樣移動設備可以被清除，而不需要擔憂最終用戶。另一名與會者指出，她的公司使用Good Technology產品來管理個人設備約一年之久，但隨后用戶的反對意見讓他們轉而使用來自供應商AirWatch的MDM產品。

還有一名與會者稱其需要保護全球范圍內約7000臺設備，他們也在使用AirWatch產品來管理這些設備，但從他們跨越國界使用MDM技術的經驗來看，當部署這種產品時，你將需要考慮法律問題。

她表示：“你需要與你的法律團隊以及這些國家合作，弄清楚你可以對這些設備做些什么。”從這一點來看，俄羅斯和韓國是特別棘手的國家。

在會議結束后接受采訪時，Reva認同與會者對各種法規制度的關注，特別是圍繞數據存儲。他表示，數據分類以及安全控制可以作為這些問題的答案。

而對于Fitzgerald而言，與觀眾的討論說明了為什么企業在處理移動設備風險管理時，最好已經部署了“成熟的安全功能”。雖然這兩位專家提到部署安全措施可以作為現有安全方案的催化劑，但他表示如果企業還沒有部署安全功能的話，可能會遇到麻煩。

“我們在這里有點白費唇舌，”Fitzgerald談到觀眾時表示，并補充說，“我有一個客戶，部署著不太成熟的安全機制，而其CEO稱，‘我要攜帶我想要的任何設備。’”