IT技术与员工观念在信息安全保障中同等重要
来源:硅谷动力 更新时间:2007-08-29

 近日,为了研究无线网络技术的应用与安全在企业中所起的作用,思科公司和美国国家网络安全联盟(National Cyber Security Alliance)联袂针对全球700多位“移动办公”的员工进行了调查。调查结果显示,随着越来越多的企业和IT机构员工在办公室外实现与公司网络的连接,企业应该针对这些“移动员工”采取更多措施来保证信息安全。

  这次由独立市场调研公司InsightExpress进行的调查,涉及中、美、英、德、印、韩和新加坡这七个广泛采用无线技术的国家,共调查了700多位“移动办公”员工,旨在探求企业在通过实施移动性办公提升工作效率过程中所面临的风险。尽管这一调查揭示了员工的移动办公行为可能为企业带来日益加剧的风险,但调查结果也同时表明,在通过企业内部教育和相关解决方案来保护员工乃至整个企业的过程中,IT技术将扮演更为主动的战略性角色。

  随着无线和移动技术的日益普及,这个结果尤为值得注意。IDC称,到2009年美国的移动员工总数有望超过全国员工总数的70%。Korn/Ferry International也表示,全球81%的管理人员通过移动设备保持与公司的连接。

  “无线和移动技术已经面世并被广为采用,这是现实情况。”旨在向公众宣传在线安全的机构NCSA的执行总监Ron Teixeira表示,“该调查表明,移动性为企业带来了新的风险,而其他的互联网服务和新技术也是如此。如果企业向其员工倡导网络的安全文化,并不断为员工提供网络安全的介绍和培训,就可以更好地保证移动技术和互联网使用的安全性。”

  近四分之三(73%)的移动用户称,在移动工作时,他们通常不会意识到安全威胁,也不会为此采用最佳的处理办法。尽管有许多用户说他们“有时”能做到这一点,但28%的人承认他们“几乎没有”考虑过安全风险和采取应有的正确行为。部分移动用户甚至表示他们“从未”考虑过采用安全的最佳实践,也没有意识到安全风险是他们必备的知识。当被问及为何在信息安全方面表现不够积极时,许多移动办公的用户给出的理由是 “我赶时间”、“我忙于完成手头的工作”、“安全不是我考虑的首要问题”以及“这是IT人员的事,与我无关”。

  思科无线和移动解决方案总监Ben Gibson表示,这些“借口”从一个侧面反映出IT部门与用户沟通、向其宣传网络安全的重要性。他还说,优秀的企业信息安全文化氛围将会带来用户更加主动的安全行为。

  Gibson表示:“企业正允许更多员工在办公室外随处访问公司信息,其带来的风险不言而喻。但如果企业采用适当的安全技术和IT-用户合作模式,这也就不会成为严重的问题。为了使移动性真正能为企业带来灵活性、访问能力、响应速度、工作效率等方面的优势,就必须教育员工,防止不规范操作所造成的损失。IT应该在这方面发挥比过去更为主动的作用。”

  根据调查,移动办公的员工承认他们存在以下多种风险行为:

  接入未授权无线连接

  ·这包括“劫持”邻近的无线连接或进入未授权的公共连接,三分之一的移动用户存在这种行为。在中国,此类用户比例最高(54%)。另外,在德国(46%)和韩国(44%)也很普遍。

  最常见的理由:“我不知道我在使用谁的连接”;“我的连接不可用了”;“他们也不知道,所以没关系”;“我不想为自己的连接付费”。

  打开来源未知或可疑的电子邮件和附件

  ·大约一半(44%)接受调查的移动用户表示,他们曾打开来源未知或可疑的电子邮件和附件。在中国、印度和英国,存在这种行为的移动最终用户超过了50%。很多用户(76%)称在使用PDA和智能电话时,比使用笔记本电脑更难识别可疑电子邮件及文件,因为PDA和智能电话的屏幕小得多。

  “关键是要确保此次调查结论中的问题是能够解决的。”思科负责安全解决方案的副总裁Jeff Platon表示,“IT技术在解决无线移动用户的安全问题上至关重要,而IT还可采取教育和沟通等主动措施来增强企业安全,获得更高的投资回报。IT应成为企业的战略资产,助力业务流程转型并释放协作的力量。随着移动员工的增长,企业应对其员工进行主动的教育,使他们意识到良好的信息安全行为是企业实现IT安全和风险管理的关键因素。”

  Teixeira表示,IT能向移动员工宣传的最佳实践包括:

  ·每90天变更一次有效密码

  ·定期更新防病毒和防间谍软件程序

  ·定期为操作系统下载必要的补丁

  ·创建所有重要数据和文件的备份

  ·对重要数据进行加密

  ·为防御无线安全漏洞制订紧急响应计划

  ·将主动教育与正确技术相结合,在用户离开公司环境时,保护他们与网络、移动和无线设备的连接,并在他们再次连接网络时,使这些设备进入相同的公司环境。这包括部署一个采用虚拟专用网、设备和终端保护、入侵检测、准入控制、高效管理等的深度防御无线(和有线)安全基础设施。