移动劳动力:生产力,但易受数据妥协的影响

移动劳动力企业涉及数据妥协时的最大问题不仅仅是脆弱的技术,这就是员工如何使用技术。

数字转型,移动劳动力和移动计划的血统(拜托托管和非托管的,应对等,创建了一个环境,这些环境比他们使用的设备和应用程序更多的选择。

因为个人越来越依赖 移动设备,个人和企业数据的数量这些设备访问量增加了指数,将移动设备转换为有价值的目标。员工使用他们的公司凭据登录企业应用,查看敏感电子邮件和PDF。员工正在选择自己的应用程序,这些应用程序不会被IT审核,以跨其无法管理的网络访问敏感的企业数据。采用流动性使传统的周边过时。

安全团队在发送或存储数据的位置较小,因为没有传统的周边,它们在手机上没有同样的安全性和控制,就像在PC上一样。这尤其是员工进一步拥抱移动性。

在这个新的流动性的新环境中,企业暴露于新的风险,因为它与企业数据泄漏和监管合规性有关。例如,在受望保护的企业移动设备中,从Q4 FY16到Q1 FY17,员工设备上超过30%的应用程序访问了位置数据。此外,由于移动设备的独特消费者为中心的用户界面,员工更有可能点击社会设计的网络钓鱼电子邮件,短信或其他消息应用程序中的链接。

以下是典型移动行为如何导致企业数据妥协的三个示例。

使用泄漏数据的应用程序

大量的移动应用程序使用预先构建的开源库。并且没有从头开始编码。这意味着它们通常是不同的API和服务的捣碎。这些应用程序并不是恶意,但仍然应该对企业的高度关注。例如,访问员工个人身份信息(PII)的应用可能不会被分类为恶意软件,但可以将PII从设备发送到不安全的位置,或者可能无法正确地保护运输中的数据,为企业呈现合规性挑战。事实上,观点发现,30%的应用程序在企业IOS设备上访问联系人。

移动生产力应用程序通常需要访问设备组件或数据的功能。例如,一个电话会议应用程序将需要访问麦克风。相反,一些应用程序积极寻求访问可能不需要执行其功能的数据。

无论意图,对于企业来了解数据应用程序都在访问和发送设备,以及如何导致企业数据泄露的方式。观光考虑可能有害的六种类型的应用行为是:

  • 访问敏感数据
  • 数据exfiltration.
  • 使用云服务
  • 数据主权违规行为
  • 不安全的数据处理
  • 漏洞。

连接到不安全的Wi-Fi

为了节省数据,确保快速的网页速度,并在旅行时访问互联网,员工经常连接到公共和私人Wi-Fi网络。无论是在当地的咖啡厅,一个主要城市的街道,还是在机场, 公共Wi-Fi 是员工在去上班的主食。

当员工连接到Wi-Fi时,许多人坦率地不知道威胁,并从事可能将企业数据有风险的行为。它们接受权限,下载应用程序,并使用根证书颁发机构(CAS)安装配置配置文件。

员工越频繁地连接到公共Wi-Fi,对企业数据的风险越大。旅行员工可能会利用公共Wi-Fi,并连接到错误配置的路由器,未知的俘虏门户或解密内容过滤的流量的网络。即使员工注意到他们信任的网络,设备自动连接到他们熟悉的网络,这使得不容易欺骗网络和SIPHON关闭数据。

中间攻击令人惊讶地发生在移动设备上,并且非常复杂。在企业设备监视保护中,1000人遇到了一个人在中间攻击,糟糕的演员正在积极尝试解密沟通。

获得PHISHISH更有可能

根据Phishme最近的一份报告,九十一度百分比的网络攻击邮件从网络钓鱼电子邮件开始。除此之外,远景发现,我们个人网络中的10个设备中有1个在过去一年中访问了一个网络钓鱼URL。

移动设备具有简化的消费者为中心的用户界面,员工往往更有可能被淘汰,例如,悬停在缩短的URL上以查看完整地址,无法在移动设备上运行。并且,移动浏览器通过在用户滚动并限制屏幕宽度的宽度时,通过隐藏地址栏并限制地址栏中显示的字符数,掩盖地址栏来掩盖网站URL。事实上,根据IBM的一项研究,用户在移动网络钓鱼页面上进入移动网络钓鱼页面的凭据的可能性是三倍的可能性。

在移动设备上,这些攻击通常通过针对个人和企业账户的流行社交和通信应用程序采用SMS消息,电子邮件和邮件的形式。手机上的网络钓鱼也比PC上更有效,因为交通通常不会流过包含网络钓鱼防御的传统公司周边。更不用说,安全团队对目标个人账户的网络钓鱼攻击几乎没有知名度或保护,因为这将是违反员工隐私。

安全的移动性从可见性开始

这些本能的方式,员工使用他们的设备不应该是CisoS转向使移动性的原因。事实上,移动设备的固有简单性,可提供实际生产率的收益和员工满意度/福利。员工可以实现更好的工作寿命平衡,从任何地方访问工作,并使用他们单独找到特别有用的工具。

安全意识培训 是一项关键的工具,以确保员工了解他们面临的较大风险。这些类型的意识计划可以是一种成本效益的缓解不安全实践形式,通常由包括萨班斯·奥克斯(Sarbanes Oxley)的法规所要求的 ISO 27001., 和 PCI DSS.。但是,员工真正知道数据如何由其设备上的应用程序处理。

即使在培训方面,员工仍然存在风险,因为它们通常使用他们的个人移动设备进行工作,并且这些设备更有可能以与组织的安全策略冲突的方式配置。手机是一个特别高的风险向量,因为这些设备是个人启用的并且具有以消费者为中心的用户界面。除了培训之外,还必须拥有一个全面的移动安全解决方案,使错误发生在错误时。

分享这个