移动办公风险因素分析

11.3　移动办公风险因素分析

在风险识别的过程中，可以采用核对表，工作分解结构法以及头脑风暴法。在收集资料，估计项目风险形势后，最终识别出需要应对的风险。移动办公项目的主要风险可分为四大类:技术风险、经济风险、管理风险、其他风险。

11.3.1　技术风险

技术风险是最终并且可能是最重要的移动技术创新原动力。在一项移动化的业务中，敏感信息在安全的企业前提下进行处理和储存。并且随着技术的发展，保护敏感信息的任务也在发展。技术风险在支持移动员工中必须处于最高的优先级，没有正确的策略、培训和执行，无疑就会引发安全风险。移动员工需要注意技术风险问题，并了解如何使数据和设备保持安全。

一项移动安全策略应该提供安全的数据转换平台以及该平台上的层级应用程序和其他功能。它应该考虑通过各种网络和空间所传输数据的技术风险。而且最重要的是，它应该以正确的信息处理过程来培训移动员工。

克服技术风险挑战的方法大部分都能在技术中找到:通过远程锁定消息的设备技术风险、通过虚拟专用网络的连接技术风险、以及通过加密和密码保护的数据保护，是安全策略中的所有选择。这一部分将讨论以下技术风险问题:

(1)设备风险

我们中的很多人都有过这样的经历:在餐馆或出租车中意外丢失了手机或个人数字助理。有时我们足够幸运能够将它重新找回，但通常不会出现这种情况。在移动设备属于公司的前提下，它们必须得到保护。丢失、被盗或被病毒危害的设备可能会产生破坏性的结果，企业间谍活动是一个现实而重大的风险。

在企业，我们使用锁定技术在接收到预定义的文本消息时放弃不能用的移动设备。这个系统在这个领域已经证明了自己。例如，当一个企业经理，在乘坐地铁时发现自己的智能手机被盗，于是他马上联系帮助台，此时锁定代码就被发送到了手机，使其不可使用。随后手机在下一个地铁站外的垃圾箱中被找到了。使用这样的技术风险程序可以减小设备技术风险。

未批准的移动设备

员工经常会忍不住拿出自己的移动设备，那是通常会与企业IT结构和政策相冲突的私人设备，如果他们拥有管理权限(如同很多知识型员工和便携式设备那样)，就可能使用识别自带的同步软件将设备连接到企业的计算机上。但那时，他们可以很容易在其私人设备上保存可疑的企业敏感信息。如果企业没有准备好设定和执行移动设备政策，与未批准的设备相关的代价和风险就可能会迅速失控。

为了保护员工和企业信息，一项移动设备政策应该包括如下对于私人设备的防范措施:

(1)如果员工要使用私人移动设备访问企业应用程序或数据，他们必须联系IT部门获得批准。这种实践也使IT部门可以建立一个全公司范围内正在使用的设备清单。

(2)员工必须经过与使用私人设备相关的风险教育。移动设备用户必须理解以下内容:

◇在这些设备上的数据几乎是从不进行加密的——丢失这些数据可能意味着严重的安全漏洞;

◇很少进行备份，数据的丢失可能是灾难性的;

◇帮助台支持通常不能用于这些移动设备。

(2)连接风险

像传统的虚拟专用网络那样，移动虚拟专用网络利用互联网连接来提供加密和身份验证，以解决开放互联网上缺乏技术风险的问题。移动员工可以使用基于IP的连接(例如无线局域网或GPRS)，建立从其手持移动设备到一个IPSec网关的IPSec虚拟专用网络信道。虚拟专用网络信道使移动员工可以安全地连接到企业网络并访问内部信息和应用程序。

(3)应用程序风险

移动员工使用的应用程序也会造成技术风险。企业必须在向移动员工提供有用的和设计优良的应用程序的同时确保技术风险、保持信任、并保护移动员工。

创建一个分层的访问权限模型(对于不重要的应用程序放松限制，对机密信息和应用程序更加严格地加以限制)能满足各个方面的技术风险需求。它确保了移动员工可以在身份验证程序和访问方法类型的基础上使用应用程序和信息。

例如，以下都允许不同程度地访问企业应用程序和信息:

◇到企业身份验证服务器的用户身份验证;

◇借助安全套接层(SSL)或虚拟专用网络建立的从移动设备到企业系统的加密连接;

◇满足要求的移动设备，这些要求包括安装和更新的防病毒软件、虚拟专用网络客户端、启用SSL的浏览器、企业应用程序、正确的配置以及其他技术风险标准。

此外，平衡技术风险与易于使用就变得很有必要了。如果技术风险设置太繁琐，用户就可能意识不到潜在的业务利益。同时，如果政策太松散，企业就会面临重大的安全风险。例如，诺基亚引入新的Communicator时，内置移动电子邮件客户端的使用率很低。人们看起来更喜欢基于文本消息的电子邮件服务，即使其电子邮件功能很有限也是如此。

当用户被问及为何难以转换到具有更好功能的应用程序时，他们都会指向公司的安全政策。它需要很复杂的身份验证，因此用户感觉很麻烦(比如在有些公司需要使用SecureID卡的单独身份验证)且费时(每次数据连接断开时用户都必须重新进行身份验证)。相反，当企业将发送电子邮件技术引入内部团体时，选择其他电子邮件的使用率几乎下降为零。为什么会这样?原因就在于用户认为其身份验证方法安全且更易于使用。

最后，所有的安全特性都应该作为一个整体来考虑:加密、远程数据擦除、设备身份验证、设备政策执行等等。这些特性应该一并加以利用，没有哪种特性可以在没有其他特性的情况下能提供所需的完整保护。

11.3.2　经济风险

经济风险包括一般包括利率、通货膨胀、汇率和客户支付能力风险等。经济风险一般不可避免，应进行定性与定量相结合的分析研究。

因合同签订而产生的风险也是经济风险的一种。项目合同是特殊的、非常重要的风险，它包含着多种难以界定的变量因素，这些因素都能构成项目的风险。

11.3.3　管理风险

(1)人员沟通

人员间的相互交流与合作是移动通信工程项目中的一个重要问题。首先，项目内部员工之间充分交流，保证信息在项目范围内共享;其次，项目人员还要和客户(移动办公系统的投资人)进行有效沟通，了解详细需求，帮助客户解决网络中存在的问题，争取客户在各个方面上的配合和理解。最后，我们还需要与分包商和供应商协调，互相配合，共同把项目完成好。如果项目人员没有良好的沟通能力，人员之间不能有效沟通，会严重影响工作效率和与客户、分包商、供应商的关系，间接影响到项目的进度、质量和费用。

(2)设备供应

公司的商务采购与厂家是产生此风险的原因。由于网络中的一些设备需要外购，如果不事先做好计划，设备不能及时到货，会严重地影响工程的进度。

(3)项目人力资源估计不足

主要指企业对其储备的移动办公系统开发、应用及管理等方面的人才的估计情况。

11.3.4　其他风险

其他风险一般包括法律与政策风险以及业主的有关决策风险。