审计从来都不是一件有趣的事——无论你是在谈论税务审计、能源审计还是行业合规审计。但它们是必要的。当涉及到移动设备管理(MDM)部署时,它们尤为重要,因为移动设备是可能使您的公司暴露于安全危险和企业数据泄露风险的端点。
下面是在规划MDM审计时需要考虑的内容以及应该包含的内容。
审计像您的MDM环境这样广泛的东西(包括身份产品、联合云服务、MDM解决方案本身、策略和组、应用程序清单和设备本身)可能会变得非常复杂。
这意味着您的第一步是确定MDM审计应该涵盖哪些内容。
如果你对审计IT堆栈的其他方面很有信心,或者你的整个堆栈来自一个供应商——假设你是一个完全的微软商店,围绕Entra和Azure构建了一个堆栈,你已经有了审计程序——那么你可能只需要关注Intune和你的移动设备策略和配置。但是,如果您混合匹配来自多个公司的云服务,并且您的MDM解决方案来自不同的供应商,则需要查看MDM与其他所有服务的链接(可能还需要查看所有其他系统之间的链接方式)。单独审核系统不会让您全面了解它们是如何协同工作的。
如果您的公司受各种遵从性制度(例如GDPR或HIPAA)的约束,则可能会为您定义一些主题。无论哪种方式,都要设置审计的范围,以便它可以捕获系统、策略、用户组、设备类型、应用程序、用户体验,甚至是环境中使用的后端工具。
与任何审计一样,需要考虑标准程序。理想情况下,这些基本流程将遵循已经存在的其他审计程序的模式。总会有一些变化——不同的系统有不同的功能,需要测量不同的度量标准。但是,在如何捕获审计数据、处理审计数据、报告审计结果以及根据审计结果列出需要采取的纠正步骤的过程中,应该有一些连接线。MDM审计的重点显然不同于服务器或网络安全审计,但这三者都应该来自相同的基本模板。
当您考虑审计的范围及其流程时,请记录需要回答的具体问题和需要回答的数据点。如果这是您第一次进行MDM审计,那么对重要的领域进行头脑风暴,并查找MDM(和相关服务)供应商等外部资源,可以帮助您准确定义需要询问的问题。一定要仔细考虑每个想法,看看它是否真的很重要,还是只是任务蔓延。
如果您过去执行过MDM审计,那么您将需要检查它们是否捕获了相关信息,还是遗漏了一些内容。即使过去的审计进展顺利,也要记住移动环境和威胁环境变化很快。因此,自上次审计以来,您需要考虑任何重大变化(例如最近生成式人工智能的激增),并决定是否需要调整之前的范围。
如何从后勤角度进行审计也很重要。有些测试可以简单地通过检查和测试后端系统来完成,没有真正的或直接面向用户的组件。MDM审计可能需要一些实地工作(虚拟的或亲自的)来收集准确的数据。如果在审核过程中需要咨询不同的团队或员工或管理人员,或者可能受到影响,那么您需要为审核团队和受影响的任何人预先建立这一点。
下一步是确定由谁来进行审计。对于像MDM这样广泛的东西,它涉及几个不同的领域——网络访问、应用程序许可、用户和组管理、来自多个供应商的设备和采购、端点安全、用户体验、一般和特定于移动设备的策略需求等等——很难确定谁是最终的责任人。
这意味着MDM审计通常最好由代表不同涉众的团队来完成。
在某些情况下,你可能知道进入这个过程中有一些地方是有问题的。这些可能包括你一直想要更新的政策;授权用户访问资源的标准;如何管理或分组用户和设备;以及重大的更新——移动操作系统和应用程序版本,后端系统——你还没有抽出时间去做。
在全面审计发生之前处理这些已知问题可以使整个过程更容易,并缩短部门的待办事项清单。
每次审核都将根据您的需求和环境而有所不同。以下不是详尽的列表,但这些领域应该是任何MDM审计的一部分:
日志:来自MDM本身的应用程序和系统日志,以及涉及MDM与设备和其他服务交互的日志。
政策:审计MDM策略包括策略本身(它们是否适合您的环境、安全性和用户需求)以及它们是否按预期执行。由于MDM提供了丰富的策略服务配置和限制,这将是审计的主要重点领域之一,它应该在组织中的每个主要设备/用户群体中进行
设备和网络安全:一般来说,无论设备如何连接,您都需要确保在设备和网络之间传输的信息是安全的、可见的,并且功能正常连接(企业Wi-Fi,家庭或公共Wi-Fi和蜂窝)以及设备完整性/恶意软件检查。
设备和数据控件任何MDM系统的一个关键特性是能够分离工作和人员Nal应用程序,设置和内容。与此函数相关的规则应该在你的设备群和用户社区中尽可能广泛地建立和测试Nality。这可以包括静态和传输中的加密以及处理诸如远程锁定和远程擦除之类的事情的过程。
设备注册和生命周期流程。
移动操作系统和应用程序更新西文确保这些都是干净的在整个舰队和环境中保持一致。
可疑活动的监控和反应:可疑活动的定义可能会有很大的不同,预期的反应也是如此。
完成审计后,花时间筛选结果。对数据拥有多种视角也是件好事;审计不应该仅仅是一列要检查的方框。看到哪些标准已经达到或未达到是至关重要的,但为什么结果是这样的问题同样重要。如果有设备或应用程序不符合规定,你需要知道这一点,并理解为什么要纠正这些问题。你的最终报告应该包括这个背景和补救过程中的潜在挑战。
记住,审计不仅仅是看你哪里漏了。有时您会发现您的组织超出预期的领域,显示出较早期审计的改进,或者帮助您看到与整个行业相比的基线。如果某件事运行良好,你想知道为什么。它可能是你可以在整个组织中更广泛地整合的东西。
最后一个主要步骤是创建一个行动或补救计划。(如果你身处金融服务或医疗保健等受监管的行业,这一点尤为重要。)该计划的内容可能因公司而异,甚至因审计而异。
最重要的是这个计划是可行的。每个项目都应该是具体的,有指标可以让你确保它得到解决,并有一个解决的时间表。首先进行审计的主要原因是识别问题并进行重大改进。进行审计,然后把结果放在抽屉里,这只不过是审计戏剧——你只是走过场,但没有对结果采取行动。
