当涉及到移动设备安全的时候，企业在保护终端设备方面比在网络方面的投入要高很多。移动设备网络安全的工具已经有了，但是很多公司都不在这方面投资。所需要是对终端设备和网络安全两方面的关注。在制定安全策略之前，CIO需要在第一时间询问为什么公司要想移动访问转移。马萨诸塞州的IT策略咨询公司J. Gold Associates LLC的总裁和首席分析师Jack Gold解释了什么要先制定策略，并建议应该遵守哪些移动安全策略。

　　SearchCIO.com:：大部分且都配置了虚拟专用网，并且了解移动设备上的VPN客户端的需求。他们在移动安全策略上会不考虑什么呢？

　　Jack Gold：在制定安全策略前，CIO应该这样问：“让大家在移动设备上工作有什么好处？”令人震惊的是很多公司都不考虑这些，因为他们收到的是终端用户想要保持在线的压力。

　　公司中员工所作的每一件事都有成本。用户看不到这一点，但是这是事实。购买VPN客户段、安装、让服务台解决相关问题都有成本。问题是，大部分公司都不会策略性地看待这件事情。如果你不制定策略规划，你怎么知道移动到哪儿了？在哪儿投资，终端用户需要什么服务？

　　当，像你所说的，机构是被迫满足用户需求的时候，CIO如何让机构停止移动策略，并对此进行反思?

　　Gold：IT团队的争议是“谁想用移动设备做什么就能做什么的可笑行为占用了公司大量的资本，我们承担不起。”当CEO问为什么需要这些钱的时候，你说“我不知道。正因为如此，我们才要停下来，确定资金去向。”

　　在设置移动安全策略的时候，确定信息用户或业务单元应不应该有权访问的难度有多大？

　　Gold：制定策略并确定这一点并不难。难的是执行。我可以决定你是第10级或更高，你可以访问这些信息；如果你是10级以下的，你得到的是其它信息。这在活动目录（Active Directory）或Exchange中的执行相当简单。有些在线工具就可以做到，但是很少有公司使用。

　　能举些这些工具的例子吗？

　　Gold：移动设备管理有信息安全制定有新方法。有很多供应商，利如MobileIron、 AirWatch,、Zenprise和BoxTon等都可以制定策略。（RIM的）黑莓在几年前都已经包括到BES（黑莓企业服务器）中了。所以，很多（其它厂商）都在复制BES的功能。

　　对那些在用户需求和企业安全需求之间寻求平衡的CIO们，你有什么建议？

　　Gold：我推荐最多的是做一次风险审计：你的风险是什么？你能够应对这些风险的哪一个级别？然后在相应地行动。还要记住不能在公司的所有人中采用通用的访问方式。