信息的便攜性�、可進(jìn)入性以及在國際上�、企業(yè)間��、組織間的流動性是全球協(xié)作的�、相互聯(lián)系的商業(yè)世界的重要組成部分。因此�����,保護(hù)企業(yè)信息安全日益凸顯其重要性���。
2008年10月30日�,普華永道發(fā)布了第六次年度全球信息安全狀況調(diào)查結(jié)果��,這項調(diào)查由普華永道與CIO雜志��、CSO雜志在全世界范圍內(nèi)開展����,是同類調(diào)查中規(guī)模最大的。超過119個國家����,來自各個行業(yè)的7000位信息安全管理人員就保護(hù)公司信息資產(chǎn)的現(xiàn)狀、面臨的挑戰(zhàn)、存在的隱患等方面接受了調(diào)查�。調(diào)查結(jié)果對于分析2008年全球用戶面臨的安全威脅以及未來該如何防范����,具有很重要的啟示意義。
一��、 2008全球用戶面臨的主要安全難題����。
2008年,全球用戶面臨的主要安全難題主要體現(xiàn)在以下三個方面�。
1. 安全技術(shù)投入增加,但價值提升不明顯
2008年��,全球很多用戶有了專門負(fù)責(zé)信息安全的領(lǐng)導(dǎo)����,并有了專門的信息安全計劃,但哪些是投資的重點領(lǐng)域呢����?答案是技術(shù)。2008年�,全球來自不同行業(yè)、國家和地區(qū)的用戶在信息安全技術(shù)方面的投入都有兩位數(shù)的增長,這些投入覆蓋到從預(yù)防到檢測的每一個領(lǐng)域���。圖1指出了全球用戶在數(shù)據(jù)加密技術(shù)上的投入增長情況���。
但是,并不是所有投入都與企業(yè)戰(zhàn)略發(fā)展方向相一致����。2008年,38%的CISO(首席信息安全官)認(rèn)為企業(yè)安全政策與企業(yè)商業(yè)目標(biāo)相一致�,但只有22%的CISO認(rèn)為安全支出與企業(yè)商業(yè)目標(biāo)相一致,這兩個數(shù)值之間的差距說明�����,企業(yè)的領(lǐng)導(dǎo)團(tuán)隊需對安全究竟能為企業(yè)業(yè)務(wù)帶來哪些益處達(dá)成一致�����。否則�,執(zhí)行上的偏差將會有損企業(yè)信息安全技術(shù)投入的價值。
2. 對風(fēng)險事件的理解不深
信息安全發(fā)展的道路并非一帆風(fēng)順�����。盡管企業(yè)的信息安全成熟度顯著提高,但仍然有很多人“不知道什么是他們應(yīng)該知道的事情”�����。超過30%的人不能回答有關(guān)他們公司關(guān)鍵信息資產(chǎn)風(fēng)險的基本問題����。
同時����,企業(yè)對于實際安全事件的一些很重要的細(xì)節(jié)也未能全面掌握。原因之一是���,在過去一年對技術(shù)的投入過于集中���,而對影響重要安全效益的其他因素,比如與現(xiàn)有技術(shù)相匹配的關(guān)鍵安全管理流程和操作人員這兩方面����,并未進(jìn)行同等的投入。
3. 沒有完全找對信息安全的切入點
雖然業(yè)務(wù)運(yùn)作與安全的優(yōu)先等級在各個國家����、企業(yè)不盡相同,但用戶的反饋表示,他們并沒有完全找對信息安全的切入點���。我們認(rèn)為���,保護(hù)敏感信息安全的最清晰及最有效的機(jī)會集中在如下五方面:
(1)提高隱私保護(hù); (2)強(qiáng)化對系統(tǒng)和信息訪問權(quán)限的設(shè)置; (3)加強(qiáng)對資料來源、業(yè)務(wù)伙伴或其他合作網(wǎng)絡(luò)的安全保護(hù); (4)合理運(yùn)用人員與技術(shù)��,充分利用資料遺失防護(hù)技術(shù)(Data Loss Prevention); (5)用風(fēng)險導(dǎo)向加強(qiáng)相關(guān)的法規(guī)及標(biāo)準(zhǔn)的合規(guī)性管理�����,包括從薩班斯·奧克斯利法案���、歐盟數(shù)據(jù)保護(hù)指令到全球支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)等�����。
二����、2008中國技術(shù)投入超前��,但戰(zhàn)略滯后�����。
具體到各個區(qū)域,亞洲公司的發(fā)展令人印象深刻�,在加強(qiáng)信息安全方面已經(jīng)取得了顯著的成果。亞洲公司在建立信息安全實踐中已與北美公司處于同一水平���,在某些方面甚至有所超越����。比如�,71%的亞洲企業(yè)“每年至少進(jìn)行一次企業(yè)風(fēng)險評估”��,而在北美�,只有59%的企業(yè)這樣做; 63%的亞洲企業(yè)雇用了高級信息安全管理人員,而北美則僅有52%的企業(yè)聘請了CISO或CSO�����。
中國在改善信息安全方面付出了巨大的努力���。如圖2所示��。
但是�,中國公司在人員管理及流程管理等領(lǐng)域則處于中等水平,從信息安全戰(zhàn)略制定和管理角度看����,中國仍顯滯后。我們以全球的平均水平為基礎(chǔ)�,總結(jié)中國的信息安全管理人員應(yīng)該特別注意的八個方面:
1. 在中國,44%的信息安全事件與數(shù)據(jù)失竊有關(guān)�,而全球的平均水平是16%。
2. 信息安全事件在中國造成的經(jīng)濟(jì)損失平均約為98.3萬美元�����,遠(yuǎn)高于亞洲平均值74.4萬美元和印度平均值的30.9萬美元�。
3. 僅有53%的中國用戶對數(shù)據(jù)傳輸進(jìn)行加密,而全球的平均水平是62%�����。
4. 在中國香港地區(qū)���,僅有17%的用戶要求他們的員工完成保密制度的培訓(xùn)��,而全球的平均水平是41%�����。
5. 僅有44%的中國用戶實施了集中的信息安全管理流程���,全球的平均水平是51%�����。
6. 在中國���,49%的用戶表示中國信息安全事件涉及公司雇員。
7. 僅有34%的受訪者為部署信息技術(shù)架構(gòu)建立了標(biāo)準(zhǔn)和流程(全球平均值是51%)�。
8. 僅有33%的受訪者建立了業(yè)務(wù)連續(xù)性計劃或災(zāi)難恢復(fù)計劃,遠(yuǎn)低于全球平均水平的55%�����。
中國企業(yè)已經(jīng)在改善信息安全機(jī)制方面取得了明顯進(jìn)步�����,應(yīng)該以此為契機(jī)����,緊密結(jié)合正確的安全策略����、人員安排和有效的管理流程�,使現(xiàn)有的信息安全技術(shù)為企業(yè)提供最大的效益���。
特別需要強(qiáng)調(diào)的是: 許多中國人不清楚有關(guān)信息安全的基本信息�,這成為2008年最主要的安全隱患���。超過30%的用戶不能回答關(guān)于公司最敏感信息風(fēng)險的基本問題; 35%的人不知道公司發(fā)生了多少次安全事件; 44% 的人不知道發(fā)生的安全事件屬于哪種類型���。
中國的用戶在回答“不知道什么是他們應(yīng)該知道的事情”這個問題上,相對于北美和歐洲顯示出一個較低的比例����。然而,當(dāng)被問到過去12個月中實際的安全事件數(shù)量�����、類型以及由此產(chǎn)生的財務(wù)損失時�,卻顯示出相對高得多的數(shù)字。平均起來����,每個中國用戶匯報了285例安全事件�,而全球平均是28例���,亞洲平均是45例��。
2008年的調(diào)查數(shù)據(jù)清晰地表明��,信息安全和數(shù)據(jù)管理不僅僅是制定一個安全治理框架和投資技術(shù)這么簡單�,而是需要三個關(guān)鍵要素—人員�、流程和技術(shù)的緊密結(jié)合才能發(fā)揮效應(yīng)。
