實施信息安全管理轉型刻不容緩

　2013年7月23日, 北京 — 安永第十五次全球信息安全年度調查顯示，盡管企業(yè)正在采取措施加強信息管理，但是絕大多數(shù)還跟不上日新月異的風險環(huán)境。僅靠短期的漸進式變革和修補式解決方案是不夠的，企業(yè)縮小差距的唯一辦法就是從根本上實現(xiàn)信息安全功能的轉型。

　　安永大中華區(qū)科技風險與審計咨詢服務合伙人阮祺康表示，“實施信息安全轉型旨在縮小脆弱性現(xiàn)狀和安全性目標之間日趨擴大的差距，這不依靠復雜的技術解決方案，而是需要領導力、承諾、能力和行動的勇氣，不是在一兩年之后而是當下。”

　　調查報告顯示，企業(yè)在信息安全所面臨的挑戰(zhàn)不可小覷，主要的挑戰(zhàn)如下：

　　u 外部威脅有增無減，令企業(yè)深感擔憂: 77%受訪者表示其所在企業(yè)面臨的外部威脅正不斷增加。

　　u 安全防范措施未能同步追隨云計算快速應用的步伐:從2010年至2012年，云計算的應用增長已翻倍 ，但仍有38%的受訪者表示所在企業(yè)沒有采取任何措施，緩解云計算所帶來的安全風險。

　　u 移動應用大幅增長，但安全防護技術部署明顯滯后: 44%的受訪企業(yè)允許員工在工作中使用企業(yè)或者個人的平板電腦，但其中只有40%的企業(yè)對移動設備采用了加密技術。

　　u 社交媒介廣泛普及，成為企業(yè)安全隱患：31%的受訪者表示其企業(yè)并未采取相應的機制來處理社交媒介的安全風險。

　　u 安全預算和能力匱乏，差距持續(xù)擴大：62%的受訪問企業(yè)表示預算受限，是信息安全工作的主要障礙之一。此外，44%的企業(yè)表示，安全管理和執(zhí)行人員的能力偏低，嚴重阻礙了安全目標的實現(xiàn)。

　　該報告的結論指出：“企業(yè)只有從根本上轉變信息安全管理策略，才能有效應對現(xiàn)有安全威脅，及由新興技術帶來的新的安全風險 。”

　　不斷升級的外部威脅

　　隨著信息安全威脅愈演愈烈、信息安全事故頻發(fā)，企業(yè)也意識到所面臨的風險環(huán)境正不斷地改變。盡管企業(yè)做出種種改進，仍然跟不上風險變化的速度。2009年，有41%的受訪者注意到外部攻擊正不斷增加;到了2011年，這一數(shù)字升至72%;而在2012年，這個比例增至77%。不斷加劇的外部攻擊包括黑客行為、間諜活動、有組織的犯罪、以及恐怖主義等。同時，企業(yè)也注意到內部安全方面的挑戰(zhàn)不斷增加。該報告顯示，近一半的受訪者(46%)表示已關注到這一點，他們認為員工信息安全意識薄弱是成功實施信息安全項目的最大挑戰(zhàn)。

　　勢不可擋的云服務的應用

　　新技術在為企業(yè)帶來無限商機的同時，也引發(fā)了一些新的潛在威脅。云計算是業(yè)務模式創(chuàng)新的主要驅動因素之一，在過去兩年中，應用云計算的企業(yè)數(shù)量已經(jīng)翻倍。然而，仍有38%的受訪者表示其所在的企業(yè)沒有采取任何措施應對風險;例如諸多企業(yè)并未對云計算服務提供商的合同管理開展相對更嚴格的監(jiān)管流程，以及采用加密技術。

　　方興未艾的移動應用

　　在移動互聯(lián)網(wǎng)發(fā)展趨勢下，企業(yè)員工購買并使用智能手機與服務的情況將越來越多。利用個人設備接入企業(yè)應用，有助于企業(yè)降低整體的設備采購成本，并有助于提高員工的工作效率，且能激發(fā)員工的創(chuàng)造力。然而，風險總是與機遇并存。企業(yè)亟需找到引導員工正確使用工作設備與個人設備的解決方案，為此也必須深入考慮其中的信息安全問題。

　　安永大中華區(qū)信息科技風險與審計咨詢服務總監(jiān)林育民表示，“在2011年的調查中，BYOD(Bring Your Own Device)比率僅為20%;而今年的調查結果顯示，有44%的企業(yè)允許員工在工作中使用企業(yè)或者個人的平板電腦。這導致企業(yè)內外信息交互量激增，也令相應的安全管控變得更加困難。”然而，在快速發(fā)展的移動應用環(huán)境中，對應的安全技術與軟件的使用率仍然較低，調查中發(fā)現(xiàn)，只有40%的企業(yè)對其移動設備采用了加密技術。

　　日漸盛行的社交媒介

　　社交媒體在創(chuàng)造眾多機遇的同時，也帶來許多新的挑戰(zhàn);通過社交媒體，企業(yè)能迅速建立品牌與開拓市場，同樣也可以快速地對企業(yè)形象造成重大的負面沖擊。此外，隨之而來的挑戰(zhàn)，還包括數(shù)據(jù)安全、隱私隱患、監(jiān)管與合規(guī)要求，以及對員工生產(chǎn)力的影響。今年的調查結果顯示，約31%的受訪者表示其所在的企業(yè)，沒有設計相應的機制來應對社交媒介使用所帶來的風險;這不但造成企業(yè)整體風險的上升，更嚴重沖擊企業(yè)未來全面利用社交媒體渠道行銷的能力。

　　亟須提升的信息安全資源與能力

　　從股東與投資人角度來看，信息安全應該成為他們關注的重點之一，安全管理應得到充分的支持;然而，信息安全的資源與能力問題，依舊困擾著信息安全工作。在今年的調查報告中顯示， 62%的受訪問企業(yè)表示預算受限，是信息安全工作的主要障礙之一;此外，44%的企業(yè)表示，安全管理和執(zhí)行人員的能力偏低，嚴重阻礙了安全目標的實現(xiàn)。

　　林育民說，“對于有些企業(yè)來說，安全專業(yè)人士、安全成熟度或安全預算也許在決策過程中起到一定作用;然而，這些修補式或簡單疊加的應付方案，看似滿足了短期的信息安全需求，但也掩蓋了潛在的巨大安全隱患 。”

　　此次調查也顯示，目前企業(yè)僅采用治標式和修補式的解決方案提高信息安全能力，卻忽略了對信息安全威脅的整體與全面的應對;僅約8%的受訪者表示在過去兩年中，企業(yè)發(fā)生的信息安全事故的數(shù)量有所減少， 因此建立一個強健的安全體系成為企業(yè)的當務之急。然而，約有63%的受訪者稱其所在企業(yè)尚未建立信息安全整體架構體系，只有約16%的受訪者認為其所在企業(yè)的信息安全職能完全符合業(yè)務需求。

　　展望未來，阮祺康先生總結道，“盡管我們已經(jīng)發(fā)現(xiàn)信息安全現(xiàn)狀與企業(yè)的目標之間存在著不小差距，但是隨著新的政府監(jiān)管要求的出現(xiàn)與安全威脅的不斷變化，此差距還會進一步擴大。 如果企業(yè)不立刻采取措施建立全面的信息安全體系，那么現(xiàn)有的問題加上未知的隱患，只會讓企業(yè)面臨的信息安全環(huán)境更加惡化。應對這樣的形勢，縮小差距的唯一途徑只有對信息安全進行結構性的轉變。”

　　阮祺康還表示，“實現(xiàn)這樣的調整并不一定需要復雜的技術解決方案，它需要的是領導力及承諾，再加上能力與行動的決心。不要總說在未來如何做，關鍵是當下的創(chuàng)新實踐。安永建議企業(yè)應該采取將信息安全戰(zhàn)略與企業(yè)戰(zhàn)略相聯(lián)系，重新設計架構，持續(xù)實施轉型，深入了解新技術的風險與機遇等重要舉措。唯有如此，企業(yè)才能夠根本性地轉變其信息安全部門運作的方式，更有效地縮小不斷擴大的信息安全風險差距。”

相關文章：

淺析ERP系統(tǒng)環(huán)境下的企業(yè)信息安全管理 ISO27001信息安全管理體系與等級保護管理要求 從信息安全管理角度探討網(wǎng)絡隔離技術 ISO27001系列標準介紹