實(shí)施信息安全管理轉(zhuǎn)型刻不容緩

　2013年7月23日, 北京 — 安永第十五次全球信息安全年度調(diào)查顯示，盡管企業(yè)正在采取措施加強(qiáng)信息管理，但是絕大多數(shù)還跟不上日新月異的風(fēng)險(xiǎn)環(huán)境。僅靠短期的漸進(jìn)式變革和修補(bǔ)式解決方案是不夠的，企業(yè)縮小差距的唯一辦法就是從根本上實(shí)現(xiàn)信息安全功能的轉(zhuǎn)型。

　　安永大中華區(qū)科技風(fēng)險(xiǎn)與審計(jì)咨詢(xún)服務(wù)合伙人阮祺康表示，“實(shí)施信息安全轉(zhuǎn)型旨在縮小脆弱性現(xiàn)狀和安全性目標(biāo)之間日趨擴(kuò)大的差距，這不依靠復(fù)雜的技術(shù)解決方案，而是需要領(lǐng)導(dǎo)力、承諾、能力和行動(dòng)的勇氣，不是在一兩年之后而是當(dāng)下。”

　　調(diào)查報(bào)告顯示，企業(yè)在信息安全所面臨的挑戰(zhàn)不可小覷，主要的挑戰(zhàn)如下：

　　u 外部威脅有增無(wú)減，令企業(yè)深感擔(dān)憂: 77%受訪者表示其所在企業(yè)面臨的外部威脅正不斷增加。

　　u 安全防范措施未能同步追隨云計(jì)算快速應(yīng)用的步伐:從2010年至2012年，云計(jì)算的應(yīng)用增長(zhǎng)已翻倍 ，但仍有38%的受訪者表示所在企業(yè)沒(méi)有采取任何措施，緩解云計(jì)算所帶來(lái)的安全風(fēng)險(xiǎn)。

　　u 移動(dòng)應(yīng)用大幅增長(zhǎng)，但安全防護(hù)技術(shù)部署明顯滯后: 44%的受訪企業(yè)允許員工在工作中使用企業(yè)或者個(gè)人的平板電腦，但其中只有40%的企業(yè)對(duì)移動(dòng)設(shè)備采用了加密技術(shù)。

　　u 社交媒介廣泛普及，成為企業(yè)安全隱患：31%的受訪者表示其企業(yè)并未采取相應(yīng)的機(jī)制來(lái)處理社交媒介的安全風(fēng)險(xiǎn)。

　　u 安全預(yù)算和能力匱乏，差距持續(xù)擴(kuò)大：62%的受訪問(wèn)企業(yè)表示預(yù)算受限，是信息安全工作的主要障礙之一。此外，44%的企業(yè)表示，安全管理和執(zhí)行人員的能力偏低，嚴(yán)重阻礙了安全目標(biāo)的實(shí)現(xiàn)。

　　該報(bào)告的結(jié)論指出：“企業(yè)只有從根本上轉(zhuǎn)變信息安全管理策略，才能有效應(yīng)對(duì)現(xiàn)有安全威脅，及由新興技術(shù)帶來(lái)的新的安全風(fēng)險(xiǎn) 。”

　　不斷升級(jí)的外部威脅

　　隨著信息安全威脅愈演愈烈、信息安全事故頻發(fā)，企業(yè)也意識(shí)到所面臨的風(fēng)險(xiǎn)環(huán)境正不斷地改變。盡管企業(yè)做出種種改進(jìn)，仍然跟不上風(fēng)險(xiǎn)變化的速度。2009年，有41%的受訪者注意到外部攻擊正不斷增加;到了2011年，這一數(shù)字升至72%;而在2012年，這個(gè)比例增至77%。不斷加劇的外部攻擊包括黑客行為、間諜活動(dòng)、有組織的犯罪、以及恐怖主義等。同時(shí)，企業(yè)也注意到內(nèi)部安全方面的挑戰(zhàn)不斷增加。該報(bào)告顯示，近一半的受訪者(46%)表示已關(guān)注到這一點(diǎn)，他們認(rèn)為員工信息安全意識(shí)薄弱是成功實(shí)施信息安全項(xiàng)目的最大挑戰(zhàn)。

　　勢(shì)不可擋的云服務(wù)的應(yīng)用

　　新技術(shù)在為企業(yè)帶來(lái)無(wú)限商機(jī)的同時(shí)，也引發(fā)了一些新的潛在威脅。云計(jì)算是業(yè)務(wù)模式創(chuàng)新的主要驅(qū)動(dòng)因素之一，在過(guò)去兩年中，應(yīng)用云計(jì)算的企業(yè)數(shù)量已經(jīng)翻倍。然而，仍有38%的受訪者表示其所在的企業(yè)沒(méi)有采取任何措施應(yīng)對(duì)風(fēng)險(xiǎn);例如諸多企業(yè)并未對(duì)云計(jì)算服務(wù)提供商的合同管理開(kāi)展相對(duì)更嚴(yán)格的監(jiān)管流程，以及采用加密技術(shù)。

　　方興未艾的移動(dòng)應(yīng)用

　　在移動(dòng)互聯(lián)網(wǎng)發(fā)展趨勢(shì)下，企業(yè)員工購(gòu)買(mǎi)并使用智能手機(jī)與服務(wù)的情況將越來(lái)越多。利用個(gè)人設(shè)備接入企業(yè)應(yīng)用，有助于企業(yè)降低整體的設(shè)備采購(gòu)成本，并有助于提高員工的工作效率，且能激發(fā)員工的創(chuàng)造力。然而，風(fēng)險(xiǎn)總是與機(jī)遇并存。企業(yè)亟需找到引導(dǎo)員工正確使用工作設(shè)備與個(gè)人設(shè)備的解決方案，為此也必須深入考慮其中的信息安全問(wèn)題。

　　安永大中華區(qū)信息科技風(fēng)險(xiǎn)與審計(jì)咨詢(xún)服務(wù)總監(jiān)林育民表示，“在2011年的調(diào)查中，BYOD(Bring Your Own Device)比率僅為20%;而今年的調(diào)查結(jié)果顯示，有44%的企業(yè)允許員工在工作中使用企業(yè)或者個(gè)人的平板電腦。這導(dǎo)致企業(yè)內(nèi)外信息交互量激增，也令相應(yīng)的安全管控變得更加困難。”然而，在快速發(fā)展的移動(dòng)應(yīng)用環(huán)境中，對(duì)應(yīng)的安全技術(shù)與軟件的使用率仍然較低，調(diào)查中發(fā)現(xiàn)，只有40%的企業(yè)對(duì)其移動(dòng)設(shè)備采用了加密技術(shù)。

　　日漸盛行的社交媒介

　　社交媒體在創(chuàng)造眾多機(jī)遇的同時(shí)，也帶來(lái)許多新的挑戰(zhàn);通過(guò)社交媒體，企業(yè)能迅速建立品牌與開(kāi)拓市場(chǎng)，同樣也可以快速地對(duì)企業(yè)形象造成重大的負(fù)面沖擊。此外，隨之而來(lái)的挑戰(zhàn)，還包括數(shù)據(jù)安全、隱私隱患、監(jiān)管與合規(guī)要求，以及對(duì)員工生產(chǎn)力的影響。今年的調(diào)查結(jié)果顯示，約31%的受訪者表示其所在的企業(yè)，沒(méi)有設(shè)計(jì)相應(yīng)的機(jī)制來(lái)應(yīng)對(duì)社交媒介使用所帶來(lái)的風(fēng)險(xiǎn);這不但造成企業(yè)整體風(fēng)險(xiǎn)的上升，更嚴(yán)重沖擊企業(yè)未來(lái)全面利用社交媒體渠道行銷(xiāo)的能力。

　　亟須提升的信息安全資源與能力

　　從股東與投資人角度來(lái)看，信息安全應(yīng)該成為他們關(guān)注的重點(diǎn)之一，安全管理應(yīng)得到充分的支持;然而，信息安全的資源與能力問(wèn)題，依舊困擾著信息安全工作。在今年的調(diào)查報(bào)告中顯示， 62%的受訪問(wèn)企業(yè)表示預(yù)算受限，是信息安全工作的主要障礙之一;此外，44%的企業(yè)表示，安全管理和執(zhí)行人員的能力偏低，嚴(yán)重阻礙了安全目標(biāo)的實(shí)現(xiàn)。

　　林育民說(shuō)，“對(duì)于有些企業(yè)來(lái)說(shuō)，安全專(zhuān)業(yè)人士、安全成熟度或安全預(yù)算也許在決策過(guò)程中起到一定作用;然而，這些修補(bǔ)式或簡(jiǎn)單疊加的應(yīng)付方案，看似滿足了短期的信息安全需求，但也掩蓋了潛在的巨大安全隱患 。”

　　此次調(diào)查也顯示，目前企業(yè)僅采用治標(biāo)式和修補(bǔ)式的解決方案提高信息安全能力，卻忽略了對(duì)信息安全威脅的整體與全面的應(yīng)對(duì);僅約8%的受訪者表示在過(guò)去兩年中，企業(yè)發(fā)生的信息安全事故的數(shù)量有所減少， 因此建立一個(gè)強(qiáng)健的安全體系成為企業(yè)的當(dāng)務(wù)之急。然而，約有63%的受訪者稱(chēng)其所在企業(yè)尚未建立信息安全整體架構(gòu)體系，只有約16%的受訪者認(rèn)為其所在企業(yè)的信息安全職能完全符合業(yè)務(wù)需求。

　　展望未來(lái)，阮祺康先生總結(jié)道，“盡管我們已經(jīng)發(fā)現(xiàn)信息安全現(xiàn)狀與企業(yè)的目標(biāo)之間存在著不小差距，但是隨著新的政府監(jiān)管要求的出現(xiàn)與安全威脅的不斷變化，此差距還會(huì)進(jìn)一步擴(kuò)大。 如果企業(yè)不立刻采取措施建立全面的信息安全體系，那么現(xiàn)有的問(wèn)題加上未知的隱患，只會(huì)讓企業(yè)面臨的信息安全環(huán)境更加惡化。應(yīng)對(duì)這樣的形勢(shì)，縮小差距的唯一途徑只有對(duì)信息安全進(jìn)行結(jié)構(gòu)性的轉(zhuǎn)變。”

　　阮祺康還表示，“實(shí)現(xiàn)這樣的調(diào)整并不一定需要復(fù)雜的技術(shù)解決方案，它需要的是領(lǐng)導(dǎo)力及承諾，再加上能力與行動(dòng)的決心。不要總說(shuō)在未來(lái)如何做，關(guān)鍵是當(dāng)下的創(chuàng)新實(shí)踐。安永建議企業(yè)應(yīng)該采取將信息安全戰(zhàn)略與企業(yè)戰(zhàn)略相聯(lián)系，重新設(shè)計(jì)架構(gòu)，持續(xù)實(shí)施轉(zhuǎn)型，深入了解新技術(shù)的風(fēng)險(xiǎn)與機(jī)遇等重要舉措。唯有如此，企業(yè)才能夠根本性地轉(zhuǎn)變其信息安全部門(mén)運(yùn)作的方式，更有效地縮小不斷擴(kuò)大的信息安全風(fēng)險(xiǎn)差距。”

相關(guān)文章：

淺析ERP系統(tǒng)環(huán)境下的企業(yè)信息安全管理 ISO27001信息安全管理體系與等級(jí)保護(hù)管理要求 從信息安全管理角度探討網(wǎng)絡(luò)隔離技術(shù) ISO27001系列標(biāo)準(zhǔn)介紹