全球信息安全策略：提高技術(shù)謹防“內(nèi)賊”

申請免費試用、咨詢電話：400-8352-114

大方向：技術(shù)至上

貴公司已花了大錢整備信息武器又很重視法規(guī)遵循，但還是受到攻擊。本文告訴你為什么。為什么光有IT工具不足以提供安全？為什么遵循法規(guī)也無法保護你？為什么你需要更加注意員工和公司數(shù)據(jù)？

我們所要說的不是要你杯弓蛇影，但你需要醒一醒，該認清事實了！企業(yè)的信息安全十之八九是做得一敗涂地。問問2008年8月因透過不安全的Wi-Fi入侵TJX等零售廠商而遭到起訴的11名黑客便知──當時有4,000萬筆信用卡與現(xiàn)金卡卡號被竊。問問EDS承包Medicaid理賠處理專員：今年2月，她承認犯下盜賣客戶社會安全號碼與生日數(shù)據(jù)，以冒領(lǐng)退稅金。問問美國猶他州大學醫(yī)院聘雇來護送磁帶到異地儲存中心的快遞人員。6月的某一天，他開了自己的車，而非公司的安全車來，結(jié)果這批包含2,200萬名病患賬單資料從前座被偷。

或者你像我們一樣，訪問全球7,097名業(yè)務(wù)與技術(shù)部門主管的安全問題。我們與PricewaterhouseCoopers合作第6年的“全球信息安全狀況”的調(diào)查中，我們聽到在信息安全、流程和人員方面滿滿的挑戰(zhàn)、擔憂和戰(zhàn)勝的案例。

量化信息安全項目的報酬率并不容易，通常因為很難算出你從避免的危機中，可獲得多少金錢報償。今年低迷的經(jīng)濟景氣，亦迫使決策者對任何預算提案都更加保守。即使如此，調(diào)查結(jié)果顯示，企業(yè)還是繼續(xù)購買、導入技術(shù)工具，包括入侵偵測軟件、加密和身份管理等等——這倒是好消息。

然而我們研究又發(fā)現(xiàn)一個很嚴重的問題──太多企業(yè)仍然欠缺強制執(zhí)行的一致化、尖端的安全流程。59%的受訪者說他們有“全面性的信息安全策略”，較去年高出2%，但這還不夠多，PricewaterCoopers首席顧問Mark Lobel說，具有CxO層級的安全主管及發(fā)展出的信息安全策略。這兩項元素越高，資安事件的發(fā)生率越低。

但是不值得令人興奮的分數(shù)卻在今年攀高。例如，56%的受訪者聘雇了CxO層級的安全主管，比去年下滑4%。許多企業(yè)都會檢查網(wǎng)絡(luò)日志看看有無可疑活動，但只有43%的人會稽核或監(jiān)控使用者有沒有遵循安全政策（如果有的話）。這個數(shù)字比2007年上升6%，但“還不到應有的水平?！盠obel說。

由此可知，安全仍然是被動而非主動的事情。做得更進階的公司則會收集來自網(wǎng)絡(luò)日志和其它監(jiān)控系統(tǒng)的數(shù)據(jù)，統(tǒng)合到商業(yè)智能系統(tǒng)中，以便預測出安全弱點進而加以阻止。配合加密高手與認證管理專家，信息安全小組還需要統(tǒng)計學和風險分析師，以便跑在安全威脅之前，不讓自己公司成為資安新聞的主角。

雖然我們的研究顯示“革命尚未成功”，但在發(fā)現(xiàn)問題之際，我們也看到一條企業(yè)通往資料安全之路。沒錯，還是要應用技術(shù)，同時發(fā)展一個讓信息安全技術(shù)融入所有人工作環(huán)境的流程。所以并不是完全沒有希望?，F(xiàn)在該做的是檢討我們哪里做錯了，然后改過自新。

大方向：技術(shù)至上

有錢就有力量，是吧？在被要求指出信息安全經(jīng)費的來源時，57%受訪者說是IT部門，60%表示，像是營銷、人力資源和法務(wù)部門等職能部門是他們的大金主。只有24%的人說公司有專屬的安全部門預算。

有了強大的IT部門，技術(shù)乃成為解決安全問題的主要方案。然而俗話說得好，“對一個拿槌子的人來說，什么東西都長得像釘子?！庇谑撬麄兿胗美]件過濾器來防堵網(wǎng)站釣魚攻擊，藉由加密公司資料阻絕筆電偷竊的發(fā)生。

如果真的有安全工具，我們的調(diào)查對象早就用上了。

例如，企業(yè)已經(jīng)了解到，他們淘汰計算機硬件的過程必須更完善，像是清除掉硬盤里的數(shù)據(jù)和應用。目前已經(jīng)用工具這么做的受訪者有65%，比去年58%大為增加。為數(shù)據(jù)庫（55%）、筆記本電腦（50%）和備份磁帶（47%）及其它存儲媒介進行加密的企業(yè)也比以前都多。使用入侵偵測軟件的比例也攀高：相較去年的59%，今年來到63%。安裝防火墻防護個別應用，而不只是服務(wù)器或整個網(wǎng)絡(luò)的比例，則從去年的62%增加到67%。

雖然在技術(shù)層面有所進展，但在安全流程與人員方面仍然存在隱憂——某些購買安全防護的IT預算案仍然遭到否決。例如，加密機密數(shù)據(jù)似乎很有效，但此類技術(shù)卻無法防止員工藐視數(shù)據(jù)處理的公司政策。

如果你的目標是確保信息，你最好能發(fā)展流程和程序，以便能將把釘子置于正確地點，再揮動槌子敲下。Brandeis大學CSO Dennis Devlin指出，技術(shù)需要涵括在更大范圍的信息安全計劃下。Devlin向Brandeis大學副總裁，以及圖書館與信息技術(shù)院長報告。

犯罪活動已成為如何部署信息安全的重心了。為Wi-Fi上鎖以免讓壞蛋侵入（TJX，聽到?jīng)]？）但好人做出壞決策，更會為我們帶來無數(shù)安全災難，Devlin說。他去年加入Brandeis以來，以及他擔任CSO 7年之久的Thomson Corp.（現(xiàn)在稱Thomson Reuters）時都看過這類情事。

例如，員工有時著了網(wǎng)釣郵件的道，開啟了附件，那將會把紀錄密碼的鍵盤測錄程序，以及會取得操作系統(tǒng)控管權(quán)的rookit等惡意軟件散布出來。Devlin表示，信息安全經(jīng)理的工作是教導使用者自我防衛(wèi)。不是要員工注意帶有特定主旨的最新郵件，而是更廣泛的事物，教導使用者認識點下一個不熟悉的URL、開啟附件，或者將社會安全號碼告訴網(wǎng)絡(luò)上任何一人時所蘊含的風險，他說。

“想用技術(shù)來保護任何人不受到任何安全風險威脅是不可能的。”他說：“我們的工作，是把我們的思維傳達給使用者。”如同Brandeis，似乎有越來越多企業(yè)正在努力這么做。今年調(diào)查中有54%的受訪者指出有提供員工信息安全課程，比去年42%增加不少。

但還是有很大的改善空間。受訪者中要求員工接受公司隱私政策和規(guī)范的訓練只有41%，只比去年的37%稍稍進步。43%的企業(yè)，連在內(nèi)部網(wǎng)站上張貼隱私政策這么簡單的動作都沒有。此外，許多公司的教育培訓內(nèi)容，充其量只提供一種安全表象，即遵循政府或產(chǎn)業(yè)規(guī)范。