金融安全戰(zhàn)略重于技術(shù)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

在安全方面，金融服務(wù)業(yè)要比其他行業(yè)做得更好，值得我們學(xué)習(xí)。

長(zhǎng)期以來，金融業(yè)被普遍認(rèn)為在信息安全實(shí)踐方面要優(yōu)于其他行業(yè)，其中很大一部分原因在于這些企業(yè)的資產(chǎn)直接就是金錢，而且，這些企業(yè)的業(yè)務(wù)基本上全是建立在IT系統(tǒng)之上的。

調(diào)查結(jié)果可以證明：從事金錢業(yè)務(wù)的行業(yè)比其他行業(yè)要更安全和更具戰(zhàn)略性，甚至更加自信。另外金融企業(yè)的規(guī)模通常很大，大型企業(yè)一般都有更充裕的資源用于信息安全。

選擇金融業(yè)作為最佳實(shí)踐的對(duì)象還出于其他方面的考慮。首先，在這種行業(yè)里，一次業(yè)務(wù)往來中通過IT網(wǎng)絡(luò)周轉(zhuǎn)的現(xiàn)金流數(shù)目可能極為巨大；其次，金融業(yè)已經(jīng)在很多業(yè)務(wù)上應(yīng)用了風(fēng)險(xiǎn)模型、投資回報(bào)和其他戰(zhàn)略分析工具，這些工具也逐漸開始應(yīng)用到了信息安全上；最后，金融業(yè)知道法規(guī)的重要性并且很早就開始按照這些規(guī)范的要求去做了。在信息安全方面，金融業(yè)是其他行業(yè)追趕的目標(biāo)，而且兩者之間的差距是很明顯的。從預(yù)算說起，金融業(yè)用于安全方面的預(yù)算會(huì)更多，但如果說到全部的IT預(yù)算，則未必比其他行業(yè)多，結(jié)果是金融業(yè)能做到比一般企業(yè)更安全，其優(yōu)越性體現(xiàn)在預(yù)算的有效利用上，這些資金更多地是花費(fèi)在戰(zhàn)略規(guī)劃上而不是技術(shù)上。一個(gè)簡(jiǎn)單的例子就是采用網(wǎng)絡(luò)防火墻。在所有調(diào)查者中，它在下一年最重要的戰(zhàn)略優(yōu)先級(jí)中位列第五，而在金融業(yè)中，它連前十位都排不到。數(shù)據(jù)備份也是一樣，在所有調(diào)查者中它位列第三，但在金融業(yè)中不會(huì)排在這么前面。當(dāng)然這些金融業(yè)也配備了這些重要的技術(shù)，可是優(yōu)先級(jí)與其他企業(yè)不同，也許他們是這么理解的：更多的技術(shù)并不一定代表更高的安全性。金融業(yè)比較重視在身份管理技術(shù)上的投資，考慮到身份盜竊事件頻頻發(fā)生，這就不奇怪了。

另一方面，“法規(guī)遵從度測(cè)試”出現(xiàn)在金融行業(yè)的下一年高優(yōu)先級(jí)工作計(jì)劃列表上的可能性也遠(yuǎn)比一般企業(yè)要高。人們應(yīng)該預(yù)見到，將來有一天這也會(huì)成為其他企業(yè)的一項(xiàng)工作內(nèi)容。

金融企業(yè)確實(shí)比其他行業(yè)更喜歡使用投資回報(bào)率和對(duì)商業(yè)目標(biāo)的貢獻(xiàn)來作為衡量安全投資的標(biāo)準(zhǔn)，但同時(shí)他們也會(huì)更注重考慮法律和規(guī)范要求、責(zé)任以及對(duì)盈收的影響等多方因素。有趣的是，所有金融業(yè)受調(diào)查者中，有半數(shù)表示“一般行業(yè)實(shí)踐”也是影響安全投資的因素之一，這指的是同一行業(yè)的企業(yè)之間某種程度上的信息共享，或至少是一種相互學(xué)習(xí)的企業(yè)文化，這樣有助于安全執(zhí)行人員從其他同行那里獲取好的安全實(shí)踐經(jīng)驗(yàn)。

也有一個(gè)領(lǐng)域金融業(yè)并不比其他行業(yè)做得更好，這就是與物理安全的集成?？紤]到現(xiàn)在利用物理安全的弱點(diǎn)（或利用信息安全和物理安全的分離）來盜取個(gè)人信息記錄的事件頻繁發(fā)生，在這個(gè)領(lǐng)域，比較今年和明年的調(diào)查數(shù)據(jù)結(jié)果將會(huì)是很重要的。 (ccw)