软资产之优,金融IT之重——软件资产管理(SAM)在金融业

万物智慧互联的“超互联时代”,贵为国家经济命脉的金融证券业,也被抛到了风口浪尖。不论是网上银行、手机银行、第三方支付、P2P小额贷款等等的繁荣兴盛,还是多种网络证券业务的广泛开展,都是金融证券业主动抑或被动适应互联网时代的努力与成就,但同时也因服务方式虚拟化、业务边界模糊化、经营环境开放化等使信息安全面临更严峻的挑战。

根据BSA|软件联盟的一项调查显示,全球范围内,每7分钟就有一家企业遭到恶意攻击。而根据普华永道的一项调查,2015年在中国内地和香港企业监测到的信息安全事件比2014年上升了5倍之多。仅在2015年,网络攻击给全球经济造成损失超过4000 亿美元, 同时,超过4910 亿美元用于解决与非授权软件相关的恶意软件问题;全球31% 的高管表示他们的品牌或声誉因为安全事件而受到损害。而在这些触目惊心的数字中,金融等关键行业更是重点攻击和侵扰目标。

软件资产管理(SAM):超互联时代信息安全的重要防线

超互联环境下,信息安全建设是一个巨大的系统工程,需要整体调研、布局、部署、实施与维护,步步为营,方能将威胁与漏洞拒之于外。而在这个巨大的系统工程中,软件资产管理(SAM)占据着极其重要地位。

但实际上,不少企业并没有高度重视这自我检查和管理的过程,导致企业信息系统面临病毒和网络攻击等各种安全隐患。据BSA|软件联盟今年5月发布的一个软件调查报告显示,在全球所有已经安装的软件当中,39%的软件没有经过授权,而在金融、证券、保险等关键行业中,高达25%的软件未经过授权;全球49%的CIO意识到安全威胁来自于未经许可的软件,但是仅35%的企业制定了相关的书面政策。

对于金融证券业来说,如果不能合理有效的管理软件资产,不能确保网络中运行的软件100%合法或已经得到充分授权,无疑于是“引狼入室”般的行为——虽然金融证券业的正版软件使用率一直领先于各行业,但25%的缺漏仍是让人触目惊心:这25%的背后更代表着软件资产管理的巨大缺失与不足。当企业无法对与自身核心业务水乳交融的软件资产实现100%正版化时,这说明企业未能完全了解自身所面临的各种安全风险,更未从软件的采购、授权、部署、维护到回收的全生命周期管理着手,未雨绸缪,未能将这种风险防范于未然。

如何筑就网络安全的重要防线

一般来说,仅需四步即可初步创建一个有效的软件资产管理体系:

首先,需要对企业现有软件资产进行审计,对所有的软件及其合法性了然在胸,并确认这些软件是否应该安装,所有用户是否都拥有适当许可。

第二步即是确定企业需要什么样的软件资产,这是对未来软件资产布局的一个瞻望与部署。在了解企业已拥有什么样的软件资产之后,需要预测未来的需求,从这样的执行步骤中,或能发现可能的成本节约途径,并更好地利用软件许可协议中的维护条款。

第三步是制定健全的软件政策和管理流程,涵盖企业的IT前沿与核心部分,从采购流程开始,管理软件资产的全生命周期。

而最后一步则是让软件资产管理成为企业的一个工作流程,必须监控并确保企业始终遵守自己的软件政策,并对员工开展持续的培训。

实际上,软件资产管理并不需要大量的资金投入与人力成本,但其带来的回报却是相当惊人的:不仅可让企业确保信息安全,更能帮助企业厘清软件资产,节省成本,提升软件的投资回报率,并防范因软件使用不当带来的财产与声誉损失。根据BSA|软件联盟最新的全球软件调查报告表明,合理管理软件能够减少由于过度许可应用或隐藏未使用软件造成的隐性低效现象,可有效节省高达25%的成本。

“我们都生活在这样一个超互联时代,网络安全威胁是非常现实的问题,每天都在发生,并且日益复杂,一刻也未停止过。网络风险来自于外部,而企业内部的管理漏洞会加剧这种威胁。企业只要想要在全球生态链中生存、经营,就必须要了解自身所面临的各种风险并管理这些风险,不能单单只靠IT一个部门单打独斗,而必须在全企业范围内实施有效的软件资产管理,并让其成为企业的一种内生体制。”BSA|软件联盟中国区市场传播经理张凝女士说。