时代变迁,信息已经成为一种新型的商业流通介质,是全球联动的商业世界中不可或缺的一个重要元素。与此同时,保护企业信息资产变得同等重要。不久之前,普华永道联合《CIO》杂志和《CSO》杂志进行了第六次全球信息安全状况调查,访问了超过7000位来自119个国家的CEO、CFO、CIO、CSO等。本文作者概括了一些值得关注的调查结果,有助于我们了解全球信息安全建设的整体状况。
目前,信息安全在世界各地区有着不同的发展趋势。调查显示,在印度公司普遍发展的推动下,亚洲企业在建立领先的信息安全方面已与北美公司处于同一水平,在某些方面甚至有所超越。
尽管中国企业在运用安全技术方面取得了重大成果,但在信息安全策略和管理方面仍显滞后。中国受访者中,68%表示其所在企业已安装了应用防火墙(全球平均值为67%),59%部署了互联网服务安全保护措施(全球平均值为58%)。然而,从安全策略及管理方面来看,仅有34%为部署信息技术架构建立了标准和流程(全球平均值为51%),33%建立了业务持续经营计划或灾难性恢复计划(全球平均值为55%)。
普华永道北京信息安全咨询合伙人季瑞华认为:“中国企业应该以此为契机,紧密结合正确的安全策略、人员布置和有效的管理流程,使现有的信息安全技术为企业提供最大的效益。”
在本次调查中,74%的受访者认为,在未来的12个月内,信息安全支出将会增长或者保持现有水平。尽管企业在安全技术(比如入侵检测软件、加密技术和身份识别管理)上持续投入大量经费,但是他们在正确整合一些关键因素方面仍存在问题。许多企业的安全管理流程、员工安全意识教育和信息安全技术或工具的使用之间,似乎存在着一些不协调,因而无法从安全技术投资中得到应有的价值回报。
现在越来越多的企业会对数据库、笔记本电脑、备份磁带以及其他介质进行加密。62%的受访者说他们所在的企业布置了入侵检测软件,67%安装了保护应用系统的防火墙,67%为淘汰的电脑硬件建立了处置流程,比例分别高(或持平)于2007年的同类数据(52%、62%、67%)。但问题是,企业信息安全支出仍然主要来自于IT部门,其次为安全部门和市场部门、人力资源部门、法律部门等。这表明,虽然信息安全得到了更多的关注,但公司层面的信息安全流程和人员安全意识的重要性似乎有些被忽略。
尽管企业的信息安全成熟度得到显著提高,但比例非常高的受访者“不知道什么是他们应该知道的事情”。许多受访者不能回答关于他们所在企业关键信息资产风险的基本问题,35%的受访者不能确定在过去的12个月中公司发生了多少次安全事件,42%的受访者不清楚攻击或破坏是否最有可能源于员工(现任或前任)、客户、合作伙伴或供应商,以及黑客等。
虽然回答“不知道什么是他们应该知道的事情”的中国受访者,其比例相对于北美和欧洲较低,但是当被问到过去12个月中实际遭受的安全事件数量和财务损失时,平均每个中国受访者汇报了285例安全事件,而全球受访者平均汇报了28例,亚洲受访者平均汇报了45例。从这些安全事件的后果看,平均每个中国受访者报告了每年约98万美元的财物损失,而亚洲受访者平均报告了约75万美元,印度受访者平均报告了约30.8万美元。此外,42%的中国受访者经历了应用软件、系统和网络等方面的安全事件,而全球这些情况的平均数据分别为17%、15%和20%。
调查发现,很多受访者对安全攻击等安全事件的一手资料缺乏很好的了解。这是事实,但不是重点,重点是如何提高公司持续抵御和阻止攻击的能力,并且不会对员工开展的日常业务产生影响,也不会由于被动应付意外(但可预见)的危机而产生过高成本。这要求有关公司数据及系统风险的关键信息能迅速从第一线向公司其他人传播,在企业的每一层面推广安全意识是至关重要的。
此次调查结果清晰地指明,信息安全和数据管理不仅仅是具有一个安全治理框架和技术支援这么简单,而是需要三个关键要素(人员、流程及技术)紧密结合,并贯穿于整个公司来发挥效应。