安全视角:信息安全投入陷入全球性低迷

近日,国际著名调查机构IT Policy Compliance Group发布了题为《加强管理信息安全与审计可改善业绩》的最新基准研究报告。该报告在对全球2600多家企业进行调查后得出结论,由于当前全球经济危机所带来的负面影响,68%的企业在信息安全方面投入明显不足。该报告同时指出,对大多数公司来说,若在信息安全与审计管理最佳实践方面持续增加投入可使其获得超过200%的经济回报。

这个由计算机安全协会、国际内部审计师协会、国际信息系统审计与控制协会、IT治理协会等组织共同支持的新研究报告主要探讨了以下内容:基于风险的并且以成效为导向的信息安全预算方式;有助于业务和财务风险管理的IT实践;IT审计方面的支出大幅度降低。

此前Symantec公司首席研究经理Jim Hurley在接受采访时表示: "正如购买免赔保险一样,所有公司都希望能够将客户数据被盗所产生的财务风险和损失或IT系统中断而导致的业务损失控制在一定范围之内,但是,该研究结果表明,由于一家公司的损失承受度非常之低,所以即便在小处着眼加以改进,也将带来极高的经济回报。"

在IT可能带来的各种风险中,各公司将以下三项列为最关键的业务风险:敏感信息的保密性;IT信息、资产和控制的完整性;IT服务的可用性。IT PCG报告利用现有的评判基准,针对这三种风险对公司绩效的影响进行评估,该基准调查的主要结果可分为三类:

最差结果:19%的公司每年经历15次以上的数据丢失或被盗事件,80小时以上因IT故障带来的业务中断,15种以上不符合IT审计要求的缺陷。

正常结果:68%的公司运营水平"正常",每年经历3-15次数据丢失或被盗事件,7-79小时以上因IT故障带来的业务中断,3-15种以上不符合IT审计要求的缺陷。

最佳结果:只有13%的公司获得最佳的结果,每年经历3次以下的数据丢失或被盗事件,因IT故障带来的业务中断在7小时以内,3种以下不符合IT审计要求的缺陷。这些公司每年从这些方面获得的经济回报为22%至3000%不等。

令人意外的是,表现最差和表现最好者之间造成差异的主要原因并非安全预算的多少。事实上,参与调查者安全预算的差异微乎其微,归根结底还是如何使用这些预算。根据本次报告,获得最佳结果、最少经济损失的组织所采用的最佳实践主要有以下五种:高级管理团队参与管理风险;确定风险优先级,改善控制,使流程自动化;对控制和风险不断进行评估;采用技术控制、政策和IT变化管理;实施综合汇报制度。

调查表明,与这些IT风险相关的财务结果几乎与IT管理这些风险所实施的最佳实践完全对应。毫无疑问,采用最佳实践的公司所经历的财务损失成本与频率都是最低。而获得最差结果的公司则浪费了过多的成本,其因数据丢失和被盗所损失的成本相当于全年收入的9.6%,因业务中断所损失的成本几乎相当于全年收入的3%。

五种保证安全的管理方式

高级管理团队参与管理风险

确定风险优先级,改善控制,使流程自动化

对控制和风险不断进行评估

采用技术控制、政策和IT变化管理

实施综合汇报制度