DoSECU 独家分析 4月24日报道:经济不景气让企业信息安全更加难以为继,预算日趋紧张,员工的流动性过大让数据安全风险进一步增加。企业不能再忽视这些问题给他们的影响。
现在再谈经济危机、金融危机这个话题相信已经不能算是为时过早了,但是却也不为时过晚。因为变化通常都在人们毫无察觉的状态下慢慢发生,在没有形成质变之前,相当一部分人都对"狼来了"般的危机表示漠不关心;或者说,当在人们没有意识到危机的时候,头脑被硬生生灌输进危机感,相信这是无济于事的。
现在我们谈危机,是多种多样的危机。经济危机的到来,随着时间的推移,很多安全问题引起了人们的关注,社会安全(美国经济危机以来枪击案明显多于往年),政治安全和经济安全(泰国政变导火索为他信售股交易"经济问题"惹众怒),甚至有人想到了七八年前的911事件,而IT安全方面也难逃此劫,正在经历着危机带来的种种难题,或者说,让IT安全的某些问题日趋严重。
纵观安全行业的变迁,我们发现了这样一个变化:今天一提到企业安全问题,人们第一印象不是病毒黑客,而是与企业敏感数据相关的很多方面的东西。为什么会发生这一变化,请允许我轻描淡写地将其归咎于社会的发展和进步,今天的人们比以往任何时候都更以商业为目的。这也许是社会发展的必经之路,但是却给企业带来了前所未有的挑战。经济危机到来,无意给这些问题制造了绝佳的表现机会。经济危机时期所有公司都举步维艰,而网络罪犯们却在暗处偷笑。敏感数据、公司客户以及公司基础设施都面临着巨大的安全风险,可能出现的问题包括:数据泄漏、恶意网站、不满员工以及不受控制的合作伙伴等。
目前看来危机下的安全市场,显得最紧迫的问题是:安全预算是保持还是缩减?以及危机导致更加如坐针毡的数据安全问题。当然,这只是眼下与其他问题比起来比较受关注和讨论较多的两个问题。
安全预算 左右为难
迫于经济危机的压力,许多企业都在面临这样一个问题:是否应该消减IT安全的开支?自金融危机去年年末席卷全球以来,这方面的猜测就铺天盖地。但目前,已经过去了将近半年的时间,面对这一问题我们仍可在互联网上看到正反两面的言论。3月末,某国外媒体曾撰文称,尽管经济风暴对亚洲地区形成了冲击,但是企业们没有削减其在信息安全方面的开销,至少,现在还没有削减。这只是个别企业的态度,而不是整个市场的全貌。
实际上,讨论安全预算是否应该削减并无多大意义,任何问题因立场的不同都会陷于诡辩的境地,最重要的还是要看企业自身的经济实力。规模大的企业自然把安全看得举足轻重,但是中小型的企业则更应该多考虑一下这个问题了。
数据安全 如坐针毡
经济不景气时期,数据安全更为敏感。一旦数据遭到破坏,企业面临的不只是钱财上的损失,更是企业名誉和知识产权的侵犯,还有忠实客户的流失。
目前,数据安全面临的威胁尤以内部安全为重,当然不是忽略外部威胁的存在,只是经济不景气情况下,企业精简员工和其他一些原因的职位变动难免造成数据外泄情况的发生。例如,4月份Forrester Research公布了一项名为《2008数据安全挑战和技术应用》的研究报告。发现,多数企业仍无视内部威胁,对数据泄漏防范意识淡漠,DLP技术的应用情况也不容乐观。在这部分企业中,中小企业是主流,小型企业占到了绝大多数。
面对经济经济不景气带来的种种难题,企业应该认真对待信息安全问题,不能再盲目地坐视不管。