报告:IT安全的健康需要提高警惕

DoSECU 安全报道 8月6日消息:一份由Ponemon Institute研究机构出具的最新市场调研结果显示,首席执行官和高级主管对企业IT安全各持不同的看法。这份市场调研是由Ounce Labs委托Ponemon Institut进行的,有超过200名企业高管参与调研,调研结果显示出首席执行官比其他的C级别高管表现的更加自信的认为数据泄露可以被避免。与其他的受访者相比,首席执行官们对数据泄露事故的了解也更加有限。

DHL Express公司亚太区首席信息官兼副总裁Nariman Karimi在电子邮件采访中告诉ZDNet Asia说,首席执行官和董事会高管的基本角色定位,使得他们对IT安全是否应该是企业优先级首选的看法上有所差别。

Karimi强调说"首席执行官更加关注的是企业日常的运营,最新客户或者财务状况的动态,新产品和服务的推出以及市场份额的维护和争取。信息安全对于企业虽然重要,但是它不是日常运营中最需要关注的。坦率的说,也不应该是关注度最高的领域"。

Karimi继续解释说"为了获得期望中的信息安全,IT基础架构监管和其他IT问题应该排在首席执行官日程的前列,就像一只足球队,每个人所有时间都应该把关注点放在球上而不是站在指定的位置不动"。

他补充说,首席执行官的安全定义与黑客试图窃取的公司机密息息相关,这些要远远超过灾难恢复,错误数据输入或者拒绝服务带来的伤害。从另一方面来说,首席执行官和安全主管对于风险应该有着视野开阔的理解。

首席信息官还应该意识到"能力的优化而不是防护"是天然的发展趋势,他解释道。"多数首席执行官和其他董事会成员从表面上很关注–他们将大部分时间花在向用户推广公司的能力上,而这些对公司内部的能力也会产生积极的影响"。

Frost & Sullivan公司负责亚太区的行业分析师Edison Yu补充说,首席执行官没有与他们企业的IT安全状况相关的KPI(关键性能指示器)。因此首席执行官们就不可避免的在评价他们的安全系统时缺乏参照性,而首席信息官或首席安全官们则会谨慎的多。

他在电子邮件中强调说,首席执行官们可能完全是根据安全支出来评估企业的安全性的,他们认为只要保持安全支持的级别,他们的企业就具备足够的安全性。

Yu还强调说,IT和安全负责人在向首席执行官讲述安全的投资回报率方面也做得不够。IT安全投入在很大程度上仍然被看成是一种费用,而不是投资。

"首席执行官或者首席财务官与首席信息官或首席安全官之间的地位和认知不同,在企业中这也是无可避免的。首席执行官需要了解安全到底是一种企业风险还是企业的推进器"。

Yu还指出,关键是在两者之间构建一种健康的紧张状态,让大家拥有足够的安全认知以便做出明智的决策。

Ernst & Young咨询服务的合作伙伴Gerry Chng指出,从整体来看,企业所有者和高管们会逐渐认识到保护企业信息的需求会越来越迫切。不过在安全基础架构上重金投资并不是解决企业所有者重要信息安全需求的必要手段。

"这种分离看起来主要源于IT主要是由技术专家来管理的,技术专家是把重点放在依赖技术来解决安全问题"Chng在电子邮件中写道"随着时间的推移,我们看到IT部门在保障基础架构和数据中心,服务器,数据库等有形资产上,技术也会存在误区"。

"我们的企业需要明确的是IT安全重点保护的是企业的信息,而不是用来存储,处理或者传输信息的物理资产"他强调说。

最后DHL Express公司的Karimi指出,企业中的每个人都与维护IT安全状况息息相关。

Karimi表示"IT部门应该避免扮演警察的角色,避免由于过度保护而忽略了其他人在保护信息方面承担的责任。我们要保护网络;不过在公司的复印室里还有很多公司机密等待我们去重视"。