贵企业对自己的安全计划抱着什么样的态度?最近发布的一份安全调查报告表明,说到风险管理方面,还是有太多企业把头埋在沙子里,逃避现实。
不法分子变得更狡猾了。无论他们是认识到要破坏世界、推进其议程,另一个办法就是破坏像美国这些发达国家经济稳定性的恐怖分子,满腹牢骚的企业内部人员,还是主要出于牟利动机的"普通"犯罪分子,现在的网络犯罪活动越来越多,造成的经济损失也越来越大。在信息技术安全界,近来大家在热议2010年7月发布的《网络犯罪成本基准调查》;这项调查是由安全咨询机构波耐蒙研究所(Ponemon Institute)开展的,对美国公司作了典型抽样调查。这家咨询机构经常开展隐私、数据保护和信息安全政策等方面的独立研究。
波耐蒙研究所通过典型抽样调查似乎竭力想表明的一点是,企业风险管理(ERM)需要加强,特别是由于它与IT密切相关;许多公司在这方面还是很松懈,仍然抱着坏事不会发生在自己身上的态度。波耐蒙研究所这份长23页的报告可从其网站上下载(http://www.ponemon.org/index.php),不过下面是分为七个要点的概括性总结,还有本人的拙见,表明信息安全与贵公司的处境可能有着怎样的关系。
与事先采取措施,加强环境安全所需的成本相比,网络犯罪活动造成的损失高得多。
该调查声称,对于受网络犯罪影响的公司来说,响应成本平均是每年380万美元。而原本有望有效减少或防止同样这些事件的技术和流程所需的成本一般不到其三分之一。换句话说,而且相当明显的是,在大多数情况下,与事件/泄密发生后启动临时性的响应程序相比,事先规划和缓解风险所用的成本要低得多。
而更为重要的是,确保成功的一个关键因素是,指定一位高层主管负责企业风险管理,可以是首席安全官,指定一名首席风险官更好。这位主管常常独立地直接向董事会报告,真正了解整个企业的情况,而不是仅仅注重技术,他能适当地确保:风险管理这一块在许多项目或计划的一开始就"集成到里面",而不是事后才想到,随随便便"扩充上去"。另外,随便将IT安全和风险管理这项工作托付给另外某个业务部门的某个"下属",这个下属还不是专门负责这项工作,那样很快会招来大麻烦。
此外,制定和推广一项企业风险管理战略,遵守自愿治理/认证框架——如信息基础设施库(ITIL)、国家标准和技术研究所(NIST)安全指导等,似乎既能大大减小发生网络犯罪活动的可能性,还能大大降低处理网络犯罪事件的总成本。
网络犯罪无孔不入,而且越来越常见。
你会问为什么这样?许多公司似乎抱着一种漫不经心或骄傲自满的态度,至少私底下是这样,经常有类似的想法:"我们的安全工作已经够好了","我们已经做得比竞争对手更好","那些要求对于我们不适用"等等。从好几个方面来看,这些顽固的态度是完全错误的!
贵公司又如何呢?同样,要知道做到符合任何标准或法规,未必意味着安全无忧!与企业风险管理一样,IT风险管理(信息安全、业务连续性/灾难恢复、法规遵从和治理)也是一项不断改进的计划,不仅仅是"一旦搞好,就不用管"的项目。另外就是有利也有弊的社交网络;社交网络既是企业寻求潜在增长的最佳途径,也是有人搞破坏的最佳渠道。一些分析师估计,30%的企业带宽是被社交网络流量消耗掉的。
一些支持者认为,Twitter和LinkedIn等社交网络可起到帮助企业扩大服务范围的作用。现在一些IT厂商就是通过社交媒体网站来提供支持的。此外,公关和营销团队看到了社交网络在开展促销活动方面所具有的价值。对于许多公司的公关活动而言,YouTube正在变成一种更主流的平台。
不过,尽管这一切是不争事实,但社交媒体也可能为各种病毒、恶意软件以及让员工分心从而影响工作效率的东西提供了一条便利通道;员工最后可能会未经相应授权,就在社交网站上擅自讨论敏感或专有的信息。此外,竞争对手和收债人现在也使用这些信息来源,核查公司的员工。
经济损失最严重的网络犯罪活动是由互联网攻击和恶意内部人员造成的犯罪活动。
贵公司使用或托管多少个面向Web的公共网站?你与云环境连接的通道又如何?有没有通过严格的渗透测试或开放Web应用安全项目(OWASP)编码规范,对任何这些网站进行核查?得到公认的更安全的实践表明,我们应该每个季度进行一次OWASP扫描,每年进行两次渗透测试。贵企业的变更管理流程多可靠?另外,有没有考虑过"谁来监管监管者"的问题?企业内部有没有针对特权访问帐户的审计和日志机制?尽量减少这类潜在漏洞需要遵循企业层面的威胁和风险管理战略,协同实施安全信息事件管理(SIEM)、数据泄密防护(DLP)、基于主机的入侵防护系统(HIPS)等其他多项技术。
一遭到攻击,迅速解决是降低经济损失的关键。
据这个基准调查样本显示,要是不迅速解决,网络攻击造成的经济损失还要大。该报告显示,解决网络攻击平均需要14天;而企业蒙受的经济损失每天高达17696美元!想想这样的经济损失给贵公司的利润会带来怎样的影响?
调查显示,要解决恶意内部攻击,需要长达42天或更久。这样的代价表明,面对如今的复杂攻击,需要迅速解决。虽然这项研究没有提到名誉受损(也就是成为新闻头条的风险)造成的高昂经济损失,但你的确需要考虑到这点。比如说,除了面临官司和经济惩罚外,要是贵公司被发现违反了更严格的个人身份信息(PII)保护法,比如加利福尼亚州、马萨诸塞州或欧盟的相关法律,会面临什么样的后果?
企业因失窃而丢失信息带来的外部经济损失最高,其次是与企业运营受到中断有关的经济损失。
报告还提到,就一年而言,信息失窃占了外部经济损失总额的42%。与业务受到中断或生产力下降有关的经济损失占了外部经济损失的22%。报告随后还表示,公司规模变得越大,它们面临的潜在风险也会变得越高。伴随这些经济损失而来的是,因负面新闻和客户/股东信心下降这"二次灾难"所造成的费用和名誉受损。这时候,一项完备的、事先规划的危机沟通计划真的有助于力挽狂澜。
察觉事件/泄密以及之后恢复如初是成本最高的内部活动。这还意味着,这些方面的投入可能是最容易被忽视的方面,由于这方面所需的成本比较高。不妨了解一下事实真相:如果没有实际投入资金,或者投入很少,而高层主管又没有抽时间用在风险管理上,或者所抽的时间很少,那么你拥有的只是另一项名存实亡、形同虚设的计划。一旦酿成严重后果,只好听天由命了。现在我们开始听到另一个花招:一些公司在耍这个花招,避开积极承担应有关注(due care)这个责任的要求。虽然一些公司在为企业风险管理以及/或者信息安全"编制预算",但从来没有实际投入这笔钱。要不就是,一些公司声称自己在继续研究更新的技术,但不是研究数周或数年,而是研究过程长达数年!一些监管部门和保险公司注意到了这点,要是安全事件是因投保人疏忽而引起的,甚至还会指控欺诈罪名或者拒绝理赔。
所有垂直行业都很容易出现网络犯罪活动。
这份报告表明,网络犯罪的年均成本似乎大不一样,具体取决于所在的行业领域;国防、能源和金融服务行业的公司蒙受的经济损失高于零售、服务和教育行业的公司。不过,所有垂直行业都受到了不利影响,而且越来越频繁地受影响。
在过去的五年间,越来越多上报的企业灾难并不是天灾造成的。而是许多公司有意承担风险(不管是不是被动)造成的,而有些风险显然是不应该承担的。保险公司注意到了这点。它们在发放保单和进行理赔之前,越来越多地要求投保人进一步证明给予了应有关注,并进行了尽职调查。政府现在也注意到了这点!
有消息称,联邦政府可能很快会进一步就私营行业的风险管理发表观点,特别是由于风险管理与IT密切相关。这里的前提是,如今IT被广泛认为是现代高度互联的经济体中关键任务基础设施的一个组成部分;而非政府实体在自愿遵守得到公认的风险管理实践方面做得差强人意。目前正在积极讨论的是更加严格的安全框架,比如支付卡行业数据安全标准(PCI-DSS),可能作为所有公司(有一定规模/收入额)在"应有关注"方面新的最低标准。
所以,下次贵公司考虑预算方面的事宜时,也许应该至少鼓励你的IT部门考虑专门为此拨出一些额外资金–起码用于全面评估整个企业的安全状况。只要花比较少的费用,就可以对现有的工作人员进行培训,甚至让其获得认证,熟悉如何进行全面的评估。不过有个问题要注意。与客观独立的第三方机构相比,现有的内部人员常常有点疲惫不堪,评估时不大客观公正。
理想情况下,公司应该定期进行内部评估,并着眼于收集和分析企业内部的评估结果。接下来的一步是,聘请有资质的外部机构来进行类似范围的另一番评估,确保能够准确地了解情况。外部机构还能提供独立的专长,以确定风险管理和IT安全投资方面的主次之分。这样一来,贵企业就可以更准确地了解自己的处境,需要怎样投入,确保贵公司没有在乱冒险,免得因安全事件而登上头条,以及/或者可能给这个国家增添安全漏洞。