过去一年,黑客高调的攻击和破坏企业数据的事件层出不穷。而且他们的攻击目标也相当广泛,包括安全公司RSA信息安全公司和HBGaryFederal公司、国防承包商洛克希德马丁公司(LockheedMartin)、诺斯洛普·格鲁门公司(NorthropGrumman)、娱乐巨头索尼公司、大型零售商、医疗保健公司和营销公司。
尽管面临如此众多的黑客攻击事件,由民间出版组织CSO杂志和普华永道会计师事务所联合进行了第九届年度全球信息安全调查,该项调查的对象包括9600名业务和技术执行官。结果显示,43%的受访者表示自己所在的企业在安全方面处于业内领先位置,强调其所在的企业拥有一套健全的安全战略并有效地执行着该战略。
“既然如此众多的企业自视为安全领军,又发生了那么多的安全事故,显然让人不觉得不可思议。”普华永道咨询服务司负责人MarkLobel说。在现实中,声称自己企业的安全可靠的企业领导人“远不止43%。”
SpireSecurity研究主管PeteLindstrom表示:“显然这43%的人都是在自欺欺人,否则他们早已制定好了安全战略和并且早已成功。”
为了更好地调查这些表示自己所在企业是业内安全领军的受访者所在企业的实际安全管理能力,普华永道筛选了调查结果,并根据调查结果评出了真正的安全领军的相关标准。要达到这一标准,一家公司必须有一套安全战略,IT安全必须向高级业务主管报告,该公司在过去一年中曾重新审视过其IT安全政策,如果企业遭受过安全事故,必须详细调查其原因。“当我们完成了分析报告之后,自视为业内安全领军的受访者比例由43%下降到13%。”Lobel说。
那么,这种无端的信心到底来自哪里?“也许是这些受访者所在企业并没有经历过安全事故,或者即使曾经发生过安全事故他们也不知道。”Lobel说。“这绝对是一种虚假的安全感。”
过度自满,可以部分的解释为什么如此多的企业已决定推迟安全保障方面的支出。有51%的受访者表示,他们今年推迟了安全相关的资本支出,而同比去年只有46%的受访者表示推迟了安全支出。而运营方面的支出也没有得到通过,48%的受访者说,他们已经推迟了项目。去年这一比例为43%。
这并不是说受访者所在的企业在安全方面没有任何的开支。他们确实也有这方面的开支,但他们重点是我为保护Web攻击而部署技术,旨在防止攻击。在过去的一年,在应用防火墙方面的投资从72%增长到80%,而在恶意代码检测工具方面的投资从72%增长至83%。
“很高兴看到企业在技术方面的投资,这是好现象。然而,数据显示这些企业在技术投资过程中没有配套的确保安全政策方面投资到位,以确保这些技术能够真正捍卫企业的安全。”Lobel说。
RobertFecteau是BAE系统公司的情报和安全业务技术人员,他呼吁企业结束短视的安全预算削减行为。他指出,安全漏洞可能会泄漏企业的产品设计,毁了企业的声誉,削弱企业的竞争力。“如果您企业的系统被黑客入侵,那么您削减安全预算方面的支出所带来的一切就将付诸东流。”